銀行強盗の被害が起きても当の銀行が金庫を製造したり警備システムを開発したりはしない。サイバー攻撃を受けて財務会計情報が盗まれたとしても財務会計ソフトの会社がセキュリティプロダクトを開発したりはしない。餅は餅屋に任せるということだ。
餅屋に任せず自分で作ってしまったのが Microsoft という会社で、セキュリティプロダクトを製造するセキュリティベンダとして同社の存在は唯一無二で独自である。
Microsoft がセキュリティ製品開発に乗り出したごくごく初期こそは、Microsoft のアンチウイルス製品のトホホな検知率がネタ的によく槍玉に挙げられたものだった。
しかし今や、エンドポイントセキュリティやメールセキュリティ、CASB、アクセス管理等々、Gartner と Forrester Research という、“二大”大手テクノロジー調査会社が定める計 13 のセキュリティ技術の領域で、Microsoft はリーダーの地位を獲得している。
Gartner Magic Quadrant も、Forrester Wave も、グッ○デザインやモン○セレクションのような金さえ払えばある程度なんとかなる類(たぐい)の評価ではない。Magic Quadrant のリーダーをたったひとつ獲得しただけで、やれプレスリリースだなんだと、世の IT 企業はドンチャン騒ぎをしている。それが 13 件あるという訳だから、毎月一回パーティーを開いても一年で終わらない。
それら優れたセキュリティプロダクトの販売姿勢が独特なのも Microsoft の特徴である。たとえて言うなら、傷口に貼る「絆創膏的な」売り方にあまり積極的ではないように見えるのだ。
例えば、Emotet の脅威に関心が集まっているからといって「Emotet の脅威分析と Microsoft 製品による保護」のようなタイトルをつけてセミナーに登壇して製品を広めるという、セキュリティ企業にとって王道的なアプローチを必ずしも彼らは取らない。顧客を怖がらせて販売するホラーマーケティングは言わずもがなだ。
堂々たるセキュリティ企業としての製品ラインナップと実績なのだが「セキュリティの Microsoft」などというメッセージの打ち出しも断じて行わない。自社開発のプロダクトをビタイチ持っていないのにセキュリティだなんだと叫ぶ企業もあるがそれと大違いである。
また、トップクラスのセキュリティジャンルの研究者をごっそり抱えてもいる(セキュリティ領域の専業リサーチャー約 8,500 名超が MS に在籍)のだが「我こそはセキュリティの専門家でござい」といった、ラウドな情報発信を行うことも少ない。ふと気づくと Black Hat で講演していたりする程度だ。
そんな Microsoft らしさを感じさせる新しいサービスが今春 3 月に始まった。「Microsoft Cybersecurity 対策相談窓口」である。窓口では、セキュリティに関する電話相談も積極的に受け付けているという。取材してわかったのだが、これが実に Microsoft らしいサービスだった。
取材協力:
日本マイクロソフト株式会社
マーケティング&オペレーションズ部門
モダンワーク&セキュリティビジネス本部 セキュリティビジネス本部
部長 藤本 浩司 氏
クラウド&ソリューション事業本部
サイバー セキュリティ&コンプライアンス統括本部
クラウド エンドポイント技術営業本部
本部長 山本 築 氏
コーポレートソリューション事業本部
モダンワーク営業本部
ソリューションアセスメント営業本部
Solution Assessment Japan Lead
野明 純 氏
サイバー セキュリティ&コンプライアンス統括本部
セキュリティ テクニカルスペシャリスト
松山 祥子 氏
●前身は Teams の導入支援
Microsoft はコロナ禍をきっかけに、2 年前から法人向けに「セキュア リモートワーク相談窓口」を設置、Microsoft Teams 導入の支援などを行っていた。
リモートワーク全般の幅広い相談を受け付けてきたが、2022 年になって世界情勢や Emotet の感染拡大があり、より明確に「サイバーセキュリティ」という切り口で窓口を設置して欲しいという要望が顧客から多く寄せられた。こうした状況を受け「Microsoft Cybersecurity 対策相談窓口」を 3 月半ばに立ち上げた。
電話番号は従来のセキュア リモートワーク相談窓口と同じ(0120-167-400)で、相談内容に応じて適切な担当へ熟練のオペレーターがつなぐ。
●担当営業のいない中小顧客へ無償アセスメントを提供
これまでのセキュア リモートワーク相談窓口は、Microsoft Teams 等の相談が中心で、サイバーセキュリティの相談も含まれてはいたものの、顧客にとってもセキュリティに関する相談をどこまでしていいのかが明確ではなかったが、新たな窓口は看板にはっきり「サイバーセキュリティ」と掲げた。
また、これまで主に営業担当者を通じて大企業向けに提供していた「脅威可視化アセスメント Light」「Cloud Security アセスメント」「Azure Security アセスメント」などの無償アセスメントサービスを、サイバーセキュリティに関する不安や悩みはあるが担当営業がついていない中小規模の顧客に対して、Microsoft Cybersecurity 対策相談窓口を通じて提供していく目的もあるという。
電話相談は、月曜から金曜(土日祝日と Microsoft 社の休業日 除)の午前 9 時から午後 5 時 30 分まで。今後チャットによる対応を行うことも検討している。
● Microsoft Cybersecurity 対策相談窓口が「やらない」こと
Microsoft Cybersecurity 対策相談窓口は、攻撃や被害があった後で連絡をするところではない。その前段階である「対策」の相談を行うことが目的だ(インシデントの緊急対応等は「Microsoft Premier サポート」など別サービスが存在)。
Microsoft の製品やサービスを利用しており、かつ Microsoft の担当営業がいない規模の中堅中小企業のユーザー企業が、事故が起こる前に現状を可視化し、どんな対策を打つことが有効かを考えたい、そんな情報システム部門担当者がいたなら、利用を考えてもいいサービスである。
● 3 つの無料アセスメントサービス
Microsoft Cybersecurity 対策相談窓口では、Office 365/Microsoft 365 向けの「脅威可視化アセスメント Light」、オンプレミス環境をも対象に含む「Cloud Security アセスメント」、そして Microsoft Azure の「Azure Security アセスメントサービス」をすべて無償提供している。
まず、このサービスのいずれかまたは複数を、健康診断あるいはレントゲン撮影のように実施し、その結果に応じてその後の「改善方針」「治療方針」を決めていくのが典型的な流れになる。
(編集部註:なお、無料アセスメントサービスを受けたからといって、空気的に何かを必ず買わなければならないということはない。さきに書いたようにそういう売り方をこの会社はしない。編集部は日本マイクロソフト株式会社からそういう明言を得ている。だから、もし意に染まないサービスや製品を無理やり契約させられそうになったらこの記事の URL をその押し売り担当者宛に送って欲しい)
Office 365 製品のユーザーを対象にする「脅威可視化アセスメント Light」の無償提供は、2021 年 10 月から。可視化されるのは、
・過去 30 日間の Azure Active Directory へのユーザーのサインイン状況
・資格情報の漏えいの有無
・不審な利用状況の確認
・Office 365 の不審な利用状況
などである。なおアセスメントの全プロセスはオンラインで完結する。
「脅威可視化アセスメント Light」は、Microsoft 365 の E5 セキュリティの機能を用いているため、Office 365 を使用していない企業は対象外となるが「Cloud Security アセスメント」は、クラウドサービスを利用しておらず、オンプレミス製品やサービスのみのユーザー企業でも実施できるアセスメントだ。
「Cloud Security アセスメント」なのに対象にはオンプレが含まれるという点が、わかりづらいことおびただしいが、Office 365 があったり Microsoft 365 があったりと、名称を真剣に考えると迷子になるのはこの会社の持ち芸くらいに思っておけばいい。問題は中身である。
「Cloud Security アセスメント」は、300 名以上の中規模以上の企業を主な対象として、2021 年 1 月からサービス提供を開始。同意書に署名しアセスメントをスタートしてから約 1 ヶ月後に報告提出となる。
「Cloud Security アセスメント」では、「CIS Controls」のフレームワークに基づき、顧客へのアンケートと QTソリューションズの「Cybersecurity Assessment Tool」によるオンプレミス環境の AD や Azure AD、Office 365、エンドポイントの PC やサーバを評価し、それらの結果を突合することで精度の高いスコアリングを行う。
たとえば「暗号化をしていない」とアンケートで回答しても、BitLocker がオンになっていれば、環境や設定から得た情報を正しいものとして上書きされる。この手のアンケートによる評価サービスはいくつかあるが基本的にアンケートの回答だけを「正」として評価せざるを得ないが、それとは異なる。
提出される報告書では、スコアの低かった箇所に対し CIS Controls で定義されているアクションを提案する。
2022 年 1 月にリリースした「Azure Security アセスメントサービス」は、Azure 無償評価ライセンス(30 日間)を使用して、顧客のクラウド環境の状況やリスクの可視化を行う。スケジュール感は、申し込みから設定、ログデータ収集、解析から報告まで約 1 ヶ月程度。
アセスメントは「Microsoft Defender for Cloud」の Cloud Security Posture Management(CSPM)、Cloud Workload Protection Platform(CWPP)の機能を用いて設定不備や潜在リスクを洗い出すことで行われる。基本的には Azure ユーザーが対象だが、オンプレミスやプライベートクラウド、AWS も対象にできるオプションも存在する。
「Azure Security アセスメントサービス」を利用することで、そもそも自社にどういったリソースがあるのか、そのリソースのスコアリングが、Microsoft のベンチマークと比較することで把握できる、また、コンプライアンス指標である「Azure Security benchmark」との乖離も確認できる。
● DX 時代の健康保険組織 Microsoft
Microsoft がサイバーセキュリティの対策相談窓口を設置し、電話受付をしていると聞いて、てっきりインシデントレスポンスの一般向け緊急相談窓口を Microsoft も始めたのだとばかり思っていたが、その予想は取材の結果裏切られた。
インシデントの事後対応とは真逆の、将来のインシデント発生の芽を先んじて摘むのがこのサービスの正体だった。
諸事情から Office 製品を使わないと公言するような特殊な例を除いては、ほとんど全ての企業や組織が Microsoft の顧客である。そこで行われる業務の IT 化やビジネスの DX が進めば進むほど Microsoft は儲かるわけだが、それはあくまで性善説の世界のお話だ。
現実は、Microsoft Word で文書や資料を作れば作るほど、Excel で財務資料を作れば作るほど、ビジネスの付加価値を Office 製品や Microsoft のプロダクトやサービスで生み出すそばから、国家支援による攻撃者や、あるいはサイバーギャング組織によって知財や価値が盗み出されていくという悲惨な事態が起こっている。
会社や組織が存続する限り Office 製品や Azure 等にお金を払い続けてもらうビジネスモデルを Microsoft は持っているが、顧客がサイバー攻撃に強い組織になってくれなければ、その目論見が長期的には達成できなくなってしまう。
目先の脅威や被害に対して絆創膏を売って短期的に稼ぐというよりは、顧客のセキュリティに関する「生活習慣改善」「体質改善」の達成が、だから優先的目標となるのだろう。
たとえば従業員規模の大きい企業は、独自の健康保険組合を設立し運営している。病気ばかりしている従業員がいたら会社の業績にも長い目で見て悪影響があるし、治療にコストがかかったり職場復帰に時間がかかるような生活習慣病の発症者は一人でも減らしたいからである。
今回、Microsoft Cybersecurity 対策相談窓口のコアサービスとして、計 3 つの無料アセスメントを紹介したが、これらはいずれも、「Microsoftサイバー健保(架空の名称です)」が提供する健康診断であり人間ドックのコースのようなものである。
経済大国が豊富な資金を用い計画的に行うサイバー攻撃は別として、古典的な脆弱性放置などによって起こるサイバー攻撃被害は、企業文化のもとで行われる日々の業務のくり返しの結果発生するという点で、一種の、会社や組織の生活習慣病と言うこともできるかもしれない。
Emotet や BEC のような具体的な脅威や、セキュリティ企業が語る恐い脅威の物語をトリガーとしてセキュリティ対策の取り組みは始まることが多いが、Microsoft Cybersecurity 対策相談窓口が提案するような、まず健康診断や人間ドックを受けて、どんな体質改善や生活習慣の変更が必要かを考えるというアプローチの方が本来的な王道であることは間違いない。対症療法的セキュリティ対策はそろそろ切り替える時期に来ている。
