セキュリティの責任をユーザーにばかり負わせないための「基盤」を整備しよう
河野「Microsoft Security Forum 2018」のセッションに登壇された東京海上ホールディングスの黒山康治氏は、IT活用が「業務の省力化」から「サービス化」になると、もうちょっといいものになるかもしれないと話していました。例えば、CSIRTの業務やセキュリティ活動の多くもサービス化することで、より良い方向に進むのではないかと思います。インシデントに備えて(被害調査や再発防止策などに必要な費用として)積み立てているような内部留保も、本来ならビジネスの可視化や新しいサービスの創出といったところに使い、業務改革にチャレンジしていくべきだと思っています。でも、一番の課題はIT基盤作りなんですよ。
岡田なるほど。
河野もう一つ危惧していることは、今の若いセキュリティエンジニアが「セキュリティしか知らない」ということです。僕らの世代のエンジニアは、開発やインフラ構築など、何かを作る段階で「セキュリティも必要」だということを認識し、IT活用とのバランスが必要であると知っていますが、「セキュリティマネジメントしか知らない」「CTFでしか活躍できない」というにわかスペシャリストしかいなければ、本当に良いサービスは生まれないんじゃないかと思います。
岡田そこがポイントですよね。セキュリティのために変化や進歩を実現するものづくりが阻害されるのは本質ではないし、残念なことです。セキュリティ実践の競技会Hardening Projectは、セキュリティのキャリアを目指そうという人たちにすべてのシステムにはビジネス目的がある、いわゆる総合格闘技だということを知ってもらうことに貢献していると思っています。そこでは技術偏重スタイルの鼻がへし折られたという人もいますし、予想外のビジネススキルがシステム堅牢化の役に立ったという人もいます。
河野さすがですね(笑)。最近は、開発者も自分が得意なプログラミング言語しかやらないなんていう話を聞くことがありますが、セキュリティしか知らないなんていうのもかわいそうなことなんです。それでは、モノを作れませんからね。ブレーキだけ作っても車は走らないわけだから。「ITを安心して使うことができる」とか、「事故にあっても想定内の損失で抑えた」といえるような見せ方が必要ですね。
岡田今、海外で発明され、日本にローカライズされたセキュリティコンセプトをうまく使いこなせるように、よもや誤って受け取られないようにしていきたいものだと感じています。なぜそのコンセプトが生まれ、必要とされているのかという背景や目標が理解されないままに、形ばかり浸透しているか、肝心な部分が大きく見過ごされている状況が見受けられます。
河野いまマイクロソフトは、デジタルトランスフォーメーションの実現に取り組んでいます。それは“電子化”ではなく“情報化”です。文書をワープロで見た目をきれいにして終わりではなく、作ったものを共有したり、再活用したりして、より生産性を高めることがポイントです。そのためには、データが中心にあって、皆がそれを権限の範囲で自由に使えるようにしていく環境作りがとても重要になります。これまでは信頼できるネットワークと信頼できないネットワークの境界をファイアウォールで分けて……というやり方をしていましたが、スマートフォンやクラウドサービスなどがこれだけ普及した現在、ファイアウォールで境界を作るなんて、意味をなさなくなっています。
岡田全くです。ネットワークによる「信頼性境界」の時代ではなくなりましたね。
河野これからは物理的なネットワーク環境に頼らないセキュリティを実現していかなければいけないと考えています。マイクロソフトがこれから提供するサービスのネットワークは全てSoftware Defined、つまり物理層が持つ脆弱性や、そして脆弱なプロトコル利用のリスク払しょくするためにソフトウェア化されていきます。技術者がネットワークのすべてのレイヤーを見るのではなく、自分に必要な部分だけ見ればよいという環境にしていきたいですね。こうした考えを具現化するために、「Microsoft 365」はOffice 365とWindows 10、セキュリティ管理のEnterprise Mobility+Securityを統合したサービスとして提供されてます。つまり、OSを守ろうとか、Officeアプリを守ろうというのではなく、データを利用・管理するための環境を提供するプラットフォームとなっています。
岡田ユーザは、いつも通りに仕事を進められるということですね。
河野そうです。この環境で業務をしていれば、最低限のセキュリティが担保されているので、あまり意識しなくていいわけです。そもそも企業は、セキュリティを高めるために仕事をしているわけではありません。
岡田従業員の人たちが「このメールは開くべきなのか?」と悩まされるこの時代を早く終わらせるべきですよ。だってメールを迅速に開いて処理することは仕事の中心にあることなんですから。以前から河野さんは、「エンドユーザーに負担をかけるセキュリティはおかしい」と、言っていましたね。
河野はい。判断は責任です。従業員に無駄な判断をさせているというのは、責任の押し付けですからね。先ほどのMicrosoftアカウントの家族向け機能もそうですが、人は状況が分からないからイライラして叱りたくなるわけで、状況が分かっていれば叱りませんよね。大きな事故に発展する前に気が付けば、叱って止めることができるかもしれません。「監督不行届」をなくして、家庭なら子供たち、企業なら従業員の皆さんに責任を負わせないためにも、ガバナンスのためのプラットフォームを作っていただきたいと思います。
岡田何から着手しましょうか。
河野やはり、ID管理基盤を丁寧に作ることです。一人ひとりが安心して仕事ができる環境を作るためにも、まずは現場の状況を把握できる、ガバナンスの基盤を作ってほしいと思います。
岡田確かに、一通り整備して次にID管理基盤を買うというイメージがありますね。本当は順序が逆で、“ID管理基盤ファースト”にするべきだということですね。
河野はい。そして、「ID管理基盤=ログ管理基盤」なんです。よく「ログイン」といいますが、文字通りずっと流れている「ログ」、つまり記録の流れの中に「入る」(イン)ために認証される動作というわけです。「ログイン」していない活動は、そもそも“記録”されないですし、承認もされていません。逆に、「ログインした」ということは、きちんと活動が記録され、それをもとに会社が状況を把握し、不正をしていない従業員を守るということです。ID管理基盤とログ管理基盤の両方が整備されているから、より良いITプラットフォームができます。お客さまには「まず従業員の皆さんにADをきちんと使っていただき、Microsoft 365でどこまでのセキュリティを確保できるか」を納得してもらい、その上で足りないところがあればセキュリティパートナーの皆さんが提供されているサービスを検討していただきたいとお伝えしています。
岡田これからはITがどんどん抽象化されていき、特定のサービスがなぜ利用できるのかということを意識しなくなると思います。「誰が」「何を」やってくれているかも意識しなくなるでしょうね。そのような中で“黒子”としていろいろな基盤を支えているマイクロソフトの役割も影響力も、とても大きいものだと思っています。新CSOの河野さん、期待していますよ。
河野水道水を誰もが安心して飲めるのと同じように、いまユーザーに課されているセキュリティ上の負担や責任を少しでも軽減させ、セキュリティが守られている中で、ユーザーの皆さんが生産的な活動ができるような基盤を作っていきたいと思います。
