世界で最も攻撃される企業、MSのセキュリティ対策を学ぶ：セキュリティ強化塾（5/5 ページ）

「ID管理」が重要なポイント、しかし社内政治の壁が？

　今、マイクロソフトが重要だと考えるセキュリティ対策は「ID管理」だ。ここには権限管理や認証、そして認可が含まれる。「マルウェア対策やネットワークセキュリティ対策などと比べると、これまで話題になることが少なかった」（高橋氏）という。ID管理を重視する背景には、クラウド化するITやデバイスの多様化がある。これにより、人、デバイス、データの統一的な管理が強く求められるようになったからだ。

図3 リスクベースのID保護。多くの攻撃者はユーザーIDを狙っている。“ID は流出する”ことを前提とした対策が必要。正しいID／パスワードであってもリスクに応じてアクセス制限を行う（出典：日本マイクロソフト）

　しかし、なぜID管理は後回しにされてきたのだろうか。高橋氏は、「そこに技術だけでは解決できない、社内政治的な壁があるのではないか」と考えている。

　「例えば、ウイルス対策ツールは、導入することの効果が分かりやすく、純粋に技術的な問題と捉えられることが多い。しかし、認証や認可というものは『誰に権限を与えるのか』あるいは『誰から権限を取り去るのか』という、総務的、人事的な問題なので技術の話だけで済ますことができません。特に、今までできていたことができなくなるようなケースでは、総務や人事の視点からの根回しが必要になるわけです」

　例えば、企業内で活用されるアカウントの中には、本来、不要であるにもかかわらず「部長以上」といった職制に応じて「ドメインアドミン権限」が数百人に配布されていたり、従業員アカウントに不必要な管理者権限が付与されていたりすることも多い。これを改善しようとすると技術的な話の前段階として、経営的な立場での話し合いが必要になってくるのだ。

エンジニアは経営に一番近い仕事？　経営陣に伝わる言葉を学べ

　情報システム部と経営者の“断絶”も大きな課題だ。エンジニアや情報システム部がセキュリティ対策に必要なソリューションを稟議書として上程したとしても、経営陣はなかなか首を縦に振らない。どうしたらセキュリティ対策の重要性を分かってもらえるのだろうか。

　中薗氏によれば、「情シスやエンジニアも、経営陣が分かる言葉で話す努力が必要かもしれません。彼らが知りたいことは『自社はどのくらい攻撃を受けているのか』『自社はどのくらいの防御ができているのか』、そして『防御をすり抜けるような異常は起きていないか』という情報のセットです」と指摘する。

　例えば、「先月から攻撃がX件以上増えている」「既存のウイルス対策ソリューションにより、これらの攻撃は防げていると考えている」「しかし、確信がない部分があるので、新たなソリューション導入の予算請求をしたい」というように、いつから、どんなことが起きていて、何ができて、何ができていないのかを順序立てて説明することが肝心だ。