はじめにサイバー攻撃を受け、その結果、例えば⼤規模な個⼈情報漏えい事故などが発⽣するたびにその原因を追求し、対策を実施しているにもかかわらず、事故はなかなかなくなりません。そればかりか、事故の規模は拡⼤するばかりです。これは、IT 活⽤が進めば進むほど情報が活⽤される機会は増え、事故が発⽣する確率も増⼤するのだから、仕⽅ないことなのです。とはいうものの、事故によってビジネスに影響が出るようになると、IT 活⽤の機会が奪われてしまいます。経営者にとってもっとも重要なことはビジネスであり、それを向上するための IT 活⽤が積極的に⾏われるはずなのですが、実際にはセキュリティの問題が解決されないために IT 活⽤がままならないというケースも多いようです。本ガイドブックでは、IT 活⽤を積極的に⾏い、ビジネスに有効に使っていきたいと考えている経営者の⽅、経営者への提案を⾏う⽅に向けて、クラウド時代の IT 基盤づくりとセキュリティについて解説をします。本書の⽬的と使い⽅本書は情報セキュリティの基本的な考え⽅を理解した上で、組織に合った情報セキュリティ対策を実施するための実装、そして運⽤上のチェックを⾏うことができるような内容を提供します。中⼩企業から⼤企業まで、汎⽤的に考えられる⽅針を提供することで、組織における柔軟な情報セキュリティ対策の実現を⾏うことができるように構成しています。はじめに本書の⽬的と使い⽅⽬次 1. 情報セキュリティ事故の予防と対策の⽅針 1 2. 情報セキュリティ対策における費⽤対効果 2 2.1. 情報セキュリティはどこまでやればよいのか 2 2.2. 標的型メール攻撃対応訓練で考える対策費⽤ 2 2.3. 対策費⽤の適正化に取り組む 3 2.4. 判断基準を明確にするための情報収集 4 2.5. セキュリティ対策の視点を変更する 4 2.6. 情報セキュリティ以外の視点でコストを検討する 5 2.7. 定量型リスク評価を実施する 6 ■対策のチェックリスト 6 3. 情報セキュリティ対策の提案と選択 7 3.1. 情報セキュリティ対策の選択 7 3.2. 情報セキュリティ対策の提案 7 3.3. インシデントとイベント 7 3.4. PC 紛失からの情報流出のケース 7 3.5. 検討結果の⾒直し 9 3.6. 対策費⽤の算出 9 3.7. 代替案の提案と予算の確保 10 3.8. 様々なケースを利⽤したイベント連鎖のワークショップ 10 ■対策のチェックリスト 11 4. 最近の情報セキュリティ事故と対策の⽅針 12 ケース 1 ︓ウイルス感染による情報漏えい 12 チェックリスト︓ 14 ケース 2︓事故による経営陣の退任 15 チェックリスト︓ 16 5. クラウドサービスを利⽤したセキュリティの強化 17 5.1. クラウドサービスのセキュリティ対策 17 5.2. クラウドサービスとしてのセキュリティ（Security as a Service） 17 5.3. クラウドサービスを利⽤したセキュリティのコストダウン 18 5.4. サービスを組み合わせた設計 18 6. クラウド時代の IT 基盤づくり 19 6.1. クラウド時代の IT 事業戦略 19 6.2. ハイブリッドクラウドを構築する基盤 19 6.3. ログの⼀元管理 19 6.4. ネットワークサービスにおける ID 管理とサービスの選択 20 6.5. クラウドサービスを利⽤した IT 基盤の構築とガバナンスの確保 20 6.6. ファイルサービスの提供とライフサイクル管理 21 6.7. クラウドサービスを利⽤した IT 基盤の構築 21 7. Office 365 を活⽤したセキュリティガバナンスの実装 22 7.1. 認証連携 22 7.2. 多要素認証 22 7.3. セキュリティレポート 22 7.4. セレクティブワイプ 22 7.5. 条件付きアクセス 23 7.6. ⾃動暗号化 23 7.7. 標的型攻撃の⾼度な検知 23 さいごに 24 1 情報セキュリティ事故の予防と対策の⽅針国内では情報セキュリティ事故における最⼤の興味は個⼈情報や機密情報の漏えいにあります。これらの情報が漏えいすることで、お客様に迷惑をかけた上に信⽤が失墜したり、企業のビジネス情報を他社に活⽤されるなどの⼤きな影響を及ぼすことが考えれるためです。しかしながら、ビジネスを前提に考えた場合、漏えい事故だけではなく、ビジネスに深く関わる IT サービスの停⽌なども⼤きな問題となります。また、情報の改ざんなどによって⼤きな事故が発⽣することもあります。最近ではランサムウェアというマルウェアが流⾏っています。これは情報を盗みだすのではなく、攻撃者がコンピュータ上のデータを暗号化し、パスワードを掛けてしまうことによって、本来の所有者がデータを使えないようにしてしまうものです。暗号を解除するためのパスワードが欲しければ⾦銭を⽀払うようにという攻撃者からの連絡をもとに、泣く泣く「⾝代⾦」（ランサム）を⽀払うといったことが起きています。このランサムウェアがまさに「改ざん」と「利⽤妨害」という、漏えい以外の事故の象徴的な形となっています。情報セキュリティ対策を検討する際には、以下の 3 点について検討をしなければいけません。 ●機密性・・・情報を他者に⾒られたり使われたりした時の影響 ●完全性・・・情報を改ざんされたり削除されたりした時の影響 ●可⽤性・・・情報を使いたい時に使えない時の影響この 3 つの要素を網羅的に検討することによって、事故を未然に防ぐための検討を⾏うことができます。ただし、すべての対策を⾏わなければいけないということではありません。ここでは「影響」というキーワードでそれぞれの要素を表しましたが、この影響がすなわち損失につながります。つまり、事故が起きた時の損失を考えて、対策にかけるコストを検討します。10,000 円の損失に対して、1,000,000 円の対策費⽤をかけることは現実的ではありません。実施すべき対策とそうでないものを明確に分けるためにも、受容できる損失（リスク受容レベル）を設定し、リスク分析を⾏うことが重要です。また、これによって情報セキュリティ対策の効果を評価することも可能です。受容できるレベルにまで対策ができているか、たとえばメールの誤送信について年間に何件までだったら許容されるのかなどを設定し、それ以上かそれ以下かなどを判断します。メールの送信は⼈間が⾏うためにミスはつきものです。それがリカバーできる程度に事故を抑えるといったことが情報セキュリティ対策の重要なポイントになります。誤送信先が内部であったり、内容が⽐較的影響の少ないものであれば対応が可能ですが、外部への⼤量の誤送信となれば影響は⼤きく対応も難しくなってしまいます。情報セキュリティ事故は事故そのものの⼤きさだけではなく、その後の対応にも⼤きなコストがかかります。それも合わせて「影響」の中で検討していく必要があります。対応⽅針などを間違えてしまったばかりに、事故そのものは⼩さなものであっても、対応に⼤きな費⽤がかかったというケースも少なくありません。これらの問題に対応するためにももう⼀度、経営者が判断できる情報収集が求められています。 1 2 情報セキュリティ対策における費⽤対効果 2.1. 情報セキュリティはどこまでやればよいのか情報セキュリティ対策の費⽤を検討する際に、どこまでやれば⼗分なのかということについて議論されることが多いでしょう。このような中で担当者は適切な費⽤を⾒積もり、その効果を明確にしなければなりません。経営層は提案や報告を受け、実施状況の改善について指⽰を与えます。情報セキュリティリスクは⽇々変化しており、それに対応できることが求められています。情報セキュリティ対策には実装と運⽤があり、この双⽅について費⽤を検討していく必要があるのですが、実際には改善をするための費⽤なども検討しなくてはいけません。個⼈情報保護法などの外的要因として情報の保護対策を⾏っているような場合は⽬標が決めやすいのですが、経営に関連する対策ということで検討する際には⽬標が⾒えにくいというのも現状です。ここでは、標的型メール攻撃の原因となっているスパム攻撃について適正な費⽤を検討してみましょう。 2.2. 標的型メール攻撃対応訓練で考える対策費⽤対策の適性費⽤を検討する際に必要なのは、事故が起きた時の想定損失額です。損失額の算出は対応の仕⽅によって様々ですが、直接損失、間接損失、対応費⽤というように分類し、失われた資産そのものの価値、それを取り戻すためにかかる費⽤、そして事故に対する対応費⽤などを積算します。損失の合計直接損失間接損失対応費⽤図 1︓損失の合計この損失額は組織によって異なりますので、ここではメールに添付されたウイルスを開いた際に失われる資産価値や対応費⽤を含めた損失額を 5000 万円として対策の適性⾦額を検討します。標的型メール攻撃の対策として⼀般的に⾏われているのが、従業員に対する啓発と訓練です。擬似ウイルスが添付されたり、擬似フィッシングサイトへのリンクが記載されたメールに従業員が反応するかどうかを⾒るもので、対応者が少なければ啓発が成功しているというものです。⼀度の検査では結果がわからないために、多くの場合は 2 回の検査を⾏っています。１度⽬の検査でメールに反応してしまった者が 40 パーセント、そして 2 度⽬の検査では 30 パーセントだった場合、この訓練は効果があったと考えることができるかとおもいます。しかしながら、訓練の⽬的は達成したとしても、リスク管理からすればまだ 30 パーセントの事故発⽣の可能性が残っているわけです。これを残存リスクと呼んでいます。今回は仮定した損失額が 5000 万円でしたので、もしも年に 1 回攻撃を受けるとしたら 30 パーセントの確率で発⽣することになりますので、5000 万円の 30 パーセントである 1500 万円が損失予測額ということになります。経営層はこれについて費⽤対効果が認められるかどうかを検討します。もちろん 1500 万円という損失が企業にとって⼤きなものであることは変わりありません。となれば、訓練の効果は出ているものの、まだ納得できる数字にはなっていないということです。ところで、この訓練にはいくらかかったのでしょうか。 2 訓練に要した費⽤が 500 万円だとすれば、500 万円の対策で 3500 万の損失額を減額できたということで効果があったかのように⾒えますが、残念ながら評価の対象は減額⾼ではありません。経営層が想定する損失額の中に収まっているかどうかということについて評価をすることになります。つまり、いくらまでなら損失を許容できるかという、リスク受容レベルについて明確にしなくては効果があったかどうかは判断できないということになります。対策前の想定被害 5000 万対策費⽤︓500 万対策後の想定被害 1500 万リスクの受容レベル 100 万図 2︓対策の効果とリスク受容レベルの検討 1 回の事故にかかる費⽤として許容できる⾦額が 100 万円であれば、事故発⽣時の損失を 100 万円まで減額させなければいけません。つまり、1 度の事故での損害が 5000 万円の想定であれば、その 50 分の 1 ですから、メールの対応率が 2 パーセントになるまで訓練を⾏う必要があります。もちろん、この 2 パーセントというのは許容できる上限ですから、通常では 1 パーセント程度の結果が出ていなければ安定した運⽤はできていないと考えるべきでしょう。 2.3. 対策費⽤の適正化に取り組むところで、2 パーセントの対応率は現実的な数字だといえるでしょうか。 100 ⼈のうちメールに対応してしまう⼈数の上限が 2 名ということですから、従業員はかなり注意深く対応しなければいけません。また、標的型メール攻撃は年に 1 回ということではなく、もっと頻繁に送られてくる可能性があります。もしも年間に 20 通送られてきたとしたら、可能性は 20 倍、つまり想定被害額も 20 倍となり、1 回あたりが 100 万円なら年間で 2000 万円の損失を予測しなければいけません。もちろん 2000 万円は許容できる⾦額ではないでしょうから、これを更に減額するためには、メールに対応するものの割合を減らさなければいけません。年間の損失許容額が 100 万円だとした場合、先ほど想定した 2 パーセント（100 ⼈のうち 2 名）の 20 分の 1 ということになりますので、0.1 パーセントの対応率が訓練で許容できる結果ということになります。今回の想定では、訓練の成功は対応率が 0.1 パーセント以下ということになるわけです。もちろん、これでは許容できるぎりぎりのラインということになりますので、この半分程度の 0.05 パーセント以下であることが望ましいということになります。さて、ここまで出てきた数字をおさらいしてみましょう。１回あたりの想定被害額 5000 万円許容できる年間損失額 100 万円年間に送られてくる標的型メール 20 通⽬標対応率 0.05 パーセント（許容値︓0.1 パーセント）訓練の結果（対応率） 30 パーセント訓練の費⽤ 500 万円まずは、標的型メール攻撃訓練を⾏う際に必要な数字として、１回あたりの想定被害額、許容できる年間損失額、年間に送られてくる標的型メール、⽬標対応率が挙られます。今回の訓練の結果と対⽐させると、 3 0.05 パーセントの⽬標に対して 30 パーセントでしたから、結果としては残念ながら未達ということになり、改善を検討しなくてはいけません。どのように改善していくのかは、⽬標の 0.05 パーセントを達成するために必要な事項をどのように設定するかによりますが、おそらく従業員の教育だけでは追いつかないであろうことがわかります。もしも年間に送られてくる標的型メールの数がもっと多ければ、⽬標対応率は更に厳しいものになるでしょうし、少なければ若⼲ゆるいもので良いことになるでしょう。 2.4. 判断基準を明確にするための情報収集前項で挙げたそれぞれの項⽬の中には、机上で検討できるものもあれば、調査によって得られるものもあります。１回あたりの想定被害額机上許容できる年間損失額経営層の判断年間に送られてくる標的型メール調査（社内で収集）⽬標対応率机上年間に送られてくる標的型メールの数については、公開されているデータ等では正確な数を知ることができません。この数字は組織ごとに異なりますし、公開されているデータは数年前のものであることが多いためです。情報セキュリティに関連する数字などを提供している報告書には役⽴つ数字が⾮常に多く掲載されていますが、経営層が判断する実際のデータは社内にあることが多いのも事実です。社内の情報をどのように調査するのかを明確にし、活⽤していくことが情報セキュリティ対策の運⽤における重要なポイントとなります。どのような数字を持っておく必要があるのかについて検討する際には、このようにリスクを計算できるようにしておくことが重要で、まずは数字がわからなかったとしても項⽬だけ列挙し、それらを収集できるかどうかを検討することからはじめましょう。 2.5. セキュリティ対策の視点を変更する標的型メール攻撃の対策では、対象メールに反応しないことが⼀般的な対策だという前提で検討してきましたが、⽬標対応率が 0.05 パーセントということで無理だと考え、対応を諦めてしまおうと考えている⽅がいるかもしれません。しかし、数字を明確にしたことで、視点を変更することができることに気づいている⽅もいるでしょう。対応率を実現可能なものとするために、それに対応する数字を変更する⽅法です。まず、⽬標対応率を求める計算は以下のとおりです。（許容対応率）＝（許容できる年間損失額）÷（想定被害額）÷（攻撃メールの数）この中で、許容できる年間損失額は変更できませんので、想定被害額を減少させるか、攻撃メールの数を減少させるかで、⽬標対応率を上げることができます。たとえば想定被害額はそのままで、攻撃メールの数を 20 通から 10 通に減少させた場合、（許容できる年間損失額 :100 万）÷（想定被害額 :5000 万）÷（攻撃メールの数︓10 通）＝ 0.2 パーセント（0.002）となります。0.2 パーセントと出てきましたが、これは許容値なので、⽬標は半分の 0.1 パーセントとなります。 4 つまり、攻撃メールの数を半分にすれば、対応ミスがあっても許容される可能性が⾼まるというものです。同様に想定被害額を減少させるために何ができるのかを検討するのも良いでしょう。攻撃メールは攻撃者が勝⼿に送ってくるものだから対応ができないと考えてしまいがちですが、ここでいう攻撃メールの数とは、従業員のメールボックスに届く攻撃メールの数です。ですので、何らかのフィルタリングを⾏うことによってメールボックスに届かないようにしてしまえば、またはメールボックスの中で攻撃メールであることがより明確になれば、攻撃メールの数を減らしたことになるのです。標的型攻撃メールはスパムメールの⼀種です。スパムメール対策を適切に⾏うことで、従業員のメールボックスに届くメールの数を減らすことができます。スパムメールフィルタリング機能は多くのクラウド型メールサービスに標準で搭載されています。⾃ら運⽤することもできますが、取り扱っているメールの数が⾮常に多くなければフィルタリングのための定義ファイルを構築することはできません。適切な対応を継続的に⾏うためにも、メールサービスを⾏っている事業者と連携してフィルタリングを⾏うのが良いでしょう。 2.6. 情報セキュリティ以外の視点でコストを検討する情報セキュリティに関する費⽤はコストだと考えてしまいがちですが、本来は IT サービスを最⼤限に活⽤するために実施するのが情報セキュリティ対策です。IT サービスを構築したり、導⼊する際に、その運⽤の障害になる可能性のあるリスクについて軽減し、⽬的通りの利⽤と⽬標となる稼働率を実現するために情報セキュリティは実施します。⼀般的な情報セキュリティ対策である情報の保護なども、適切な情報管理サービスが運⽤できることを⽬的としたものです。今回はメールサービスについて検討し、標的型メール攻撃はスパムメールによって⾏われていることもわかりました。ところで、スパムメールそのものはメールサービスの運⽤の障害になっていないのでしょうか。 2011 年にフランスの⼤⼿ IT 企業が調査したところによると、従業員あたりのメールの処理時間は週に 5 時間から 20 時間だという結果が出ており、スパムを含めた業務に必要ないメールが 9 割以上だったそうです。 1 名あたりの対応時間を 1 ⽇ 60 分と想定し、従業員の平均残業代を時間あたり 2000 円とすれば、1 ⽇に 1 名あたり 2000 円のコストが余計にかかっていると想定できます。1000 ⼈の会社であれば、1 ⽇ 200 万円の損失であり、⽉に 4000 万の損失であると考えることもできます。情報の保護だけを考えてセキュリティ対策を実施していると、その費⽤の多くがコストであると感じてしまうかもしれません。しかし、IT サービスの適正な運⽤の⼀部であると考えれば、本来必要な運⽤費であるという判断ができ、またそれを複合的に⾏うことで対策と費⽤の適正化を⾏うことができるようになります。標的型メール攻撃対策を実施する前に、その原因であるスパムメールをゼロに近づけることで年間に⾮常に多くのコスト削減ができるということに気づき、その効果について明確にしていきましょう。情報セキュリティにおける経営責任⽬的の明確化組織づくりリソースの割当計画と改善など経営層⽬的に従っているかの確認さらなる改善現場⽬的に応じた対策情報提供 IT 活⽤による「判断の明確化」と「効率化」による⽣産性の向上図 3︓情報セキュリティにおける経営責任のあり⽅ 5 情報収集報告 2.7. 定量型リスク評価を実施するこれまで例⽰してきたリスク評価の⼿法を定量型リスク評価と呼んでいます。⾦額にできるところは⾦額として表すことで、経営により密接なものとして捉えることができます。経営資源の分配（ポートフォリオ）の 1 つとして情報セキュリティを捉えるためには定量型リスク評価は必須であり、関連する情報を収集することも必須事項です。しかし多くの場合、⽬標を⽴てるための情報収集はできておらず、効果を測定するための基準値も設定できていないのが現状です。正確な情報収集はインタビューなどによって⾏うことはできません。必要な情報を適切に収集できるように IT サービス基盤を構築する必要があります。情報収集コストを適正化するためにも、ID 管理、リアルタイムログ管理をベースにした IT サービス基盤の構築が有効です。 ■対策のチェックリスト経営者組織組織の情報セキュリティの⽬的について従業者に周知していますか情報セキュリティに関する報告体制を構築していますか情報セキュリティ責任者を設定していますか情報セキュリティ担当者の数は適切ですかリスクリスク受容レベルの設定を⾏っていますかリスク受容レベルを設定する際に事故の発⽣頻度を検討していますか報告事故の報告基準（どんなときに報告をするかなど）を決めていますか定期的にまとまった報告書を受け取っていますか報告に対して、適宜改善の指⽰を与えていますか予算報告に基づいて、年次のセキュリティ予算を構築していますか予算には突発的に発⽣する可能性のある事故対応費⽤も含んでいますか対策を⾏う必要がなくなった予算について検討していますか情報セキュリティ担当者組織組織の情報セキュリティの⽬的について把握していますか情報セキュリティ担当者の業務は明確になっていますかリスクリスク受容レベルについて経営者から指⽰をうけていますか経営者がリスク受容レベルを設定できるようにリスク⼀覧を作成していますか報告基準に従って報告を⾏っていますか事故について定期的に集計し、傾向を把握していますか内外の事故について適切に把握するための情報収集を⾏っていますか予算経営者が予算を計上しやすいように、提案書に費⽤対効果を掲載していますか対策の効果が明確になるような資料を経営者に提供していますか 6 3 情報セキュリティ対策の提案と選択 3.1. 情報セキュリティ対策の選択情報セキュリティ対策はいくつかの候補の中から選択をします。このリスクにはこの対策という決め打ちをせずに、様々な⽅法を提⽰し、その中でもっとも良い対策を常に選んでいくことになります。良い対策とは、費⽤対効果が⾼く、維持がし易いもののことです。情報セキュリティ対策は維持できなければ意味がありません。維持が容易であることは何よりも優先される事項なのです。⼈間が注意を払って⾏うセキュリティ対策は維持が難しいといえます。⼈間はどうしてもミスをしますし、継続的に物事を⾏うのが苦⼿です。ですから、良い対策とは出来る限りシステム化されていて、⼈間の関与が少ないものと判断することができます。 3.2. 情報セキュリティ対策の提案情報セキュリティ対策の選択は経営者が⾏います。これは情報セキュリティの最終責任は経営者にあるためで、もしも経営者が責任を負わない場合は情報セキュリティ責任者が対策の選択を⾏います。ただし、多くの経営者は情報セキュリティの専⾨家ではありませんので、対策を提案することはできません。提案は情報セキュリティ担当者が⾏います。情報セキュリティ対策の提案を担当者が⾏うからといっても、その提案が⼗分に検討されたものであるかどうかを判断するのは経営者です。最近はこれらをデューデリジェンスと呼び、専⾨家と同様の視点で責任者がそれを判断することも求められています。ここでは情報セキュリティ対策の提案の⽅法を提⽰し、そのプロセスを理解していただくことで提案が⼗分に検討されたものであることを判断するための視点を解説します。 3.3. インシデントとイベント情報セキュリティにおける事故をインシデントと呼んでいます。インシデントは発⽣することが想定される事故であり、直接の被害が想定されるものを指しています。これに対して、直接の被害が想定されないが、インシデントに繋がる可能性のあるものをイベントと呼んでいます。たとえば「情報流出」をインシデントととらえた場合、それにつながる可能性のある「PC の紛失」はイベントであると考えます。ただし、PC の紛失でも損害は発⽣しますので、それ⾃体をインシデントと捉えることもできます。なにをインシデントとし、何をイベントとするかはそれぞれの組織で決定することですが、情報セキュリティ対策とはインシデントが発⽣しないように、また発⽣した場合でも被害が極⼩化できるようにするための施策のことを⾔います。イベントがいくつも重なることでインシデントに発展するという関係を、イベントの連鎖と⾔っています。この連鎖を断ち切るために実施するのが情報セキュリティ対策です。 3.4. PC 紛失からの情報流出のケースそれでは、実際にイベントの連鎖からのインシデントへの発展について検討してみましょう。イベントを設定し、その連鎖を作っていきます。ここではイベントとして「PC の紛失」「PC へのログイン」「ファイルの閲覧」「ファイルの保存」、インシデントとなる「情報流出」を設定します。 7 情報流出 PC の紛失ファイルを⾒るログインファイルの保存図 4: インシデントとイベントの連鎖それぞれのイベントの下にはそのイベントを発⽣させないための対策を記載していきます。 PC の紛失については「持ち出し禁⽌」「持ち出し専⽤ PC」「鞄へのロック機構の搭載」などを仮に設定します。これらの対策を⾏うことによるイベントの発⽣率を記載します。たとえば「持ち出し禁⽌」であれば紛失することはありませんので、0 パーセントです。「持ち出し専⽤ PC」では紛失に関係がないので 100 パーセントです。「鞄へのロック機構の搭載」は数値に表すのが難しいですが、ここでは 50 パーセントにしておきましょう。正確な数字でなくても構いません。これらの数字は運⽤上の数値として後ほどわかってくるものであり、対策の序盤ではわからないものだからです。また、情報セキュリティ対策は IT サービスの活⽤を前提としたものですので、IT サービス利⽤がどの程度制限されるかについても記載したほうが良いでしょう。たとえば「持ち出し禁⽌」を設定した場合は利⽤ができませんので 0 パーセントです。「持ち出し専⽤ PC」では⼀部の機能や情報が制限されることが想定されますので 70 パーセント、「鞄へのロック機構の搭載」は PC そのものへの影響はなさそうですが、利⽤しづらくなる可能性もあり 90 パーセントとします。 PC の紛失対策持ち出し禁⽌持ち出し専⽤ PC かばんへのロック事故 IT 0% 0% 100% 70% 50% 90% 図 5︓対策の効果と IT サービス利⽤の可能性これらのどれか 1 つではなく、複数の対策を実施した場合はそれぞれの掛け算ということになります。持ち出し専⽤ PC を活⽤し、さらにロック機構を搭載した場合、イベントの発⽣率は 70 パーセント、IT サービス利⽤は 63 パーセントとなります。 PC へのログインはどうでしょうか。「複雑なパスワード」「オンライン認証」「トークン（USB キー、ワンタイムパスワード）の利⽤」などを上げておきましょう。これも同様にイベントの発⽣率と IT サービス利⽤しやすさについても記載します。すべてのイベントについて記載が終わり、どの対策を選択したのかによって、イベント連鎖によるインシデントの発⽣率と IT サービスの利⽤しやすさが設定されます。このシートを使うことで、1 つのイベントに対して複数の対策が設定できますし、対策の組み合わせによる効率性を求めることもできるようになります。そして、費⽤対効果を求める際に必要な事故の発⽣率についても明確にできますので、より精度の⾼いポートフォリオが形成できるでしょう。 8 事故発⽣率 =0.5×0.7×0.1×0.7=2.45% IT 利⽤の制限 =0.63×0.8×0.6×0.6=18.14% PC の紛失対策持ち出し禁⽌持ち出し専⽤ PC ファイルを⾒るログイン事故 IT 0% 0% 100% 70% 対策事故情報流出 IT 複雑なパースワード 70% 80% オンライン認証 70% 80% かばんへのロック 50% 90% トーケン 50% 90% ⼩計 50% 63% ⼩計 70% 80% 対策事故ファイルの保存 IT 暗号化 10% 60% ファイルサーバ 50% 80% ⼩計 10% 60% 対策事故 IT ポリシーソフト 70% 60% ⼩計 70% 60% 図 6︓イベント全体における事故の発⽣率と IT 利⽤制限率 3.5. 検討結果の⾒直しこれまでの例ではイベントは⼀連の流れでしたが、実際にはイベントが分岐することもあります。分岐した場合にはそれぞれの分岐に対して同様に、対策の⼀覧と IT サービス利⽤のしやすさを設定します。たとえば、PC の紛失に起因する情報の流出では、PC へのログインをせずにファイルの閲覧を⾏うことができます。その⽅法は内蔵ハードディスクを外付けにして他の PC で閲覧する⽅法です。ここではログインをバイパスしたイベントを追加してみます。このようなイベントの分岐をたくさん作っていくことで、どこを対策の注⼒ポイントとするかが明確になっていきます。そのポイントとは、多くのイベントが集約する場所です。ここでは「ログイン」と「ハードディスクの外付け」が集約している「ファイルの閲覧」ということになります。もちろん個別のイベントへの対応を⾏うことで事故の発⽣率を低減させることはできますが、IT サービス利⽤のしやすさが損なわれたり、費⽤対効果が低下しては意味がないからです。適切な対応を⾏うための理由付けとして、それぞれの数字を活⽤することができます。情報流出 HDD の外付 PC の紛失ログインファイルを⾒るファイルの保存図 7︓イベントツリーの拡張 3.6. 対策費⽤の算出どのセキュリティ対策がより安全で IT サービスの利⽤を妨げないかの判断ができたら、新しい検討事項として、対策費⽤の算出を⾏います。情報セキュリティ対策選択の原則として、継続して実施できることがあります。対策そのものの効果もさることながら、対策費⽤が適正であることも継続性につながります。費⽤が捻出できずにほったらかしになっている情報セキュリティ対策があります。たとえば、IDS（侵⼊検知システム）を導⼊したにも関わらず、検知のためのデータを更新する費⽤が⾼額すぎて運⽤出来ていないというようなケースです。これでは、アンチマルウェアソフトウェアの定義 9 4 ファイルを更新していないのと同じですので、適切な運⽤ができていないことになります。そこで、新しいパラメータとしてそれぞれの対策に費⽤を記載することとします。費⽤には実装費⽤と運⽤費⽤（年間）を設定します。実装だけをしていて運⽤することができなければ原則に反しますから、そこも適正であるかの判断基準となります。対策事故 IT 実装費⽤ 0円運⽤費⽤ 70% 80% オンライン認証 70% 80% トーケン 50% 90% ⼩計 70% 80% 0円 200 万円複雑なパスワード備考 200 万円教育・啓発 500 万円 200 万円保守費⽤ 1500 万円 600 万円保守費⽤図 8︓対策費⽤の算出例（⾦額は参考）費⽤対効果の最も⾼い提案となっているかを判断するために、想定されるインシデント単位でこのシートを作成し、検討することによって、担当者の提案が適切であるかを責任者である経営者が判断することができるようになります。もちろん、ディスカッションをする際に有⽤な資料ともなりますので、提案資料としてだけではなく、担当者間でのやり取りのために使っていただくのも良いでしょう。 3.7. 代替案の提案と予算の確保情報セキュリティ対策を決め打ちしている場合、その対策が無効化された時に安全の維持ができないことがあります。そのような場合に備えて、代替案を常に持っておくことが望ましいといえます。このシートを作成することで、代替案はすでに提案されていることになります。もしもその対策が破られた時にどの対策を選択するかをあらかじめ検討し、その実施及び運⽤がどの程度の費⽤になるかを想定しておけば、予算の確保も可能です。これを前提として考えれば、セキュリティ予算とは代替案を含めたものとする必要があり、制限いっぱいまで利⽤して良いということではないこともわかります。情報セキュリティ対策とは継続して運⽤できるものであるという原則に従うことで、より良いセキュリティ対策の実施計画を構築することができます。 3.8. 様々なケースを利⽤したイベント連鎖のワークショップ今回はサンプルとしてわかりやすいイベント連鎖を提⽰しましたが、実際のセキュリティ事故は複雑な形で起きている可能性もあります。ただし、イベント連鎖を検討し策定していくことで、気が付かなかったワークフロー上の脆弱性や情報管理の盲点などを⾒つけることができます。特に多層防御などを検討する際には、無駄なセキュリティ対策を⾏うことでコストがかさむだけではなく、IT サービス利⽤の妨げになっていることも少なくありません。必要なセキュリティ対策を適正なコストで実施しつつ、IT サービス利⽤を最⼤限に⾏うことができれば、⾃然と情報セキュリティはコストではなく、投資であると判断できるようになるでしょう。 10 ■対策のチェックリスト経営者リスク評価リスクの定量化を実施するための指標を提⽰していますかリスクの定量化をするための情報収集をしていますか定量化したリスクを報告する機会を提供していますかリスクに応じた改善を⽀持していますか IT 基盤情報収集のための IT 基盤の整備を指⽰していますか規模に応じた IT 基盤を構築できるような計画策定を指⽰していますか情報セキュリティ担当リスク評価量的なリスク評価を⾏うための情報収集基盤を構築していますか事業計画に応じた情報セキュリティの評価基準を経営者と共有していますか対策の評価対策の検討時に、効果について評価を⾏うための指標を定義していますか対策の検討時に、実装だけではなく運⽤にかかる費⽤も計上していますか対策の⾒直しの際に評価結果を参照していますか 11 4 最近の情報セキュリティ事故と対策の⽅針ケース 1︓ウイルス感染による情報漏えい外部とのやり取りにファイルサーバーを持たない組織では、⼀般的にメールへのファイル添付で情報のやり取りを⾏っているのではないでしょうか。それを利⽤した攻撃が標的型メール攻撃です。メールに添付されたファイルを開いてしまったがばかりに、マルウェアに感染して、社内サーバーに接続、サーバー上のファイルを外部サーバーに移転されてしまいました。攻撃⼿法︓ メールに添付したマルウェアによる攻撃です。実⾏ファイルの形式をしていることもありますし、マクロの場合もあります。場合によってはリンク型になっていて、それをクリックすることでマルウェアのダウンロードが始まる場合もあります。マルウェアの種類は様々ですが、トロイの⽊⾺といって⾒た⽬は通常のファイルに⾒えるのですが、マルウェアを起動するためのプログラムとなっていることもあります。危険なファイルや怪しいファイルであることを隠しながら、利⽤者にファイルをクリックさせる⼯夫がされていることが⼀般的です。最近では、狙いを定めた会社ごとにメールの⽂⾯やファイル名を設定することもあり、標的型メール攻撃と呼んでいます。その中でも不特定多数に送信するものをばらまき型、何回かのやり取りを⾏うものをやり取り型と呼んでおり、⼿⼝がますます巧妙になっています。考察︓ 標的型メール攻撃においてもっとも有効な対策はアンチマルウェアソフトウェアを最新の状況にしておくことです。怪しいファイルを開かない、危険なファイルは開かないといっても、これを 100 パーセント防ぐのは⼀般業務の中では難しいといえます。怪しいメールかどうかを⽂⾯から⾒分けるのも、⼀般社員には⼤きな負担となります。また、それを頼りにしていると、実際にやらなければならない対策が疎かになることがあります。多層防御、多重防御の考え⽅に基づき、失敗があっても被害を⼤きくしないための次善の策を検討し、実装しなければいけません。社員向けの教育だけではなく、メールシステムにユーザーの判断を補助するような機能を実装することも検討する必要があります。対策の⽅針︓ 1. 社員教育メールを開くのはそれぞれの社員です。スパムメールや標的型メール、フィッシングなどの危険性について周知し、⽇常業務においてそれらの存在を気にかけることを徹底することは重要なポイントです。システムで防御できないものについては、今後システムで対応できるように社員から情報を収集できるような仕組みを構築しておくことも必要です。 2. メールのフィルタリング社員の⼿元にメールが届く前に、怪しいメールはフィルタリングする必要があります。フィルタリングによるふるい分けによって、より安全なメールのみが社員の⼿元に届くことで、スパムメールの削除にかける時間などを短縮し、業務を⾏う時間への影響を少なくすることができます。 Microsoft Exchange に搭載された Exchange Online Protection を利⽤すれば、接続できるメールサーバ 12 の指定、マルウェア対応だけではなく、送受信におけるルール設定、メールの内容にしたがったフィルタリングが可能です。これは Office 365 のメールサービスでも同様に設定できます。社員からの情報によってフィルタリングルールを調整し、組織に合わせたものにすることでより実効的なフィルタリングが可能になります。 3. 怪しいメールの判別⽀援たとえば、フリーメールアドレスといわれる、インターネット上で提供されているメールサービスで取得したメールアドレスはスパムメールや標的型メールによく利⽤されています。こういったアドレスから来たメールについては、メールのタイトルに「SPAM」や「フリーメール」などの⽂字を追加してやることによって、怪しいメールかどうかの判断がしやすくなります。また、外部のメールサーバを経由したメールには「外部」とつけてやることで、社⻑や上司を装ったメールを排除することができるかもしれません。これは、社⻑からのメールであるにもかかわらず「外部︓緊急通達、必ず添付を確認」などとなっていれば、社内通達なのに外部からのメールとなっているのはおかしいと判断することができるためです。このように、メールのタイトルに識別⼦をつけてやることで、社員の負担を軽減することができ、より徹底されたメール管理を⾏うことができるようになります。 4. アンチマルウェアソフトウェアどのような攻撃も多くの場合はマルウェア経由で⾏われます。つまり、マルウェア対策を⾏っておくことがもっとも重要です。アンチマルウェアソフトを導⼊し、定義ファイルを最新の状況にしておくことで、万が⼀のウイルス感染を防ぐことが可能です。定義ファイルができる前に攻撃者がマルウェアを開発して拡散させることもあります。これをゼロデイ攻撃と呼んでいます。ゼロデイ攻撃については、アンチウイルスソフトウェアだけでは対応ができませんので、意図しない通信などを⾏わないように、パーソナルファイアウォールなどで対応する必要があります。最近のアンチマルウェアソフトウェアにはパーソナルファイアウォールが同梱されており、インストールの際に⾃動的にインストールされることが多いようです。通常では使⽤しないネットワークのサービスをアプリケーション単位、サービス単位で遮断するため、万が⼀マルウェアに感染した場合でも通信を遮断することができます。ただし、⼀般的なウェブクライアントなどが使っている通信ポートや、ターミナルが使っている通信ポートは遮断できないこともあるので、100 パーセント対応できるわけではありません。しかし、これらの機能を使うことで、通信の記録などを取得することができ、早期発⾒、迅速な原因究明に役⽴ちます。 5. 管理データの暗号化万が⼀、情報が流出してしまった場合に備えて、データの暗号化や著作権管理による可読制限をしておく必要があります。流出したデータが暗号化されていれば、内容を読まれる可能性は低くなります。出⼝対策では情報が出て⾏かないように防護策を検討しますが、さらにその先を管理することもできるようになります。 13 ■チェックリスト経営者教育社内教育の計画を⽴て、定期的に実施していますか社内教育の内容が正しく周知されていることを確認していますかメール対策スパムメール対策を実施していますかメールの取り扱いに関する⼿順を作成し、社内教育を実施していますかアンチマルウェアアンチマルウェアソフトウェアを導⼊し、動作していることを確認していますか暗号化保存するデータ、転送するデータの暗号化を実施していますか情報セキュリティ担当者教育社内教育を計画通りに実施し、その効果があることを確認していますかメール対策スパムメール対策、メールサービス上のアンチマルウェア対策を実装していますか標的型メールなどの不審なメールを確認しやすいルールや環境を構築していますかアンチマルウェアアンチマルウェアソフトウェアの導⼊をしていますか利⽤者のアンチマルウェアソフトが正しく動作していることを確認する基盤を構築していますか暗号化保存するデータ、転送するデータの暗号化を実施するための基盤を構築していますか必要なデータが⾃動的に暗号化される仕組みを構築していますか従業員教育教育で学んだことを実践できない場合、管理者に報告をしていますかメール対策不審なメールに対応できるように注意していますか不審なメールを受信した時に管理者に報告をしていますかアンチマルウェアアンチマルウェアソフトが動作していることを確認していますかアンチマルウェアソフトの定義ファイルが最新の状態に更新されていることを確認していますか 14 ケース 2︓事故による経営陣の退任あるスーパーマーケットでは、POS システムからクレジットカード情報を抜かれてしまうという事件が発⽣しました。きっかけは出⼊り業者が不正アクセスによる APT 攻撃を受けたことにあり、これによってスーパーマーケットへのアクセス権を取得し、正規の⼿段でネットワークに忍びこむことに成功しました。内部のコンピュータを乗っ取ることによって、クレジットカード情報の取得に成功しました。この事件の責任は、経営陣の管理に不備があったということで、経営陣の多くが退任に追い込まれました。攻撃⼿法︓ 攻撃者はスーパーマーケットへの攻撃を⾏うために、事前にネットワークの脆弱性を調査しました。これによって、取引先にアクセス権が設定されていることが判明し、もっとも攻撃しやすい業者を選択してアクセス権を奪取しました。取引先のアカウントを使って、スーパーマーケットのネットワークに侵⼊し、更にその中での権限の奪取に成功し、結果としてネットワーク全体にクレジットカードの情報を収集するためのマルウェアを仕込まれることになりました。スーパーマーケットには未知の攻撃やマルウェアを検出できるセキュリティ製品の導⼊や、マルウェア対策製品は導⼊されていましたが、そのアラートに対応する部⾨が対応せず、経営者への連絡もありませんでした。考察︓ このスーパーマーケットの⼀番⼤きな問題は経営層において情報セキュリティの対応を適切に⾏うための役割が無かったことです。あわせて、様々なアラートが挙がっていたにも関わらず、現場がそれを無視してしまい、適切な対応を⾏うことができませんでした。どのような情報セキュリティ対策を実装していても、その機能が維持されていなければ効果は⾒込めません。また、機能しているという思い込みが対応の遅延を発⽣させることになります。対策の⽅針︓ 1. CISO の設置情報セキュリティに関する経営的な判断を⾏うための役割として情報セキュリティ責任者を設定するだけではなく、その責任者が経営層とコミュニケーションが取れるようにすることも重要です。最近では経営層の中に情報セキュリティに対する理解が深いものとして、CISO（Chief Information Security Officer）を設置している企業も増えてきました。情報セキュリティ対策は事業計画に沿って⾏われていることも重要ですし、突発的な事故について緊急対応が⾏われていることも重要です。判断に従ってこれらの対応を⾏うためにリソースの配分をすることができる権限を持っている経営層の担当者を設置する必要があります。 2. セキュリティガバナンス情報セキュリティ対策はセーフティとセキュリティにわけて考えることができます。セーフティとは安全に対する機能で、セキュリティとはその機能が期待されたとおりに維持することです。このケースでは、監視⽤のサービスやマルウェア対策アプリケーションが導⼊されていたにも関わらず、アラートを無視したり、機能をオフにしたりしていたのです。計画した対策が適切に実装されているか、そして維持されているかを把握するためにセキュリティガバナンスの構築を⾏う必要があります。 15 3. セキュリティ対策の維持ガバナンスによって適切に実装、維持がされているだけではなく、その効果についても評価しつつ⾒直しを⾏っていかなければなりません。対策がリスクに対応しているかどうかを適宜判断し、改善を⾏っていくための情報収集をおこなわなければなりません。 4. サプライチェーン管理今回のケースでは、取引先におけるアクセス権の奪取が事故の発端となりました。サプライチェーンにおけるアカウント管理を⾏うためにも定期的な監視が必要になります。これまでは組織の中だけで終わっていた振る舞いの管理などについて、取引先とコミュニケーションを取りながら、対応をしていくことが重要です。また、取引先が中⼩企業である場合、⼤企業と同様の対策を⾏うための資⾦を調達できないこともあります。必要に応じてコミュニティクラウドなどの環境を構築し、最低限のセキュリティ対策が実施された環境で情報のやり取りが⾏われるように検討する必要があります。 ■チェックリスト経営者 CISO の設置 CISO を任命していますか CISO に必要なリソースを割り当てることができる権限を与えていますか組織を横断して情報を収集し、判断できるような仕組みがありますか（例えば CDIRT など）セキュリティガバナンス情報セキュリティ対策の状況を⼀元管理できるような環境を構築していますかセキュリティ対策の維持情報セキュリティ対策が適切に維持されていることの報告を定期的に受けていますかサプライチェーン管理サプライチェーンに含まれる企業におけるセキュリティ対策の状況について把握していますかサプライチェーンに含まれる企業で事故が発⽣した際の影響について把握していますか情報セキュリティ担当者 CISO 情報セキュリティに関する情報を CISO に報告していますか CISO が情報を確認したい時に確認できる仕組みを構築していますか従業員サプライチェーン管理取引先で事故が発⽣した場合に、必要に応じて管理者に報告をしていますか 16 5 クラウドサービスを利⽤したセキュリティの強化 5.1. クラウドサービスのセキュリティ対策クラウドサービスが利⽤され始めた頃は、クラウドサービスを安全に安⼼して利⽤するための様々な対策が検討されていました。国内でも 2011 年に経済産業省から「クラウドサービス利⽤における情報セキュリティマネジメントガイドライン（クラウドセキュリティガイドライン）」が世界に先駆けて発⾏されるなど、クラウドサービスの利⽤におけるセキュリティ対策が注⽬されていました。クラウドセキュリティガイドラインでは、クラウドサービスプロバイダーと利⽤者が協調してセキュリティ対策を⾏うことで、クラウドサービスを安全に利⽤することが⽬的とされ、その実施についてのガイドが⽰されていました。しかし、ガイドラインが⽰す内容の中には利⽤者の負担が⼤きなものもあり、クラウドサービス利⽤を躊躇することも少なくありませんでした。このような中で、クラウドサービスが成熟し、現在は多くのクラウドサービスがよりセキュリティを考慮したサービスへと進化しているだけではなく、セキュリティ機能そのものをクラウドサービスとして提供するようになりました。 5.2. クラウドサービスとしてのセキュリティ（Security as a Service）セキュリティをクラウドサービスとして提供することを Security as a Service と呼んでいます。代表的な例としては、アンチマルウェアサービスやメールのフィルタリングサービスなどがあります。どちらのサービスも定義ファイルやフィルタリングを策定するのに多くの情報を必要とします。例えば従業員が 100 名の会社が受信するメールで作成したフィルタリングよりも、メールサービスプロバイダが作成したフィルタリングデータのほうがより詳細なものとなります。これらの情報を収集し、まとめることをサービスの⼀環として提供しているのがこれらのサービスです。このように、運⽤が⼤変なセキュリティ対策をサービスとして提供しているのが Security as a Service です。⼀般的なクラウドサービスと同様に従量課⾦制（Measured Service）で提供しているのが特徴です。プロバイダによる情報分析セキュリティクラウドサービスの利⽤図 9︓クラウドサービスを利⽤したセキュリティ情報の⼊⼿ 17 情報の提供 5.3. クラウドサービスを利⽤したセキュリティのコストダウンクラウドサービスを利⽤する際のポイントの⼀つにコストダウンがあります。キャンペーン等で⽴ち上げるウェブサイトなど、⼀時的な利⽤を⾏う際に有効なのがクラウドサービスの利⽤です。しかしながら、これらをクラウドサービスで利⽤する際の問題点がセキュリティの実装です。アプリケーションレベルのものであれば、⾃由に実装可能ですが、ネットワークなど、プロバイダーが管理しているものの中で⾃由なセキュリティを実装しようとすると問題が発⽣します。従来通りのセキュリティを実装しようとして、オンプレミスでのセキュリティ対策をそのまま持ってきてしまい、せっかくのコスト削減が⽔の泡となってしまいます。これは、⼤雪対応のためにレンタカーを借りたのに、⾃分のスタッドレスタイヤを購⼊して装着しているようなことです。それもそのレンタカーにしか使えないようなものを購⼊してしまい、使い回しができないという具合です。クラウドサービスを利⽤する際には、セキュリティもクラウドサービスで実装していくことが重要です。できればセキュリティオプションが充実しているクラウドサービスを利⽤するのが良いでしょう。また、信頼できるセキュリティサービスと融合できるクラウドサービスを選択するのが良いでしょう。これによって、クラウドサービス利⽤と同様に、サブスクリプションでセキュリティを実装できますので、クラウドサービス利⽤の１つの⽬的であるコストダウンを実現することができます。また、サービスの規模によって契約を変更することができるため、ファイアウォールやロードバランサーのようなものも将来を⾒越して購⼊（プロビジョニングやキャパシティプランニング）する必要がなくなります。 5.4. サービスを組み合わせた設計クラウドサービスを利⽤することでセキュリティを⾼める事ができる⼤きな理由の⼀つとして、サービス指向アーキテクチャがあります。⼤きなシステムに脆弱性が⾒つかった場合、それを修復するのに多⼤な時間とコストがかかる場合があります。これは複雑に⼊り組んだシステムを解析し、その問題を他の機能に影響がないように変更するのは⾮常に難しいからです。また、メンテナンスにおけるサービスの継続についても問題が⽣じる可能性があります。それは、⼀部のサービスのメンテナンスを⾏う際にシステム全体を停⽌しなければいけないといったことがあるためです。クラウドサービスでは、多くの PaaS や SaaS、また IaaS の管理機能で API（Application Programming Interface）を提供しています。これらの API をうまく活⽤することで、個別のサービスを組み合わせたサービスを提供することができます。 EC サイトであれば、商品を陳列するカタログ API、注⽂を管理するショッピングカート API、決済を実施する API、配達と連携するロジスティック API、在庫管理を⾏う API、メール送信をするメール API などを組み合わせて作成します。それぞれは独⽴したサービスですので、メンテナンスの時にはそれぞれを停⽌するだけで済みます。もちろん、カタログやショッピングカートが⽌まってしまうと問題ですが、その場合は代替サービスを利⽤するといったことでサービスを継続することができます。また、サイトを拡張するという場合にもサービスの契約を変更したり、サービスプロバイダーを変更するだけです。もしも相互認証のために証明書付きの Cookie を発⾏したいといった場合も、そういうサービスを利⽤すれば良いのです。これらの⽅針でサイトを構築することは、サービスの可⽤性という点でセキュリティ機能を実装しているといっても過⾔ではありません。（また、これらのサービスの可⽤性を⾼めるために標準化された形式の実装ができていることが望ましいです。） 18 6 クラウド時代の IT 基盤づくり 6.1. クラウド時代の IT 事業戦略 IT 部⾨を経営に関与させるという⽬的で IT ガバナンスが求められてきました。これは IT 部⾨が⾏っているサービス開発、サービス提供に関する情報を経営陣が把握し、判断を⾏うというもので、IT サービス開発の⼿法が⼤きく変わるきっかけとなりました。この結果、⽣まれてきたのがクラウドサービスです。多くの情報を⼀元管理するために、クラウドコンピューティング環境が提供され、クラウドサービスが構築されました。オンプレミスにあったシステムはハードウェアに依存しない形でサービス化され、仮想化などを利⽤したプライベートクラウド環境に、外部データセンターでのハウジングやホスティングもパブリッククラウドに変わってきています。ハウジングやホスティングの代替として利⽤されてきた IaaS も、現在は様々な運⽤サービスが付与されて PaaS として提供されているものも増えてきました。そして SaaS も多様なサービスが提供されています。これからの IT 事業戦略は、どのサービスをプライベートクラウド（オンプレミス）で構築し、どのサービスを PaaS とするか、SaaS とするかなどを検討することが重要なポイントとなります。サービスの継続性や安全性などを勘案してサービスの構築、セキュリティ対策の実装を⾏うのかといったことが主題となります。 6.2. ハイブリッドクラウドを構築する基盤ハイブリッドクラウドを構築するにあたって重要なポイントは内外の IT サービスの状況を⼀元的に管理することです。従来はシステム単位でモニタリングしたものを、サービスすべてを把握するために⼀元的に管理するということになります。情報セキュリティにおいてもこれは同様です。従来であれば内部の組織だけを把握しておけばよかったものも、サプライチェーンやアウトソーシングも範囲として考慮する必要が出てきました。国内では多くの企業が取得している ISMS 適合性評価制度における認証規格となる JIS Q 27001/27002:2014 においても、新たな項⽬としてサプライチェーンが含まれるようになりました。また、まもなく発⾏されるであろう JIS Q 27017:2016 においてはクラウドサービスに関するセキュリティ対策の認証も始まるようです。ハイブリッドクラウドを利⽤している組織では、⾃らが利⽤者でありプロバイダーであるという側⾯から、これらの認証を取得することが求められるようになるかもしれません。そうなると、やはり組織の内外を⼀元管理できるような基盤が必要になってくるでしょう。 6.3. ログの⼀元管理 IT サービスにおける基盤としてもっとも重要なのはログ管理です。システムの状況を把握する場合も、問題を検知して解決する場合も、ログが起点となることが多いためです。これまでのように Syslog を利⽤した情報収集でも構いませんが、多くの情報を⼀元的に管理し、その情報を把握するためには、テキストファイルでの保存ではなく、データベースで管理したほうが良いでしょう。様々な問題を把握するために、リアルタイムにログを検索してレポートを作成することができるようになっている必要があるためです。ログは⾮常に⼤きなものとなる可能性がありますし、処理に多くの CPU パワーを必要とする可能性があります。必要に応じてクラウドサービスを利⽤するなどして、リアルタイムの異常検出などができるようになると良いでしょう。 19 6.4. ネットワークサービスにおける ID 管理とサービスの選択クラウドサービスの利⽤によって、どのネットワークに接続していても業務を⾏うことができるようになりました。インターネットが普及するまでは会社のデータセンターなどにリモートアクセスをしながら使っていたものが、携帯電話網や公衆 Wi-Fi などからもサービスにアクセスができ、どこにいても同じソースを利⽤した作業が継続的に⾏えるようになりました。しかし、管理者としての懸念事項は、これらのサービスが IT 基盤から独⽴してしまった場合に、管理や監視を⾏うことができないということです。少なくともどのようなサービスを利⽤しているのかを把握したいと思っても、個⼈向けに提供されているサービスでは管理ができないということです。社外での業務についても利⽤状況を把握するためには、ID 管理の⼀元化が必要になります。まずは認証を受け、それによってサービスの利⽤可否が判断できるような基盤を作ります。 Azure Active Directory を利⽤することで、外部サービスとの連携を⾏うことが可能です。もちろん、 Single Sign On でシームレスにアクセスできるサービスも増加しています。営業報告などの業務管理を Salesforce.com で⾏っているような企業であれば、Azure AD との連携により、スマートフォンからのログインでも ID 認証、そしてログの⼀元管理を⾏うことが可能です。複数の端末（マルチデバイス）環境での業務を⼀元的に管理し、クラウドサービスの利⽤における利⽤者管理を実現することができます。また、FIDO Alliance への加⼊によって、200 社以上のサービスとの ID 連携も随時可能になる予定です。 R W X R W X R W X ローカルシステム R W X 説明責任 ID を統合することでローカルとクラウドを両⽅を管理するできる図 10︓ID 連携によってクラウドサービス管理を実現する 6.5. クラウドサービスを利⽤した IT 基盤の構築とガバナンスの確保 Azure AD はパブリッククラウドやオンプレミス上の Active Directory とも連携するため、これまでの資産を活かしながらクラウド上に IT 環境を拡張していくことが可能です。また、Azure AD によって他の組織との認証の連携を⾏うことができ、取引先に対して ID を発⾏しなくても、取引先の管理する AD の情報を利⽤してサービスの利⽤を許可することなどが可能になります。社内だけではなく、社外へのアクセス権の付与を⾏うことで、社外の利⽤者が社内サービスをどのように利⽤しているかを把握することが可能になります。 20 6.6. ファイルサービスの提供とライフサイクル管理電⼦メールによる情報交換においては、ファイルのライフサイクル管理が困難でした。ファイルの暗号化を⾏って経路上の盗聴を防⽌したとしても、それが先⽅でどのように管理されているのか把握できないためです。もしも平⽂に戻ったファイルを転送されていたり、印刷したものを共有されていたら、情報漏えいに繋がる可能性があるのです。そこで、ファイルを作成してから廃棄するまで⾃らが管理できるようにするために、オンラインファイルサービスを利⽤します。ファイルサービスでは、必要に応じて共有を⾏ったり、終了したりできます。ダウンロードの制限や印刷の制限なども⾏うことが可能です。 Microsoft が提供する OneDrive® であれば、マイクロソフトアカウントや Azure アカウントを持っているユーザーに新規にアカウントを発⾏することなくファイル共有を⾏うことができます。もちろん、⾃らのサービスにアクセスしてもらう形になるので、すべての振る舞いはログとして記録されます。また、Office 2016® と Information Rights Management や Azure RMS を利⽤することでさらに細かなアクセス権管理を実装することが可能になります。これにより、印刷、転送、コピーなど、オーナーが意図しない利⽤を他のユーザーができないように制限することができるのです。 6.7. クラウドサービスを利⽤した IT 基盤の構築クラウドサービスが進化して API が活⽤できるようになったことにより、ID 管理基盤、ログ管理基盤をベースとして、IT サービスを柔軟に構築できるようになりました。また、ファイルサービスもクラウド化されたことで、データ容量の管理やライフサイクル管理、バックアップの⼀元化など、可⽤性を重視したセキュリティ対策は個々の企業が構築することなく実現することができるようになりました。まずは基盤を構築し、ハイブリッドクラウドを展開しつつ、効率的な運⽤を⽬指して IT 事業戦略および計画を構築していきましょう。 21 7 Office 365 を活⽤したセキュリティガバナンスの実装モバイルデバイスやクラウドの活⽤が⼀般的となり、ユーザーは社内、⾃宅、移動中など、場所にとらわれることなく仕事ができる環境を求めています。特に Office アプリケーションの利⽤は必須条件となっています。⼀⽅で、管理者には、クラウド利⽤による ID 管理の複雑化、不正アクセス対策、社外に持ち出されたデバイスの紛失や盗難、誤操作などによる業務データの情報漏えい対策が不可⽋です。 Office 365 は強固なセキュリティが担保されたクラウド製品ですが、多層的な対策を加えることにより、セキュリティガバナンスを実現しながら、より安全にご利⽤いただくことができます。また、Office 365 の基本サービスに加えて、セキュアで安全な認証基盤、統合デバイス管理、データ保護などのセキュリティ強化を実現する Enterprise Mobility Suite を導⼊することで、更にセキュリティガバナンスの幅を広げることが可能になります。独⽴した情報システム部⾨を持たない、中⼩企業や団体などでもエンタープライズレベルのセキュリティ対策を、少数の担当者で運⽤することが可能です。 7.1. 認証連携 Azure Active Directory Premium とオンプレミス Active Directory の間で ID 連携を⾏うことにより、 Office 365 やその他の SaaS アプリ、社内アプリへのシングルサインオンが可能になります。ユーザーの操作性が向上するだけでなく、管理も⼀元化されるため管理者の作業負荷も軽減します。また、マイクロソフト社製以外の SaaS アプリでも、Azure Active Directory Premium が持つ、クラウドアプリとオンプレミスの Web アプリのシングルサインオン、SaaS での多要素認証、詳細なセキュリティレポート、など、さまざまなセキュリティ機能を利⽤することができます 7.2. 多要素認証 Azure Active Directory Premium により、従来の ID とパスワードによる認証に加えて、ユーザーが所持しているデバイスと連携した通話、およびテキストメッセージ ( ワンタイムパスワード ) の送信による多層の認証が可能になります。Office 365 にアクセスする際の認証を強化し、不正アクセスを防⽌することができます。 7.3. セキュリティレポート Azure Active Directory Premium では、「複数のエラー発⽣の後にサインインしている」、「数分前まで東京から Office 365 にアクセスしていたはずなのに、突然海外からアクセスされている」などマシンラーニングを利⽤した詳細なセキュリティレポートにより、不正アクセスを検出することができます。また、Cloud App Discovery により、ユーザーのクラウドサービスなどの外部サイトの詳細な利⽤状況を把握することができるほか、これらのサイトへのアクセスを IT 部⾨が管理し、シングルサイオンを実現することができます。 7.4. セレクティブワイプ Microsoft Intune® では、Microsoft Office 関連アプリおよび Lob アプリの配布に加えて、モバイル端末上に仮想的に会社のデータ領域とプライベートのデータ領域を作成し、会社から配布したアプリ内でのみ、会社のデータを取り扱えるように制限できます。また、デバイスの紛失や使⽤中⽌などが発⽣した際には、会社のアプリとデータだけを削除することが可能です。加えて、利⽤を許可した Office などの主要なアプリケーションや、Intune App Wrapping Tool を適⽤し 22 た Lob アプリでは、コピー、切り取り、貼り付け、保存などの操作を制限することで、企業のデータの流出を防⽌することができ。 7.5. 条件付きアクセス Microsoft Intune では、会社のポリシーに準拠していない管理対象外デバイスから、ブラウザー、 Exchange Active Sync、OneDrive アプリを利⽤した、Office 365 へのアクセスを制御することができます。 7.6. ⾃動暗号化 Azure RMS と Exchange、SharePoint®、ファイルサーバーを連携させることで、メールやドキュメントなどを⾃動的に暗号化して保護することが可能です。エンドユーザーに暗号化に伴う負荷をかけることなく、誤操作による機密情報の漏えいも防⽌できます。 7.7. 標的型攻撃の⾼度な検知 Microsoft Advanced Threat Analytics は、システムの挙動を監視して潜伏している不正プログラムによる攻撃や乗っ取りをいち早く察知、その実⾏と被害の拡⼤を防ぎます。 ●平常時と違う動作を検知※して管理者に通知します ●管理者権限の取得など不審な⾏為を検知し、乗っ取りを防⽌します ●アンチマルウェアでは検知できない不正プログラムの実⾏を防⽌します ※⾏動データの機械学習による分析結果から異常⾏動を検出しますクラウド・モバイル時代の最新ソリューション Enterprise Movility Suite (EMS) －オンプレミス IT ガバナンスをクラウドへ－セキュアで安全な認証基盤統合デバイス管理各種クラウドアプリケーションとの認証連携アプリラッピングとセレクティブワイプ条件付きアクセスデータの保護 Office 365 やファイルサーバと連携した Azure RMS ⾃動暗号化多要素認証によるセキュリティ強化⾼度なセキュリティレポート Microsoft Azure Active Directory Premium Microsoft Intune Microsoft Azure Rights Management Service Premium 標的型攻撃の⾼度な検知標的攻撃を阻⽌アンチマルウェアでは検知されない不正なプログラムの実⾏を阻⽌管理者権限取得などの不正な⾏為を検知平常時と違う操作を検知して管理者に通知 Microsoft Advanced Threat Analytics 図 11︓Enterprise Mobility Suite の機能⼀覧 23 さいごに「はじめに」で述べたように、国内外を問わず⼤規模なセキュリティ事故が報道されています。この結果、場当たり的なセキュリティ対策を優先し、IT 活⽤を否定するような前時代的な対策が声⾼に叫ばれるようになりました。⼀⽅で、近年の IT 環境は、タブレット、スマートフォンそしてクラウド等の普及により、⼤きく様相を変えています。スマートフォンやタブレットの普及に伴い、Wi-Fi などの無線ネットワークが復旧し、だれでも、どこからでも、社内外の IT システムが利⽤できるようになり、⼤規模な IT システムの導⼊は考えられない⼩規模の組織でも、クラウドを利⽤することで⾼度な IT システムを容易に導⼊することができるようになりました。また、つまり、IT 基盤は急速に誰もが利⽤できるコモディティーに変容しています。この動きは、世界中で同時に起こっており、資本の乏しい新興国であっても、容易に⾼度な IT 環境が利⽤できることも意味します。このため、最新の IT を活⽤できるかどうかは、国内ばかりではなく、国際的な競争⼒を持つための重要な要因になっています。⼀⽅で、このような IT 環境の中では、IT 部⾨や経営者の知らないところで、従業員が IT 環境を構築し利⽤することができるようになりました。例えば、部⾨や従業員が独⾃にサーバーを公開したり、セキュリティに問題のあるサービスを利⽤するなど、いわゆるシャドー IT によりセキュリティやプライバシーにかかわる問題が表⾯化することが⽬⽴つようになりました。IT 環境の変化により、社内ネットワークに IT を閉じ込めるといった考え⽅では、シャドー IT 利⽤を誘発するだけで、効果的な対策ではなくなりました。ここまでに述べた、セキュリティ事故の増加と IT 環境の変化によりセキュリティは、技術的な問題、担当部⾨の問題から、経営的な問題へと視点を変えることが求められるようになりました。本書ではセキュリティに対する経営的な視点でとらえるための基本的な⼿法と、最新の IT を活⽤する上での構成例を紹介しています。本書がセキュリティを俯瞰し、経営執⾏の⼀部としてセキュリティを取り⼊れていくための、⼀助になれば幸いです。 24 本資料は情報提供のみを⽬的としており、本資料に記載されている情報は、本資料作成時点でのマイクロソフトの⾒解を⽰したものです。状況等の変化により、内容は変更される場合があります。本資料に特別条件等が提⽰されている場合、かかる条件等は、貴社との有効な契約を通じて決定されます。それまでは、正式に確定するものではありません。従って、本資料の記載内容とは異なる場合があります。また、本資料に記載されている価格はいずれも、別段の表記がない限り、参考価格となります。貴社の最終的な購⼊価格は、貴社のリセラー様により決定されます。マイクロソフトは、本資料の情報に対して明⽰的、黙⽰的または法的な、いかなる保証も⾏いません。すべての当該著作権法を遵守することはお客様の責務です。Microsoft の書⾯による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿⼊を⾏うことは、どのような形式または⼿段 ( 電⼦的、機械的、複写、レコーディング、その他 )、および⽬的であっても禁じられています。これらは著作権保護された権利を制限するものではありません。Microsoft は、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoft から書⾯によるライセンス契約が明確に供給される場合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。 ©2016 Microsoft Corporation. All rights reserved. ※Microsoft、Microsoft ロゴ、Active Directory、Windows、Microsoft Azure、Office 365、Microsoft Exchange、OneDrive、Office、Microsoft Intune、SharePoint は、⽶国 Microsoft Corporation およびその他の国における登録商標または商標です。 ※その他、記載されている会社名および製品名は、各社の登録商標または商標です。 ※記載の内容は 2016 年 2 ⽉現在のものです。内容については予告なく変更される場合があります。予めご了承ください。⽇本マイクロソフト株式会社〒108-0075 東京都港区港南 2-16-3 品川グランドセントラルタワー製品に関するお問い合わせは、次のインフォメーションをご利⽤ください。・インターネットホームへージ http://www.microsoft.com/ja-jp/ ・マイクロソフトホリュームライセンスコールセンター 0120-737-565 9 : 00 〜 17 : 30 ( ⼟⽇祝⽇、弊社指定休業⽇を除きます ) ・カスタマーインフォメーションセンター 0120-41-6755 9 : 00 〜 17 : 30 ( ⼟⽇祝⽇、弊社指定休業⽇をきます ) ※電話番号のおかけ違いにご注意くたさい .