企業はもちろん個人もセキュリティの脅威に晒されている昨今、WindowsやOfficeをリリースするMicrosoftのセキュリティ対策に興味を持つユーザーは多いだろう。その回答として日本マイクロソフトは、「サイバーセキュリティへのマイクロソフトのコミットメント」と題したプレス向け説明会を2015年11月5日に開催した。そこで語られたサイバースペースを維持するMicrosoftの取り組みを紹介する。

Microsoftは以前から、政府と連動したハッキング対策を行うDCU(Digital Crimes Unit)やCybercrime Centerを立ち上げているが、なかでも興味深いのは国際的な連係だ。ワールドワイド企業であるMicrosoftは、各国が定めたルールのなかでしか行動できない一方で、攻撃者は国境を意識せず、自由に活動している。そこでMicrosoftはサイバー攻撃に対抗するため、各国政府と連動したルール作りなどに積極に関わっているという。その中心的存在となるのが、Microsoft GSSD(Global Security Strategy and Diplomacy)チーム サイバーセキュリティポリシー&戦略担当ディレクターのAngela Mckay(アンジェラ・マッケイ)氏である。

MicrosoftのAngela Mckay氏。開発者そして公共政策という立場で12年前から同社のサイバーセキュリティ対策に携わっている

Mckay氏はサイバーセキュリティの公共政策という自社の取り組みを、「世界各国の政府やIT業界のパートナーとともに政策を策定し、世界的なセキュリティを高める」のが目的だと説明しながら、米国政府や議会はもちろん、日本を含む各国の行政機関とサイバーセキュリティに対する政策に日々携わって来たと語った。

Microsoftのサイバーセキュリティに対する歴史は長く、Mckay氏は新しくも古い"クラウド"というキーワードを用いて、その長い歴史を示した。

Outlook.comの前身であるHotmail(1996年ローンチ)を引き合いに、「Hotmailを使い始めたのは大学生だった」と語りながら、インターネットの黎明期から現在までの間、我々がインターネットという技術を享受するように、攻撃者もインターネット技術を活用しているため、あらゆる角度からセキュリティ対策を講じる必要があることを強調した。

「Trustworthy Computing(信頼できるコンピューティング)」をMicrosoftが提唱し始めたのは2002年だが、その頃から同社はセキュリティ対策に強くコミットし、多くの投資を行ってきた。社員に対しては、例えばソフトウェアの脆弱性を意識するべく教育を施し、学んだ経験、結果を、Office 365やMicrosoft Azureといった製品に反映させているという。

Microsoftのセキュリティ基盤を示したスライド。同社が初めてデータセンターを設立したのが1989年だということも確認できる

だが、重要なのは製品レベルではなく、ワールドワイドレベルの意識変革ではないだろうか。Mckay氏は「IT企業や政府もセキュリティに対する懸念を高めた結果、我々は対話を始めた。IT企業以外にも金融サービスや競合他社とも協力しつつ、国際レベルで標準的なルールを策定している」と説明した。

攻撃者の手が緩むことはなく、サイバー攻撃の被害は甚大だ。Mckay氏は、1998年5月に当時の米国政府が発した大統領令を挙げ、政府もセキュリティ対策に乗り出している点を具体例で示した。それでも、現在に至るまで政府内のバランスや、攻撃の巧妙化が相互に絡んで複雑化し、セキュリティ対策の進捗を妨げているという。こうした状況もあってMicrosoftは、官民を越えた形で協力し、既に一部の国では法制化の検討を始めたそうだ。

Microsoftが提唱する現在のサイバーセキュリティに必要な公共政策

政府との協力関係について"実践的な情報交換"が大事だが、サイバーセキュリティのルールを作成する上で重要なのは、「その国々で文化が異なる点を理解する必要がある」とMckay氏は語る。

例えば米国では、IT業界が様々な重要データを保持しているケースが多いものの、欧州は政府がデータを保持したいと考えるケースが多いという。結果、その国の防衛姿勢や方針など多様な要素が絡み合い、Microsoftがガイドラインを作ったり技術的なアドバイスを行ったりしても、セキュリティリスクに気付かない政府関係者が少なくないそうだ。

Microsoftや米国政府など、その立場によってサイバーセキュリティの行動基準は異なるという

個人的には日本政府がどのような姿勢なのか気になるところだが、Mckay氏は「先日会った経済産業省の関係者は、インフラを保護する上でどのようなアプローチが役立つのか強い興味を持っていた」と述べている。米国と同じように日本政府も省庁によって方針や目的が異なるものの、「セキュリティ対策レベルを高めるという意味では共通の意識を持っている」との説明に(わずかながら)安堵を覚えた。

Mckay氏は「"政府"とサイバースペースを比較すると異なるように見えるが、実は共通点が多い」としつつも、ITを中心に置いた民間企業であるMicrosoftと米国政府の意見は必ずしも合致しないという。だからこそ同社は脆弱性を公開し、ベンダーに伝えてパッチ作成やリスク管理を高めるのが重要と考えるのだろう。

「我々はグローバルというつながった世界に住んでいる。異なる方針を持つ各国政府同士が国際的な協力を行い、その世界の維持を望みたい」と自信を持って語るMckay氏。セキュリティという我々の日常に潜む重大なリスクに対して、Microsoftのような大企業はもちろん、日本政府の関係者にも積極的な対策、そして行政機関としての施策を期待したい。

阿久津良和(Cactus)