写真●東京での「情報セキュリティ管理実践セミナー」に登壇して自社のセキュリティ対策を披露したMicrosoft IT Japanの荒瀬達也ディレクター
写真●東京での「情報セキュリティ管理実践セミナー」に登壇して自社のセキュリティ対策を披露したMicrosoft IT Japanの荒瀬達也ディレクター
[画像のクリックで拡大表示]

 これまで多くの失敗を経験しながら,改善を進めてきた---。マイクロソフトの情報システム部門であるMicrosoft IT Japanの荒瀬達也ディレクターは,同社の社内システムのセキュリティ対策を披露した(写真)。これは,2008年2月20日(名古屋),25日(東京),27日(大阪)に開催された「情報セキュリティ管理実践セミナー」での一コマだ。

 マイクロソフトの情報システム部門「Microsoft IT」は,米本社CIO(最高情報責任者)の直轄組織で,2600人が所属する。荒瀬ディレクターは運用対象について,「34万台を超えるパソコンと,15万台を超えるネットワーク機器,8400のサーバーを管理している。駆除しているウイルス・メールは,月に12万5000件以上にのぼる。不正侵入の攻撃は月に10万件以上。これは米国防総省に次ぐ,世界で2番目の多さだ」と説明する。

 米本社のトップダウン体制が敷かれ,ネットワーク機器はシスコ製品,ウイルス対策ソフトはCA製品に限定されている。「ネットワーク機器を日本に設置する場合でも,米本社で調達し,設定したあとで日本に送られる。日本の担当者は設置するだけ。ルーターのアクセス権限は与えられておらず,すべて米国かインドの担当者が管理している」(荒瀬ディレクター)。

正体不明の「RED Team」が社内システムをハック

 セキュリティ対策は2001年に本格化。22のプロジェクトがスタートした。大きく分けると4つある。「境界ネットワークのセキュリティ対策」「内部ネットワークのセキュリティ対策」「重要な資産のセキュリティ対策」「監視および監査の強化」だ。

 「監査の強化としては,社内に『RED Team』と呼ばれるハッカー・チームを作り,社内のシステムやネットワークをハックさせている。見つかった脆弱性などは,システムや製品の改善に役立てている。ただ,RED Teamのメンバーが誰なのかは,私も知らない」と,荒瀬ディレクターは明かす。

 スパム(迷惑メール)対策やウイルス対策にも言及した。「スパムはExchange Serverの機能で8~9割はフィルタリングしており,社員一人がOutlookで受信するスパムメールは1日あたり2~3通といったところだ」という。ウイルス・メールも,Exchange Server上で駆除している。ただし,スパム対策やウイルス・メール対策は,実施するサーバーを分けて負荷を分散している。

 メールのセキュリティ対策も実施している。例えば,社外アドレスへの自動転送や,グループ・アドレスへの社外アドレスの登録を禁止している。「当社も『I LOVE YOU』やNimdaにはやられた。Nimdaによって被害を受けた従業員が,そのことをほかの従業員にグループ・アドレスにメールしたところ,そこに外部のアドレスが登録されていて情報が漏れたこともある」という。

 また,メールなどの操作権限を管理する「Information Rights Management(IRM)」も導入している。ただ,これも最初からうまく運用できているわけではないという。「ある担当者が,IRMでアクセス権限を設定した同報メールを送ったら,受信者が一斉にそのメールを開こうとしたため,IRMのアクセス権限を管理するSQL Serverが止まってしまう事態が起こった。今は,必要な時に必要なメールだけにIRMを使うルールにしている」。

パスワード有効期限は70日

 マイクロソフト標準のパソコン用ウイルス対策ソフトとしては,CAの「eTrust Antivirus」と,マイクロソフトの「Forefront Client Security」を併用している。ただ,2008年夏にはForefrontに絞るという。

 Windowsの更新ファイルの運用は,「自社製品だからといって特別扱いはされていない。ユーザー企業と同様に,社内でもMicrosoft Updateを使っている」。更新ファイルは自動的にダウンロードされるよう,ポリシーで制御している。そのうち緊急度が高いものは,24時間たっても適用されていなければ,強制的に適用される。これは,パソコンもサーバーも同じルールである。

 中には,個人所有のパソコンを使う従業員もいる。ただし,その場合もそのパソコンは情報システム部門の管理下に置かれる。同社のセキュリティ・ポリシーには,「ネットワークに接続するいかなるデバイスも,情報システム部門の管理下に置き,プライバシーは存在しない」と明記してあるという。つまり,ハードディスクの中まで,情報システム部門が把握できる状態にある。

 パスワードに関するポリシーも厳しい。「8文字以上」「70日の有効期限」「パスワード履歴を24個管理し,循環パスワードは認めない」「24時間以内の再変更は不可」「ポリシー違反者は,アカウントを強制停止」などが決められている。「厳密であるため,社内のヘルプデスクへの問い合わせで,パスワードのリセット依頼は上位10件に必ず入っているほどだ」(荒瀬ディレクター)。

 現在は,Windows Server 2008を使ったNAP(ネットワーク・アクセス防御)による社内LAN接続パソコンの制御や,Windows Vistaのドライブ暗号化機能「BitLocker Drive Encryption」をテストしている。2008年夏以降,順次社内に展開する予定だという。