次世代のサイバーセキュリティに向けた道筋を明らかに–最新の対策や事例を紹介
今回は「次世代のサイバーセキュリティに向けた道筋を明らかに–最新の対策や事例を紹介」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
ZDNet Japanと日本マイクロソフトは、2022年9月28~29日にサイバーセキュリティカンファレンス「Digital Trust Summit 2022 Road to Next-Gen Cybersecurity」を開催した。エンドポイントやコンプライアンスなど多様なテーマで75のセッションを実施。本稿では初日および2日目の基調講演の内容を紹介する。
初日の基調講演では、最初に日本マイクロソフト 技術統括室 チーフ セキュリティ オフィサーの河野省二氏が登壇した。河野氏は、「(最近Microsoftは)セキュリティに注力している印象を皆さまに持っていただくことが多くなった」と述べつつ、Microsoft本社によるセキュリティの取り組みを披露した。
ビデオで登壇したMicrosoft セキュリティマーケティング バイスプレジデントのAndrew Conway氏は、「サイバー攻撃が頻繁になってきている。攻撃者グループ『Nobelium』によるSolarWindsに対する攻撃は組織的だった。ランサムウェア攻撃は、昨年(2021年)だけで150%増加し、現在も毎秒600件に近いIDへの攻撃が行われている」と、現状を空かす。サイバー攻撃に対し同社は、「Microsoft Threat Intelligence Center」でエンドポイント、アプリケーション、マルチクラウドを保護する。50以上のユニークなカテゴリーを統合した「Microsoft Security」で、毎日24兆ものシグナルをクラウドスケールの人工知能(AI)と組み合わせることで、脅威インテリジェンスを実現するという。
河野氏は、「Andrewがお伝えしたのは、『複雑なものをシンプルに』したいというメッセージ。クラウドサービスプロバイダーも『Microsoft Azure』以外に、AWS(Amazon Web Services)、GCP(Google Cloud Platform)もあり、管理の負担も増している。今後増加する攻撃に対し、これまでに積み重ねてきたセキュリティ対策をシンプルにしなければならない」と強調した。
総務省 サイバーセキュリティ統括官(最高情報セキュリティ責任者)の山内智生氏は、政府の取り組みとして、2020年にクラウドサービスのセキュリティ評価制度の「ISMAP」(information System security Management and Assessment Program)を策定する委員会の設立や、2021年のデジタル庁発足などを取り上げながら、「ネットワークの社会は、自由で公正」であるべきだと主張した。世界を見渡せば、国民のデモの過剰化を抑制するため、地域のネットワークを遮断する国もある。「情報の自由な流通の確保が重要なポイント。これは法の支配よりも前にある」(山内氏)と、政府の姿勢を強調した。同氏の言葉を借りれば、ネットワークインフラは社会インフラと同様の公共空間化している。先日も通信事業者で障害が起きたが、「ネットワークの各種サービスが生活や経済活動の基盤になっている。これを前提に取り組まなければならない」(山内氏)とも提言した。
話がクラウドに及ぶと山内氏は、「われわれは『Windows 11』を使っておらず、そこに至っていない。だがクラウドベースになると、システム(OS)刷新のタイミングではなく、アプリケーションの刷新のタイミングに合わせて、アプリケーションの活用をうながすのがわれわれの方針。当然クラウドの自由度を生かす考え方に立てば、システムのライフサイクルには依存しないことは明白だ」と政府の姿勢と状況を説明した。
さらにデータの扱いについても、「自分たちのデータがどこにあるのか、自分たちの資産状況を把握できることを担保していくのが、クラウドやリモートワークにおけるセキュリティの確保である。だが、リスクはゼロにならない。クラウドサービスプロバイダーに全てを任せていると、事故発生時の対応が不明確では困る。システム担当者は個々の責任を理解した上で、インシデントに対応しなければならない」(山内氏)と指摘する。
政府は、ISMAPを「ISO27000シリーズ」や「FedRAMP」(米国政府機関によるクラウドセキュリティ認証制度)、自身の統一基準と比較しながら策定してきた。だが、「残念ながら監査の確実性を求められない部分があった。その結果、重厚長大な評価制度になり、中小企業がISMAPに登録できない場面も出始めた」(山内氏)ことから、2022年9月にISMAPの簡易版となる「ISMAP-LIU(Low-Impact Use)」を開始した。「現在は適切なリスク評価を他の省庁と相談しながら(方針を)決定していく」(山内氏)という。「クラウドサービス提供における情報セキュリティ対策ガイドライン」の改定ポイントや、2022年中の策定・公表予定を目指す「クラウドサービス利用・提供における適切な設定のためのガイドライン(仮称)」、サイバー攻撃被害に関する情報共有・公表ガイダンスの策定を検討していると述べた。