IT & Information security Journal
企業を狙ったサイバー攻撃や情報漏えい事故が増える中、企業はどのようなセキュリティ対策を行うべきなのでしょうか。こうした課題を解決するためのデータ管理・ガバナンスの考え方やノウハウについて、2024年7月に開催された「Security Innovation Conference 〜情報漏えいから自社を守る方法〜」における日本マイクロソフト株式会社のチーフセキュリティオフィサー 河野 省二氏の講演をもとにご紹介します。
この記事のポイント
セキュリティインシデントの予防のためには、インベントリ管理、構成管理、ガバナンスの徹底が必要
各データにオーナーを設定し、データのライフサイクルを通してどのような状態にあるかを把握することが大切。また、自組織以外の人とのファイル共有にあたっては、相手方のID管理サービスと連携し、サプライチェーン全体でファイルのアカウンタビリティを確保できるようにするのが理想的な形
理想的な形を実現するうえでは、データオーナーのアクセス権を維持する(データロスの状態にしない)ことが重要
最近のAIツールには、従業員のポリシー違反や不正の疑いのある行動を検出したり、対応についてアドバイスしてくれる機能を有するものがある。そうしたツールを活用するためには、IT環境の整備が欠かせない
河野氏は最初に、セキュリティインシデントを起こしやすい組織の特徴を3つあげました。第1は、「資産が把握できていない」。管理者が従業員のローカルPCにどんなデータが入っているかわかっておらず、自組織が保有する資産(データ)を集約することもできないという状況です。第2に、「資産の状態がわからない」。データにアクセス権が付与されているか、暗号化されているか、サーバーの設定がどうなっていて、今、誰がアクセスしているかといった資産の状況を把握できていなければ、インシデントにつながる危険が潜んでいても検出することができません。そして第3が、「異常を検出しても修正できない」。これでは迅速な対応が取れず、被害が拡大しかねません。
こうした悪い状況を解消するための手法としては、情報やデータだけではなく、サーバーやネットワークなどもすべて把握できるようにする「インベントリ管理」、データやシステムを想定どおりの状態にしておく「構成管理」、そして想定外のことがあればすぐに修正できるようにする「ガバナンス」の3つを徹底させなければならないと、河野氏は説明します。
また河野氏は、組織が保有するデータについて、クラウド上のデータよりも、オンプレミスのシステムやローカルPCにあるデータのほうが外部から狙われやすい傾向にあると警鐘を鳴らします。クラウド上のデータは、各種サービスが自動的にインベントリ管理をしてくれるためリアルタイムでの把握が可能であるのに対し、オンプレミスのシステムやローカルPCにあるデータは、各組織が管理の仕組みを別途設けることが必要となるからです。事実、昨今のセキュリティインシデントでは、管理の甘いオンプレミスのシステムを狙ったランサムウェア攻撃が目立ちます。
データのライフサイクル(データ作成、保存・管理、利用・共有、廃棄)を通して、そのデータがどのような状態であるかをしっかりと把握することが大切です。そのためには、各データにオーナーを設定し、責任を持たせることが重要だと河野氏はいいます。
データオーナーはデータを扱いやすいように分類したり、その分類に応じてアクセス制御を実施したり、必要に応じてバックアップをとったりしながら、データを適切に管理します。さらに、自らが管理するデータが正常な状態にない場合にはそれを修正する、つまりデータガバナンスを効かせることも求められます。具体的な行動としては、付与されるべきでない閲覧権限がついていたらそれを外したり、後々説明責任が生じたときのためにデータのやり取りのすべてを記録したりすることなどがあげられます。
理想的なデータ管理の仕組みとして、河野氏が示したのが下図です。
ここでいうID管理基盤とは、クラウドやローカルPCにあるデータを管理するための証明書を発行するシステムを指します。従業員は、この証明書を使って、ファイル単位になったデータに自身がオーナーであることを示すサインをつけ、組織内の人々に対する権限を設定します。リアルタイムにログを取得すれば、そのファイルに誰が何をしたか等の状況を把握できます。
関係企業や取引先など自組織以外の人にファイルを共有する際には、相手組織が利用しているID管理サービスと連携することで、相手方に権限を付与することが可能です。Microsoft、Salesforce、Googleの3社は、アカウント管理に共通フォーマットを採用しており、たとえばMicrosoft 365ユーザーとGoogle Workplaceユーザーの間でも適切な権限管理ができるようになっています。これにより、ファイルそのものやパスワードを渡すというリスクを冒さず、自組織以外の個人ともデータ共有ができるのです。
「組織単位ではなく、ある組織のある個人に対して権限を設定できる形になっていますから、サプライチェーン全体でファイルのアカウンタビリティを確保できる、理想的な仕組みです。ただし、これはアカウント管理に関して、組織間で信頼関係が構築されていることが前提となります。各社のアカウント管理をどう評価するかについては、NIST SP 800-63というデジタル・アイデンティティ・ガイドラインなどを参考にするといいのではないでしょうか」(河野氏)
データ管理を行う中でしばしば聞かれる「DLP」には、2つの意味があると河野氏は説明します。1つはData Leak Preventionで、「USBや外部デバイスにデータをコピーさせない」のようなデータ流出を防ぐためのソリューション。もう1つがData Loss Preventionで、データがどこに置かれていても、そのアクセス権が適切であるかを確認して異常があれば修正するという、データの権限奪取を防ぐためのソリューションです。
「仮に、自組織のデータがUSBメモリにコピーされた場合でも、電子メールに添付されて外部に流出した場合でも、権限が正しく付与されていれば、第三者がそのデータを開くことはできません。また、流出したデータを遠隔操作で無効にすることができれば、なお良いでしょう。『そんな夢のようなことができるのか?』と思われるかもしれませんが、今やそれができるんです」(河野氏)
たとえばMicrosoftでは、こうしたファイル単体での管理機能はWindows10から搭載しており、OneDriveやSharePoint for Businessのようなストレージサービスを利用することで実現できると河野氏はいいます。古いWindows Serverを利用しているユーザーは、Windows10に切り替えれば、セキュリティ面の強化が図れるようになるということです。
「ここまでのポイントをまとめると、まずはインベントリ管理で自分たちが何を持っているかを知ること。次に構成管理で今の資産の状態を把握すること。そして、いつどこで誰が何をしたかというやり取りをリアルタイムに集めることが重要です。DXをうまく使いながらこれらを実現すれば、リアルタイムにさまざまな改善をすることもできるようになります。これこそがガバナンスの理想的な形です」(河野氏)
ガバナンスの理想的な形を現実のものにするためにまず優先すべきは、データのアクセス権を維持することだと河野氏はいいます。
たとえば、Microsoft 365の中にあるデータをクラウドストレージサービスのBoxに移動した場合、ID管理サービスを連携させていれば、ファイルを移動したことがログに記録されます。続けて同じファイルをGoogle Driveにコピーした場合、データが1個増えたことを構成管理・インベントリ管理に記録し、その動作がログに記録されます。さらに、同データを個人用のDropboxにコピーさせないといった対応も可能です。
このような管理がなされていないと、データオーナーのアクセス権がどこかで外れて、「自分のものであることが証明できない」「自分しかアクセスできないようにしていたのに、他の人がアクセスできようになってしまっている」など、いわゆるデータロスと呼ばれる状態になってしまいかねません。構成管理・権限管理・ログ管理を行い、さらにID管理サービスを連携して、ローカルでもサプライチェーンでもすべての状況を把握できるようにすることが重要だと河野氏は強調します。
リアルタイムガバナンスのための一元管理を実現させるために、Microsoft 365環境では、データそのものに加えて、ファイルの作成・共有・修正などの活動がグラフ(Graph)データベースの中に保存されていきます。グラフデータベースとは、データとデータの関連性が生み出す「意味(セマンティック)」を蓄積したデータベ―スです。
マイクロソフト社のチャットボット「Microsoft Copilot」は、このグラフデータベースを参照し、さまざまな生成AIの特徴をモデルごとに使い分けながら、ユーザーの質問に回答していると河野氏は説明します。たとえば、セキュリティ分析ソリューション「Microsoft Copilot for Security」は、自然言語で対話する際にはChatGPTやGPT4、図を描く際にはDALL-Eを使うなど、最適なAIモデルを選択しているそうです。
河野氏の説明によると、Microsoft Copilot for Securityは、データ一元管理のためのソリューション「Microsoft Purview」が収集したデータから、先ほど説明したDLPに違反しているものを検出することが可能です。しかも、その結果を自然言語でわかりやすく解説してくれ、さらに違反に対してどのようなアクションをとればいいかも教えてくれます。
内部不正の疑いがある振る舞いの検知も可能です。どのような振る舞いがあったのか、その事実を提示しつつ、Copilotがなぜ不正の疑いがあると判断したのかの説明が表示されます。これらの情報は、当事者にヒアリングを行う際に、悪意があったのか、単なる間違いだったのか等を探る際に役立つでしょう。
また最近では、Microsoft Teamsにレコーディングされたデータから、誰かが会社の機密情報を漏らしていないかをCopilotに検出させたり、なぜそれが違反にあたるのかを説明させたりすることもできるようになっています。
「つまり、AIツールが経営判断の1つの材料になる可能性があるということです。こうしたガバナンスの安全策を実現するには、IT環境の整備が重要になってきます。バラバラにログを取っているとか、ログを取ったつもりで必要な情報が入ってないといった状況では難しいので、きちんとしたDXやリアルタイムガバナンスを実現しながら、その中で集まったビジネスインテリジェンスを最大限に活用するために、AIを利用していただきたいと思っています。それができれば、セキュリティコストは大幅に下がりますし、それによってビジネスは飛躍的に伸びていくだろうと考えています」(河野氏)
(文:渡邊智則)
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
CLOSEUP セキュリティ組織
CLOSEUP セキュリティ組織
この記事をシェアする
最新情報をフォローする