より少ない労力でより多くのことを実現する、「エモい」セキュリティに取り組むマイクロソフト

マイクロソフトは、セキュリティのためのセキュリティではなく、一人一人がより力を発揮し、新たなことにチャレンジし、イノベーションを巻き起こしていくためのセキュリティを実現しようとしている。そんな姿勢を体現しているのが、同社でセキュリティビジネスに携わり、日々顧客と接している吉屋麻里氏と柳優記氏だ。

いずれも新卒で入社し、テクニカルサポートやカスタマーサクセスといった別の領域で経験を積んだ後、セキュリティテクノロジーに興味を抱いて今の部署に移籍してきた「未来を担う人材」が、中小企業のセキュリティ対策を通してビジネスの価値向上をどう支援しようと考えているのか、自然体のお二人にZDNET Japanの國谷が話を伺った。

人材不足、知識不足の中、「セキュリティはどうすればいいの」に悩む現場

國谷ZDNETがIT部門の方々を対象に実施したアンケートからは、セキュリティ対策における一番の課題は「人材不足」であることが明白になりました。回答者の79.3%が人材不足を挙げており、続いて3割強が「予算が足りない」ことが課題だとしています。日々お客様と接する中で、お二人もやはり人材不足の問題を痛感されていますか?

ZDNETのアンケート調査では、「人材の不足」を課題として挙げる声が多かった
ZDNETのアンケート調査では、「人材の不足」を課題として挙げる声が多かった

吉屋氏人材不足の問題は、マイクロソフトが世界のセキュリティリーダーを対象に最優先事項を尋ねた調査でも明らかです。上位に「優秀なセキュリティ専門家の確保」が挙げられており、日本も含めたグローバル共通の課題だと感じます。私自身もやはり、「セキュリティはやらなければいけないが、専門部隊がいない中どうしたらいいか」という課題をよくお聞きします。

 ただ一方で、しばしば「セキュリティを強化するとユーザーの生産性が落ちる」と言われ、セキュリティ担当者が板挟みになっていますが、実はそうではないと考えています。同様に、「セキュリティって何だか大変そう」というイメージを持たれますが、そこもシンプルにできると考えており、そうした誤解を解きつつ、人材不足や知識不足といったセキュリティの課題を打開したいと考えています。

國谷「Microsoft Teams」などのプロダクティビティースイートに携わってきた経験から、柳さんはいかがですか?

柳氏そうですね、Teams などのコミュニケーション領域のIT ツールの導入に比べるとセキュリティは導入効果が見えづらく、何らかのインシデントが起きるまでお客様は自分事として捉えづらい領域かもしれないと感じています。

國谷そういう意味では、最近はインシデントに関する報道が増えていますよね。

吉屋氏実際、マルウェアの「Emotet」を検知しているというお話を、再び聞くようになりました。今回のEmotetの拡散(2023年3月)は、ファイルの容量を変化させて、既存の検知の仕組みをすり抜けることがあるやっかいなもののようです。

日本マイクロソフト株式会社 クラウド&ソリューション事業本部 セキュリティ統括本部 セキュリティテクニカルスペシャリスト 吉屋麻里氏
日本マイクロソフト株式会社
クラウド&ソリューション事業本部 セキュリティ統括本部
セキュリティテクニカルスペシャリスト
吉屋麻里氏

國谷新型コロナウイルス感染症の拡大に伴って働き方が変化し、リモートワークも広がりました。そうした変化に伴ってセキュリティ対策もより難しくなっているでしょうか?

吉屋氏そう思います。例えばIPA(情報処理推進機構)の「情報セキュリティ10大脅威」を見ると、コロナ禍以降ずっと、テレワークやニューノーマルの環境を狙う脅威がランクインしてきました。攻撃者もこうした環境の変化を狙っているという実感があります。

國谷そうしたセキュリティ面の課題を解決しようとEDRやXDRといったより高度なソリューションを導入すると、今度は運用が難しくなりますね。

吉屋氏私が日々対応させていただいているお客様のほとんどは、既にウイルス対策などのエンドポイント保護ソリューションを導入済みです。ですが、それで守れるのはインシデントが発生する「前」の部分です。インシデントが発生した「後」の対応にも備えておかないと、万一インシデントが起きてしまった際、調査や対応に要するコストが多大な金額に膨らんでしまう恐れもあります。バックアップやデータサルベージのサービスを利用すればシステムを復旧できるかもしれませんが、盗まれた情報は取り戻せませんし、ブランドイメージも失墜します。ですので、侵害を想定した上で、一歩踏み込んだ、、かつ負担の少ない対策が必要です。

國谷警察庁の報告書によれば、ランサムウェアによる被害額が1000万円以上というケースも多い状況です。万一の被害でそんなコストを支払うくらいならば、継ぎ足しだらけのセキュリティ対策ではなく、やや理想論に見えても、基本に沿ったセキュリティ対策が重要だと思います。

シンプルに活用でき、Windowsにビルトインされていることが最大の特徴

國谷ではこうした背景を踏まえ、改めてDefender for Businessとは、どういったソリューションなのかをお聞かせください。

柳氏Defender for Businessは、エンドポイントの保護に加え、脅威の侵入後の検知、修復と影響の最小化を実現するEDR機能を備えた製品です。マイクロソフトの製品全てに言えることですが、「シンプルである」ことが最大のポイントです。 Defender for Business一つでエンドポイントの保護を全てお任せいただけます。また将来的なことを見据えると、他のマイクロソフトのセキュリティ製品との連携をすることで、継ぎはぎではない統合化されたセキュリティ環境を構築することができます。

 基本的に従業員数が300人以下の企業での利用を想定しているため、画面表示や操作も非常にシンプルになっています。

 さらに、Windows OSに組み込まれていることも「エモい」ポイントです。Windows OSにはじめから組み込まれているセンサーを利用するため、攻撃者が侵入後に機能の停止を試みてもできませんし、エージェントの展開なども不要なのでメンテナンスも楽になります。先ほど、セキュリティを高めると生産性が損なわれるという懸念について話がありましたが、OSに組み込まれているセンサーを利用するため負荷が非常に低いので、「PCがすごく重たくて使いにくい」ということもありません。

國谷インシデントに関するニュースを耳にした経営層がセキュリティ担当者に、「うちの会社は大丈夫か、報告せよ」と指示するケースもよくあります。そうした意味で、対策状況の可視化は実現できますか?

柳氏マイクロソフトでは一つの攻撃行為をインシデントと捉えており、実際に管理画面を見ていただくと分かりやすいのですが、Defender for Businessでは自社の環境で発生したインシデントの情報が一覧表示されるようになっています。しかも、アラート1つ1つを個別に表示するのではなく、 大量のアラートを自動的にインシデントの単位に束ねて表示するロジックが製品に組み込まれていますので、そのインシデントの影響を受けるデバイスやユーザー情報などをすぐに把握できます。

 さまざまなセキュリティ製品を継ぎはぎで使っていると、いろいろなところからばらばらにアラートが上がってくるため、セキュリティ担当者がそれらをつなぎ合わせる必要がありますが、これには専門的な知識が求められ、非常に骨の折れる作業です。それをこうした形にシンプルにまとめ、可視化できることが特徴です。(デモ画面にあるように)1台だけならまだしも、数台、数十台のPCを管理するときでも、「どのPCが起点になって、どうなっていったのか」という状況をすぐに示せるため、経営層に対する説明にも有効だと思います。

國谷最近の脅威への対処ではスピードが鍵を握りますよね。しかし、ばらばらなアラートに関する情報をセキュリティ担当者の勘に頼ってつなぎ合わせ、確認していくのはとても大変で、何時間もかかることが珍しくありません。その間にクリティカルな被害を受けてしまう恐れもあります。

吉屋氏このソリューションの優れているところは、「自動調査」ができることです。人材不足が課題だというお話がありましたが、人の代わりにシステムが調査、対処し、その内容を示してくれます。しかも、この画面のインシデントでは「13秒で脅威を封じ込めました」ということまで分かります。導入した製品がこれだけ機能し、効果を発揮していることを伝えことにもお役立ていただけると思います。

國谷13秒で対処できるのはすごいですね。

吉屋氏はい、自動調査のすごいところは、手動オペレーションのほとんどを削減できる部分にあります。通常、手動の場合は、インシデントページでアラートを確認し、そのアラートをドリルダウンして詳細確認を行い、デバイスやファイルなどの対象に対してアクションを実施し、最終的にインシデントをクローズする流れが一般的かと思います。自動調査を活用すると、インシデントページまたはダッシュボードを確認して、気が付いたら対処が終わっていた、という感じです。非常に「エモい」機能です!もちろんその後、メッセージを確認して、根本的な対処が必要であれば実施する必要はあります。

少ない労力でより多くのことを実現するためにゼロトラストと迅速な対応を提供

柳氏また、ゼロトラストセキュリティでは、継続的にセキュリティ状況を検証し、信頼できる場合にだけアクセスを許可する仕組みが求められます。Defender for Businessに加え、Azure Active Directory(Azure AD)、Intuneなどのマイクロソフト製品を組み合わせていくことで、将来的にそうした環境を実現することが可能です。また、サイバー攻撃に対する迅速な対応を実現する「モダン SOC」も実現します。

日本マイクロソフト株式会社 クラウド&ソリューション事業本部 セキュリティ統括本部 セキュリティテクニカルスペシャリスト 柳優記氏
日本マイクロソフト株式会社
クラウド&ソリューション事業本部 セキュリティ統括本部
セキュリティテクニカルスペシャリスト
柳優記氏

 例えば、従業員が悪意あるコードを含んだWordファイルを開いてしまっても、Defender for Endpointがアラートを上げ、同時にデバイスのリスクレベルを「高」に変更します。すると、Azure ADのアクセス制御機能が動作し、Azure Information Protecitonによって保護されている重要な情報へ一時的にTeamsからアクセスできないようになります。その後Defender for Endpointが自動修復を行いPCのリスクがなくなれば、再びアクセスを許可します。

 Azure ADをはじめとするマイクロソフト製品を組み合わせることで、NIST(米国立標準技術研究所)の「サイバーセキュリティフレームワーク」でいう、Identity、Protect、Detect、Response、Recoveryという一連の流れをカバーし、サイバー攻撃に侵入される前の対策と、侵入を受けた後の迅速な対応や可視化を、非常にスマートに、セキュリティ担当者に負担をかけることなく進められます。自動化を進め、担当者の業務負担を軽減できる点もぜひ視野に入れていただければと思います。

ゼロトラストによる侵入前の対策と、迅速な封じ込めによる侵入後の対応の両方をカバーする
ゼロトラストによる侵入前の対策と、迅速な封じ込めによる侵入後の対応の両方をカバーする

吉屋氏この流れでも、エンドユーザーも管理者も特に手を動かしているわけではありません。何か特別なことをすることなく実現できています。

國谷「エモい」セキュリティですね! 実際、こうして自動化していかなければ、業務が回らなくなりますよね。

吉屋氏加えて、私がぜひお客様に活用していただきたいと考えている機能が「セキュアスコア」です。

 セキュアスコアを見ていただくと、今この組織のセキュリティ対策は100点満点中でどの程度か、そしてスコアを上げるためには何をしなければいけないかが優先順位順に出できます。最大の利点は、「うちの会社は何を最初にやらなければいけないのか」を確認できることです。たとえインシデントが発生しなくても、このスコアを参照していくことで日々改善していけますし、経営層や関係者に対し、これまでどのような改善を進めてきたかを説明し、万一インシデントが起きてしまった時に、これまで必要な対策を講じてきたことを示すことにもつながります。

セキュアスコアによって自社の対策状況を可視化できる
セキュアスコアによって自社の対策状況を可視化できる

國谷セキュリティをよく知らない人ほど100%の対策効果を求めがちですが、完璧な対策はありませんよね。自社がどういう状態にあるかを示し、「さらに上を目指すためにこうした対策が必要です」ときちんと要求するのにも活用できそうです。

吉屋氏この先に必要なセキュリティ投資もここから算出できると思います。また、セキュアスコアでは、自社のスコアと類似の規模のテナント情報とを比較できるため、それを1つのベンチマークにして改善に取り組むことができると思います。

吉屋氏さらに、脅威の分析機能もお勧めです。世の中で流行っている攻撃や脅威を1つのページにまとめて表示しており、より詳しいアナリストのレポートを参照することもできます。ポイントは、自社の環境が流行りの脅威に侵されているかどうかを確認できることです。例えば、Apache Log4Jの脆弱性ならば、その脆弱性を悪用した攻撃を組織が受けているのか、受けていないのか、はたまたその脆弱性に対して危険なデバイスはあるのかどうかを一目で判断できるようになっています。

これからDefender for Business を使うことを検討するIT担当者の方に向けて

國谷Defender for Business のお客様導入事例をおしえてください

吉屋氏中小企業ではありませんが、Defender for Business の大企業向け製品であるDefender for Endpoint をお使いである企業様は2人の担当者で約数万台のデバイスを運用されている事例があります。それが可能なのは、やはり自動調査の機能などが働いているからですね。インシデントがあってもある程度対応を担ってくれるため、2人だけで十分運用を回せているそうです。組織のスタンスによっては外部に任せて他の部分に注力したいという要望もあるでしょうから、そうした場合はさまざまなパートナーさんを紹介することもできます。

國谷ツールの展開や既存環境からの切り替えについてはどうでしょう?

柳氏Active DirectoryのグループポリシーやIntuneなどいくつかの展開方法が用意されており、簡単なこともメリットだと考えています。特にIntuneをすでにお使いの場合は、ボタンをぽちぽちっと数回押すだけで連携が完了します。

吉屋氏Windows OSにビルトインされていることにも関係しますが、後から追加でエージェントなどをインストールする場合、アップデートの度に検証や管理が必要です。ですが、Defender for BusinessはOSの更新プログラムに含まれているため検証が不要です。非常にシンプルで、運用担当者にとっては大いに労力を省けると思います。

國谷では最後に、今後のDefender for Businessの活用のポイントについてお聞かせください。

吉屋氏マイクロソフトは日々65兆件のもの脅威シグナルを世界中のアナリストが解析して対策につなげています。また、その最新動向を「Microsoft Digital Defense Report」として公開してきました。

 最新の2022年版では、RaaS(ランサムウェア攻撃を代行する犯罪サービス)のほか、PhaaS(フィッシング攻撃を代行する犯罪サービス)といったサイバー犯罪者のためのビジネスが確立されており、費用対効果の高いランダムな攻撃が増加していること、それに伴ってターゲットを絞り人手で行われる標的型攻撃の方に犯罪者が集中できる環境になっていることが指摘されていました。

 こうした状況に対応するには、2つの重要なポイントがあります。まず、組織のマインドセットの転換が必要です。具体的には、攻撃されないことだけに注力するのではなく、攻撃されても被害を小さくすることを目標にしていく、ということです。同時に、ばらばらのセキュリティツールを統合し、アラートを1つにまとめ、セキュリティ運用の負荷を下げていくことも必要です。 人材不足という課題に立ち戻ると、巨大な脅威インテリジェンスや自動調査の機能など、製品側のパワーを活用いただくのが良いと思います。

 もう1つは、基本的なセキュリティ対策の重要性です。実は、基本的な対策を実施していれば、98%の攻撃を防ぐことができるといわれています。ただ、組織が管理しなければならない領域が増えているだけでなく、深さも増しており、基本といっても担当者が全てをカバーするのは大変なことでしょう。そこで活用できるのが先ほど説明したセキュアスコアです。エンドポイントだけでなく、Azure ADやMicrosoft 365、Teamsといったマイクロソフト製品に関する状況を可視化し、推奨事項を把握できます。ぜひこのベストプラクティスを活用していただきたいと思っています。

國谷こうしたDefender for Business の様々な機能について、お客様から喜ばれたことはありますか?

柳氏はい。まだまだマイクロソフトと聞くとOfficeなどのイメージが強いようです。「セキュリティもここまでちゃんとできるんだ」という感想をいただくことが多いですね。

吉屋氏私たちにとって最も悲しいのは、何かインシデントが起きて組織の締め付けが厳しくなり、リモートワークができなくなったり、PCの持ち出しが禁じられてしまったりと、生産性が損なわれてしまうことです。

柳氏マイクロソフトでは「Do more with less」というキーフレーズを掲げています。例えばセキュリティの現場では、アラートが日々大量に検出され対応に追われてしまいますがが、自動化の機能やAIなどを活用し、お客様にはより少ない労力でより多くのことを実現していただきたいと考えています。

吉屋氏「セキュリティのためのセキュリティ」ではなく、楽をするために投資し、どんどんイノベーションを巻き起こしてほしいと思っています。

提供:日本マイクロソフト株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2023年12月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]