11月5日、日本マイクロソフトはサイバーセキュリティについての説明会を開催した。米マイクロソフトでサイバーセキュリティポリシーと戦略を担当するアンジェラ・マッケイ氏は、官民との協調体制や省庁間の連携がなければ、サイバー攻撃に対応できないと警鐘を鳴らした。
セキュリティ重視を続けてきたマイクロソフト
今回登壇したアンジェラ・マッケイ氏は、米マイクロソフトのGSSD(Global Security and Diplomacy)チームにおいて、サイバーセキュリティポリシー&戦略担当ディレクターを務めている人物。重要インフラの保護とサイバーセキュリティに関する米国の官民連携組織「IT Sector Coordinating Council」の議長や、安心・安全なコミュニケーションを実現するために米国大統領に助言を行なう「国家保障通信諮問委員会(NSTAC)」のマイクロソフト代表を務めるとともに、近年国際的に問題化するサイバー攻撃に関する国際規範作りにも携わっている。
米マイクロソフト GSSD(Global Security and Diplomacy)チーム サイバーセキュリティポリシー&戦略担当ディレクター アンジェラ・マッケイ氏
マッケイ氏は、「Secure Foundations」というスライドで、マイクロソフトが1990年代から続けてきたセキュリティの取り組みについて概説する。同社では1990年代のMSN Hotmailのスタート以降、インシデントを管理するMicrosoft Security Response Centerの構築やOSやアプリケーションの更新を行なうWindows Updateなどの施策を展開してきた。そして2003年以降はTrustworthy Computing Initiativeを旗印に、OSを中心とする自社製品の「デフォルトセキュア化」を全社で推進するとともに、人材の教育や啓蒙に関しても多大な投資を行なってきた。
マイクロソフトがセキュリティに焦点を当ててきた「Secure Foundations」の歴史
こうした長年のセキュリティの経験を元に作られたのが、Microsoft AzureやOffice 365などのクラウドサービスだという。「人々はテクノロジーを使うようになってきたが、攻撃者もテクノロジーを使うようになった。こうした懸念に対応すべく、われわれは投資を始めた。世界のさまざまな脅威をわれわれは目の当たりにしてきた。これに対応すべく、製品を強化してきた」とマッケイ氏は語る。
そして、グローバルでクラウドを展開するに当たっては、ISO/IEC 27001:2005やSOC1、PCI-DSS、HIPPA、FedRAMP/FISMAなど各国や地域、業界固有の規制・レギュレーションにも対応。物理的なセキュリティはもちろん、クラウド運用やアクセスの管理などをサービス取り込み、セキュリティをサービスの中に組み込んでいるという。
政府との協調関係を進めるマイクロソフト
こうした自社での取り組みと並行して進められてきたのが、国際標準の策定や業界内のパートナーや政府、官公庁との協調関係の構築だ。「われわれはテクニカルな仕事だけをやっているように見られがちだが、オペレーションや公共政策の仕事もしている。競合他社やほかの業界とも共同で作業をしている」とマッケイ氏は語る。
サイバーセキュリティの脅威が深刻化し、リスクが高まる中、政府は懸念を高めている。現在、世界で42カ国がサイバーセキュリティ攻撃に対する防御能力を保持している一方、17カ国が攻撃能力を持っていることを表明している。さらに95カ国がサイバーセキュリティに関する法制化を検討し、40カ国以上がクラウド戦略を制定している。「米国政府は重要インフラの保護にサイバーセキュリティ対策が重要であると大統領令を出して以降、公共政策におけるサイバーセキュリティに関する重要度は高まっている」とマッケイ氏は指摘する。
2015年のサイバーセキュリティにおける重要な公共政策
その一方で、テクノロジーの進化や攻撃の複雑化は、政府の理解度と政策立案能力をはるかに超えてしまう現状がある。また、国や地域によってもサイバーセキュリティやプライバシー、監視などに関する考え方は異なる。「米国では民間が情報を持つべきという考えがあるが、ヨーロッパでは政府に情報を持ってもらいたいという意識も高い」とマッケイ氏は指摘する。
こうしたサイバーセキュリティ対策におけるベストプラクティスを得るために重要なのは、官民を越えた協力だ。「業界は技術を理解しており、リスク対応も迅速に行なえる。政府は中核的な国家戦略を持っている。お互いで情報交換を行なっている」とマッケイ氏は語る。多くの政府はリスク管理に焦点を当てているが、重要な部分に軸足を置き、優先的にリソースに集中することが重要だといるという。
サイバー攻撃は政府の縦割りを崩す問題
マッケイ氏は、具体的な政府機関との協力体制について、サイバーセキュリティの行動規範をベースにしたマトリックスを元に説明した。マイクロソフトは「重要インフラへの攻撃防止」や「国境を越えた法規制の促進」、「サプライチェーンの安全確保」のほか、「既存のCSIRT/CERTを妨害しない」「責任のある脆弱性の報告」などを行動規範として掲げている。「業界や政府機関とのやりとりを通し、サイバー空間で受け入れられない行為なのかをきちんと検討する必要がある」とマッケイ氏は語る。そして、こうした部分は各国政府で意見が異なる点も多いが、共通点もかなり見られるようになっているという。
政府機関との協力
日本のサイバーセキュリティ政策に関しては「非常に洗練されている」と評価し、政府の高官ともやりとりを行なっていると語った。マッケイ氏は、「2020年の東京オリンピックのリーダーとして、どんな脅威が出てくるのかについて意見交換した。こうした脅威への対策については規制のアプローチがよいのか、インセンティブのアプローチがよいのか。あるいは情報共有やインシデントレポートに関しても共通点、相違点などを整理した。なによりサイバー攻撃は政府の縦割りを崩す問題なので、各省庁は意見も異なる協力して対応すべきだと申し上げた」と語り、今後とも政府との協調関係を強化していくことをアピールした。
