日本マイクロソフトのチーフセキュリティオフィサー(CSO)の河野省二氏
セキュリティという枠組みだけでは解決できない?
「トラスト」ベースでの取り組みを
國谷今年は弊社との共催で実施するDigital Trust Summitですが、このイベント自体は今回で3回目の開催になります。そもそも、他のイベントのように「サイバーセキュリティ」や「プライバシー」ではなく、「トラスト」というキーワードを使った理由は何ですか?
河野氏日本マイクロソフトは以前に春と秋の2回、「Microsoft Security Forum」と題するイベントを開催していました。春はサイバーセキュリティ月間に合わせた内容で、秋はマイクロソフトのさまざまなテクノロジーを紹介していましたが、徐々に「セキュリティ」という枠組みだけでは、全てを説明できないと感じるようになりました。
私がCSOに就任した5年前から日本マイクロソフトでは、「ゼロトラスト」というキーワードを使い始め、社内でもお客さまとの関係でも、「トラスト」を積み上げていく取り組みを始めたのです。こうしたことから「トラスト」というキーワードを盛り込み、秋に開催するイベントを名付けました。また、マイクロソフトとパートナーの方々が連携した「Digital Trust Security Alliancence」や「Digital Trust RegTech Alliancence」といった活動を通じて、さらにトラストの輪が広がっています。
國谷「ゼロトラスト」は、市場では、主にテクノロジー的な観点から語られることが多いように思います。しかし、河野さんがおっしゃる「ゼロトラスト」は、もう少し広い意味合いに感じます。
河野氏マイクロソフトは、組織内やサプライチェーンにとどまらず、サイバー空間全体へトラストを深めていきたいと考えています。ITのプラットフォームを幅広く提供しているマイクロソフトのサービスを1つのハブとして、トラストを広げていただきたいと考えています。それが「ディスインフォメーション(虚偽)」のような曖昧なものへの対策にもなるでしょう。
國谷「トラスト」構築を進めるには、IT部門やセキュリティ部門だけでなく、経営管理部門やデジタルサービスを仕掛ける事業部門など幅広い部門が関わってくることになると思います。イベントの狙いには、これまでの縦割り構造の組織ではなく、部門横断のつながりを意識してもらうこともありそうですね。
河野氏「トラスト」の話を基点として、さまざまな企業・組織のCISO(最高情報セキュリティ責任者)やCSO、CIO(最高情報責任者)やCDO(最高デジタル責任者)の方々とお話をしてきました。組織における「トラスト」を確立するには、まず組織に所属する人が正しいことを証明しなければなりません。なりすまし対策や権限管理の点で人事の方ともコミュニケーションが欠かせませんし、セキュリティと並行してデジタルトランスフォーメーション(DX)を推進するには、業務改革に携わる方々との連携も必要です。
ビルトインセキュリティとして、セキュリティ機能がサービスプラットフォームに組み込まれている現在では、IT部門やセキュリティ部門、事業部門といった方々が対立して切磋琢磨してきたこれまでの構図は終わりを迎えており、1つのプラットフォーム上で皆さんがコミュニケーションしていかなければなりません。セキュリティ部門の方だけではなく、人事部門の方や業務改革部門の方にも、今回のイベントにぜひご参加いただき、新たな世界観に触れていただきたいと思います。
イベントのお申込みはこちらゼロトラストの中核をなす「アイデンティティ」、
いかに活用するかの構想を紹介
國谷今回のイベントは2日間に渡り、多彩なテーマのセッションを用意しています。 この2日間の構成について解説いただいても良いですか。
河野氏1日目はデジタルトランスフォーメーションによって構築されたセキュリティの世界観についてお伝えし、2日目はそれらを具体的なテクノロジーやソリューションに落とし込んで紹介する構成です。今回は、もう1つ新しい軸を加えています。お客様の「ゼロトラスト」への取り組みのフェーズに応じた内容にもなっています。
1日目は、ゼロトラストの先を見据えたセキュリティの戦略、計画がテーマです。そもそも、ゼロトラストは、セキュリティ対策のゴールではありません。ゼロトラストを踏まえて、次に見えてくるものは何か、マイクロソフトの考え方をお話します。
2日目は、これからゼロトラストに挑戦したいと考える方々向けのゼロトラストのソリューションショーケースです。一日の業務の中でどのようにして組織のトラストを構築、維持していくか、逆にトラストが維持できていないとどのようなことが起きるのかを、マイクロソフトのサービスが提供するさまざまなダッシュボード画面を織り交ぜながらご紹介し、「こうすればいいんだな」というみなさまの発想を沸き立たせるようなデモンストレーションをお送りします。
國谷ゼロトラストの世界では「アイデンティティ」が中核になりますね。働き方改革の文脈でさまざまなクラウドサービスを活用したり、取引先やサプライチェーンと連携していく中では、自分のアイデンティティを示し、信頼できる存在であること認識してもらったりすることが重要なポイントになります。また、DXの文脈でいろいろな企業とコラボレーションしながら新たなビジネスを作り上げていく場合にも、それを利用するお客さまのアイデンティティが重要です。どちらの場合もアイデンティティが中心になってきます。
河野氏そうですね。「これは誰か」「これは誰のものなのか」アイデンティティが明確になれば安心できますし、それがトラストの根底だと思います。例えば、会ったこともない人とメールをやりとりしたり、チャットをしたりするにも、組織間での信頼関係が構築されており、それに基づいて発行されたIDを持っている人なら信用できますよね。
また最近は、複数のクラウドサービスを活用するのが当たり前になっています。複数のクラウドサービス間でデータが共有されたり、移動していくことがありますが、その時に「これは自分が作ったデータです」「これは誰が作ったデータです」ということが、データがどこにあったとしても分かる点も重要です。このように、アイデンティティにひも付いたデータ管理として、データガバナンスも必要になるでしょう。
國谷「トラスト」の取り組みでは、DXとして自社の環境をどう革新していくかというテーマだけでなく、サイバー攻撃などのさまざまな脅威から自社を守るというセキュリティ対策もあります。
河野氏セキュリティ対策の観点では、マイクロソフトは「脅威インテリジェンス」を通して、自社以外の企業や組織、業界、国家で起きている出来事の情報をご提供し、それらを活用して備えや予防をしていくお手伝いをしています。企業が自ら専門家を抱えて情報収集し、個別に対応していくのは、なかなか難しいことです。そこをサポートしていきたいですね。
また、コンプライアンス面では個人情報保護に対する期待が非常に高まり、それを受けてさまざまな法制度が整備されています。ただ、こうした法律や規制の全てを把握して、自社のIT基盤やデータ管理に対応させていくことも非常に大変です。そこで、マイクロソフトが提供するプラットフォームの中で、お客様が法律や規制に対して強く意識せずとも、最低限必要なことはいつでも適切に実施されるようになる環境を整えていきたいと考えています。
國谷「GDPR」(欧州のデータ保護規制)や国内の個人情報保護法でも、そうした法規制のそもそもの趣旨は、「きちんと守るべきことを守った上で活用していく」というところにありますよね。企業がそれらの法規制をクリアしながら適切な形で保護し、いかに適切に利用していくかという部分に、マイクロソフトのグローバルな経験が生かせるといいですね。
イベントのお申込みはこちらビジネスインテリジェンスをベースに
リブランドされたソリューション群の活用法
國谷テクノロジーやソリューションもだいぶ様変わりしています。
河野氏実は、皆様にご利用いただいてきたマイクロソフトのソリューション名称が変わり、大きく分けて5つのブランドになりました。「Intune」や「System Center Configuration Managerと呼ばれてきたソリューションは「MEM(Microsoft Endpoint Manager)」として、「Azure ActiveDirectory」(AzureAD)などを含む「Entra」と深く連携して、信頼できるエンティティーの管理を担います。そして、エンドポイントの全ての信頼を監視するためのマルウェア対策や「EDR」といった領域は「Defener」、データガバナンスとコンプライアンスは「Purview」、プライバシー管理は「Priva」となっています。
これらのソリューションを支えるのがビジネスインテリジェンスです。マイクロソフトでは、Microsoft 365の利用において、「誰と誰がコラボレーションし、誰が誰の資料を閲覧したか」といったコラボレーション時の関連性を表す全てのデータを、テナント内に存在するさまざまなファイルやデータ、アカウントなどとともに「Microsoft Graph」というデータベースに格納しています。これがそれぞれのソリューションの基盤となり、信頼できるエンティティー管理、シグナルと動的ポリシーによる管理、データガバナンス・コンプライアンス、プライバシー規制への対応という4つの大きな領域を支えています。1つのデータ基盤を元にしているので、各ソリューションが連携できるようになっています。
ここにマイクロソフトの専門的な知見と人工知能(AI)による分析を加え、さらに高度な活用ができるようになります。例えば、脅威インテリジェンスを組み合わせてセキュリティ事故に関する情報を入手し、事故発生の予兆管理に生かしたり、最新の法律に適合したプライバシーポリシーを反映したりするといったことが可能になっていきます。
國谷それらが2日目の各セッションで紹介されますね。
河野氏はい。2日目は、この5つのソリューションをご説明するほか、「Permissions Management」や「Verified ID」といった、マルチクラウド管理のための新しいソリューションについても紹介、従来のマイクロソフト製品と、どのように絡み合いながら利用できるかご紹介します。
Permissions Managementは、「CloudKnox」という企業が開発していたマルチクラウド環境での権限管理ソリューションです。マイクロソフトでは、Entraの中のAzureADと連携したり、クラウドサービスへのアクセス管理のための「Defender for Cloud Apps」と連携しながら権限管理を行えたりできるようになっています。また、IDの信頼を確立するという部分では、オンデマンドセッションで用意しております。「Verified ID」という新しいソリューションにフォーカスし、組織内のIDの信頼性を他の組織において活用するかという点において、マイクロソフトがサポートしていくかもご紹介します。
今回は「マルチクラウド」が1つのキーワードになると思います。マイクロソフトは、これまでオンプレミスとAzureとの融合という文脈で「ハイブリッドクラウド」を提唱してきましたが、今や単一のクラウドだけを使うケースはまれです。
「Defender for Cloud」では、Azureはもちろん、AWSやGoogle Cloudもサポートしています。今回はそうしたソリューションによって、マルチクラウド環境やオンプレミスに跨がる管理をどう一元的に行うか、ダッシュボードの画面を交えながら紹介します。
國谷たくさんのユーザー事例もあります。
河野氏ヤマトシステム開発様などにご登壇いただく予定です。今までこうしたカンファレンスでのユーザー事例というと、「自分たちはいかに成功したか」を紹介するケースが多かったと思いますが、今回は皆様がどのような悩みに直面し、どう解決してきたのかというお話を予定しています。
マイクロソフトは、近年「ユーザー会」を開催しており、そこでユーザーの皆様が共に相談し合って課題解決につなげています。私たちもそこからユーザーの皆さんの本当の悩みを知り、勉強させてもらっています。今回のイベントで、その一部を広く還元できればと思います。
國谷ソリューション名の再編を見ると、いろいろなポイントソリューションを必要に合わせて組み合わせてきた多層防御のアーキテクチャーから、1つのプラットフォームとして整理、統合されていることが特徴的だと感じます。
河野氏その通りです。マイクロソフトの場合は、「Microsoft Graph」という1つのデータベースに全ての情報があり、その上に各ソリューションが載っているという非常にシンプルなアーキテクチャーですので、後から何かを追加するのも容易です。それが今回ソリューションをうまく整理できた理由の1つでもあります。
國谷この十数年は、仮想化技術によってITのワークロードが抽象化され、ITリソースを柔軟に利用して、より多くのことを実現できるようになりました。セキュリティのテクノロジーもそれと同じように、セキュリティ対策を抽象化し、シンプルにすることで、ビジネスを次に加速させていくためのプラットフォームを整えているように思います。
河野氏そうですね。そもそもマイクロソフトのソリューションは個々のサービスではなく、これらを連携していくことでより効果を発揮します。お客さまの中には、これまで20年近くセキュリティ対策を積み重ねてきた結果、それ自身が足枷となってしまい新たなセキュリティ基盤への移行ができないというお悩みを持っておられる方も少なくありません。新たなセキュリティ基盤への移行についてどのような取捨選択ができるのかを知っていただくきっかけとして、このイベントを活用いただきたいと思います。
國谷ありがとうございます。このイベントに込められた「想い」を感じていただく事はできたでしょうか。ぜひ9月28日、29日は、Digital Trust Summitへの参加を検討いただければ幸いです。
イベントのお申込みはこちら