「マイクロソフトの7割の社員はITリテラシーが低い」強靭なセキュリティを保つための前提条件

経営に効くITプロの仕事とは

澤円氏（以下、澤）：日本マイクロソフト、マイクロソフトテクノロジーセンターのセンター長、そして、サイバークライムセンター日本サテライトの澤でございます。

本日は1日目最後のセッションとして、こちらの部屋を選んでいただいて、本当にうれしく思います。「ガラガラだったらどうしよう」と思っていたのですが、ものすごくたくさんの方にいらしていただいて、とてもモチベーションが上がっている状態です。

これからの50分間、みなさんになるべくたくさんのお土産を持って帰っていただけるように、がんばってしゃべっていきたいと思います。ちなみにキーノートをお聞きになられた方は、どれぐらいいらっしゃいますでしょうか？

（会場挙手）

たくさんいらっしゃいますね。ありがとうございます。ということは、もうすでに9時間ぐらい経ってますね。かなりお疲れのことと思いますけれど、もう少しだけご辛抱ください。

そして、そのあとにはビール、Beer Bashも待っていますので、ぜひそちらにもご参加いただければと思います。

では、最後のセッション、私がなにをお話をするのか。「経営に効くITプロの仕事とは」。

ここにいらっしゃる方は、ITプロの方が多いんじゃないかなと思います。では、少し聞いてみましょう。「ITプロですか？」と聞かれて、「はーい」と手を挙げるのは照れくさいかもしれないんですが、「ITのお仕事をしている、ITインフラを管理するお仕事をしているよ」という方はどれくらいいらっしゃいますでしょうか？

（会場挙手）

7〜8割ですね。ありがとうございます。ということは、みなさん、ITプロのお仕事をすでにやっているわけですね。「いかにしてそれが経営に効く状態にするのか？」ということが今回のテーマになります。50分間お時間をいただいて、そんなお話をしていきたいと思います。

「マイクロソフトは会社です」

実はここではメインのお話として、マイクロソフトそのもの話をさせていただこうかなと思っています。

まず、マイクロソフトは会社なんですね。当たり前の話なんですけれど、実はこれが意外と忘れられることがあります。というのも、マイクロソフト、なんとなく仕組みというふうに見られることがあるんですよね。会社というイメージよりも、マイクロソフトという仕組みだったり、あるいは製品のほうがなんとなく色が強いので、そういった目で見られることがあります。

ですが、会社ですのでやはりIT部門がちゃんとあるわけです。

IT部門があるということは、実は、ITプロのみなさまと悩みごとってぜんぜん変わらないんですね。マイクロソフトだからといって、すごく特別なことがあるわけではなくて、マイクロソフトも普通の会社であり、そしてIT部門の人は、みなさん、ITプロの方とまったく同じことで悩んでいらっしゃいます。

ここで（スライドを）ご覧いただきたいんですが、Windows 10が出てきましたけれど、実は、我々はみなさんとまったく同じものを使って仕事をしています。

マイクロソフトなので、なんとなくすごく特別なものを使っているようなイメージがある方もいらっしゃるんじゃないかと思うんですが、実は我々は、市場、マーケットに出している製品とまったく同じものを使うということが、ある意味、義務付けられていると言ってもいいかもしれません。

CIOジム・デュボアの発言の意図は？

そして、そのIT部門を率いているのがこの人です。名前をご紹介すると、ジム・デュボアという人になります。

IT部門のトップになるわけなんですが、この人はどういった立ち位置の人か？　誰にレポートをしているのか？　まず、マイクロソフトのトップ、CEOは（スライド左の）このサティア・ナデラという人になります。

その下に何人かのいわゆるシニアリーダーシップチームというものがあるんですけれど、その1人にカート・デルベーンという人がいます（スライド中）。少し前までMicrosoft Officeのリーダーをずっとやっていたんですけれど、一度退職をしまして、気が変わってマイクロソフトに舞い戻ってきたという人です。

ちなみに、うちの会社には出戻りOKというカルチャーがございまして、出戻りを何度も繰り返している人もいます。彼はそのうちの1人なんですね。出戻り組の仲間入りをしたのが、このカート・デルベーンなんですけれど、（ジム・デュボアは）その人にレポートをしています。

このカート・デルベーンはなにをしているかというと、企業戦略・企画担当をしている。その配下に、このCIO（ジム・デュボア）がいるという状態になっています。

この人（ジム・デュボア）が、カート・デルベーンに言ったセリフがあります。「あなたの肩書きをチーフ・イノベーション・オフィサーに変えてみない？」と。実際に、そういうふうに変えたわけではなくて、これはあくまでも例え話として言っているだけなんですけれど。

どういうことかというと、カートの担当は戦略や企画なので、まさに企業の中でイノベーション起こす、そういったところに責任を持っているわけですね。テクニカルな部分じゃなくて、どちらかというと企業戦略として行っていくと。そのイノベーションを起こす原動力として、「私はあなたにレポートをしようじゃないか」と考えてるわけですね。

ITインフラはイノベーションを生むエンジンである

つまり、マイクロソフトの中では、IT部門というのは単に管理をするという位置づけではなくて、ITインフラというもの、これがイノベーションを生むためのエンジンだと考えています。

もちろんマイクロソフトという会社は、WindowsやOfficeをもともと作っていて、今ではクラウドやたくさんのデバイス、そういったものを出す会社になってるわけなんですが。

それを作っているからというよりも、マイクロソフトのミッション、「すべての人類、すべての組織がもっと成功できるようにエンパワーしていく」という我々のミッション、「それを実現するためのエンジンとして我々は働きたいんだ」と、IT部門自身が言っているわけですね。「我々はエンジンだ」と言っています。

そしてマイクロソフトIT、「MSIT」とこれから言いますけれど、「Create Tomorrow & Deliver Today」というものが、本当にMSITのミッションになってるんですね。彼らは「明日を作るために、今すぐこれをデリバリーしていくぞ。とっととやるぞ」と言っているわけです。

マイクロソフトのITを支えているのは何人？

今日、私、キーノートの中でもDevOpsの話もさせていただきました。まさにああいった考え方です。どんどんオペレーションを回していって、新しいものを取り入れて、よくなるためだったらなんでもやるという、そういう発想なんですね。そういったことをマイクロソフトITはミッションとして掲げています。

ちなみにマイクロソフトの社員の数、これは公表してます。10万人ちょっとですね。11万6,000人ぐらいです。それに加えて、10万人程度の協力会社さんや派遣会社さん、そういった人たちがいます。

だいたい20万人ぐらいで全体のビジネスをやっているんですが、「MSITは何人いるんですか？」と聞かれます。興味ありますよね？　内緒なんです。

「マイクロソフトのITを支えている人は何人いるの？」というような情報、「そんな情報、たいしたことじゃないんじゃないの？」とお思いになるかもしれません。これは別のセキュリティセッションでもよく出る話なんですが、マイクロソフトはサイバーアタック、サイバー攻撃を全世界で2番目に受けているという話を何度か聞かれた方もいらっしゃるんじゃないかなと思います。マイクロソフトが受けている攻撃は、全世界のすべての組織の中で2番目に多いと言われています。

一番攻撃を受けている組織はどこか？

では、1番目をご存じの方はどのぐらいいらっしゃいますでしょうか？

（会場挙手）

はい。だいぶ常識になってきました。でも、そんなに多くないですね。わかりました。ありがとうございます。わからない人もいらっしゃるので。

Appleさんだと思った人いますか？　Appleさんが一番多いと思った人？

（会場挙手）

Googleさんが一番多いと思った人？

（会場挙手）

パラパラいますね。この2社に負けているのは株式総額ですので、間違えないでください。攻撃の数では我々が勝っています。ぜんぜんうれしくないんですけどね（笑）。

攻撃の数で我々よりも多いのはペンタゴン、国防総省です。その次にマイクロソフトは攻撃されているんですね。実はこの話をし始めるだけであと3時間ぐらい必要なので、このぐらいでやめておきますけれど、それぐらい数多くの攻撃を受けています。

ですので、プロテクトしなければならないという意識が非常に高いです。こういった数字（MSITの人数の公表）は、実は大変リスクを伴うとも言えるわけですね。ですので、これは内緒なんです。

“知らない”という防衛策

知らないことは漏れません。知らないということは、実はセキュリティを守る上で非常に大事なポイントなんですね。知らせない。知られない。

自分自身が知らない状態にしておくということも大事なポイントです。よくありますよね。スパイ映画やアクション映画を見てみてください。だいたいパスワードを知っていたり、秘密の鍵を持っていたりする人が拉致されるわけです。

拉致されて、拷問にかけられて、椅子に縛り付けられて、銃を突きつけられて、「パスワードを言え！」とか言われるわけです。もう嫌になっちゃっていますから、「わかった。パスワードはなんとかなんとか」って言っちゃうわけです。そして、「ありがとな」、バーンって撃ち殺されるわけです。

2つ不幸があるんです。パスワードが漏れてしまって、その人が死んでしまう。

そして、知らなかったらどうなるかって話なんですね。その人がパスワードを知らなかったら、だいたいオチわかりますよね。「本当に知らないんだ！」「役立たず！」バーンといって、不幸が50パーセントオフになるんですね。知らないということは、こんなに安全性を高めるわけですね。本人は死んでしまって、かわいそうなんですけれど。

だから、知らないということは漏れないということになります。ですので、実はこういった情報を隠しておく、内緒にしておくというところもけっこう大事です。

もちろん、オープンにすることによって安心・安全を感じていただくというところは、積極的にどんどん出していく。今日、ほかのセッションでもやっていましたけれど、セキュリティに対応しているということに関してはどんどんオープンしていくのが、実は非常に大事なんですね。

とはいえ、全世界にとてもたくさんいるそうです。少ない数ではないと言っています。

Create Tomorrow＆Deliver Today

そして「Create Tomorrow」「Deliver Today」、この2つは少し毛色が違うんですね。よりよい明日を創るために、今すぐに使えるようにする。

「より明日を創るために」のほうは、どちらかというと企画だったり、立案だったり、アイデアの共有だったり、そういったことをします。

そして、「今すぐ使えるようにする」ということが、実際にはオペレーションになるわけですね。

ですので、この中でも、なんとなくITの中なんだけれど、DevOpsの考え方がけっこう根付いていたりします。いち早くフィードバックを受けて、それを反映していく。よりよいIT環境にしていくということが、1つのサイクルの中に全部組み込まれているということなんですね。

ここは情報をサイロ化してはならないところです。全部一体化しているということが必須条件になってきます。

マイクロソフトにはITリテラシーが低い人もいる

そして、マイクロソフトに対する大きな誤解を解いておかなければなりません。これはなにかというと、「マイクロソフトの社員ってITリテラシーが高いんでしょ？」と、よく言われます。あまり胸を張って言うことではないんですけれど、これは大きな誤解なんですね。

マイクロソフトの社員はITリテラシーが高いか？　決してそんなことはありません。だから最初に断ったんですね。「マイクロソフトは会社ですよ」と言いました。

みなさんも会社をイメージしてください。会社ということで考えると、全員がその会社がメイン業務にしていることのスペシャリストかどうか？　そんなことないですよね。

車屋さんだったら、全員がトッププロドライバー並の運転技術を持っているのか？　そんなことないですよね。免許を持っていない社員の方だっているんじゃないかなと思います。

お酒メーカーの方だったら全員ウルトラ酒豪なのか、そんなことないですよね。一滴も飲めない下戸の方だって働いているはずです。

要するにそういうことなんですね。ITの企業ではあるんですけれど、ITリテラシーが高いというところとは実は相関関係はありません。

だいたい高リテラシーの人間が30パーセント、そして70パーセントの人間は低リテラシーということを前提として、マイクロソフトの内部もデザインされています。これぐらいの割合なんですね。

当然のことながら、ボリュームで考えると低いほうに合わせざるを得ません。

高いほうに合わせてしまうと、結局着いて来られない人が出てくるということになります。そうすると、逆にリスクがどんどん上がっていくということになります。

1日150億回のセキュリティイベントが発生

そして、なんといっても「このなかで大事なのはなにか」ということになるんですけれど、これがセキュリティになるわけですね。

セキュリティ、もちろんこれがトップイッシューになってくるわけです。トップオブマインド、一番気にしなきゃいけないところです。

さあ、いくつでしょう？　カウントしましょうか。一、十、百、千、万、十万、百万、千万、一億、十億、百億。なんとなく今、なんちゃら鑑定団みたいな気分になりましたね。

150億、これがどういう数字かということですが、私、IT部門の人間にインタビューをしてびっくりしたんですけど、これは1日に起きるマイクロソフト社内のセキュリティイベントです。1日ですよ。1日の間に、これだけのセキュリティイベントが起きています。

セキュリティイベント。イベントって別に「ウェーイ！」とか、そういった楽しいものじゃないです。これはいろいろなできごと、例えばパスワードを間違えてEnterを押したとか、許可されていない読取機のところにIDをかざしたとか、そういうことです。

こういったことを全部入れると、実は150億もセキュリティイベントが発生しているんですね。これ、ものすごい数ですよね。

その150億のセキュリティイベントすべてに対応するということはやはり厳しいんですね。ですので、そのうちのやらなきゃいけないことに絞って対応することにしています。

それでもやはりだいたい1時間に800回ぐらいあるんだそうです。これが要アクションのイベントということになります。

どういうものがあるのか？　例えば、本来退職しているはずの人がログインを試みたということも、これはちょっとまずいわけですね。あるいは、本来ありえない条件でのログインが発生した。これはあとでお話をしますけれど、そういったものであったり。あるいは、本来あってはならない情報のダウンロードのようなものが検知された。

そういったことが起きると、当然アクションをしなきゃいけない。それが1時間に約800回発生しているということになります。

入社年次とセキュリティイベントの相関関係は？

単純計算しましょうか。先ほど、「だいたい20万人ぐらいの人が働いている」と言いました。そして1時間に800回です。さあ、割合的にはどんなものでしょうか？

みなさんに聞いてるんですよ。僕、数字苦手ですから、計算するつもりぜんぜんないですからね（笑）。どれくらいですか。……0.004パーセントぐらいかな。いずれにしても、1時間に1,000人のなかで数人がイベントを発生させている。だいたいそんな計算になりますかね。

そして、当然のことながら、ずっとこんな回数起きているということは、全部人間がやるというわけにはいかないので、どうするのか？　そこで登場するのが、この機械学習なんですね。

そのセキュリティイベントを片っ端からカテゴライズして、見える化をして、数値化をして、機械学習に放り込んでしまいます。そして、その放り込んだ結果を、次の運用に活かしていくということになるんですね。

それでどういうことを見るのか。例えば、入社年次とセキュリティイベントの相関関係はあるんじゃないか。どうなんだろうか？

「3年ぐらい経ってくると、だいたいみんな慣れてきてしまって、こういったイージーなセキュリティイベントを起こす」とか「新入社員の間はイベントを起こしやすいので、やはりこれは新入社員教育としてやらなければならないんじゃないか」ということが見えてくるんですね。

グローバルでこれだけビジネスをやっていますので、そのなかで見えてくるものを、それぞれいちいちレポートを上げているのでは少し遅くなります。ですので、こういったところはやはりITの力を使っていくわけです。機械学習の力を非常に多く使っている事例になっています。

「攻撃は成功する」前提で考える

そのなかの考え方として非常に重視されているのが、「多層防御」という考え方になります。

これは、1箇所を一生懸命がんばって、例えばファイヤーウォールを徹底的に堅牢にして、インターネットからの脅威を守ろうじゃないかといったようなシングルポイントの考え方ではなくて、全部ちょっとずつちょっとずつ。

ちょっとずつと言っても、手薄にという意味ではないです。すべての面に対してセキュリティに関する意識を持って、それぞれをしっかり質を高めていく試みをしようじゃないかという考え方なんですね。

セキュリティの話を専門にやっていると気づくことがあるんですけれど、残念ながらITにおけるセキュリティイベントというものは、攻める側が絶対に強いんですね。攻めるほうが絶対に成功します。なんらかのかたちで成功します。

被害が出るか、致命傷を受けるかは別です。ただし、「攻撃は成功するものなのだ」と定義しないと、実はもっとひどいことになります。

もしかしたら、ここにいらっしゃるITプロの方も経営層の方からこういった質問を受けたかもしれません。「うちの会社セキュリティは大丈夫なんだろうな？　侵入とかされていないよな。情報漏洩のリスクはないよな？」。

なんと答えるか？　決して「大丈夫です」と、答えないでください、というよりも、答える必要はありません。なぜかというと、今朝のキーノートでもチラッと言ったと思うんですけれど、すべての企業のうち90パーセント以上の企業ってもう侵入されているんですよ。

みなさん1人じゃありません。みんな侵入されているから安心してください、という理屈なんですね。ですので、侵入されていることを前提にしてデザインしていかなきゃいけないということになります。

そのために多層にしておくんです。侵入されたとしても出ていけない状態にしたり、侵入されてデータを持ち出されたとしても、そのデータが役に立たない状態にしたり、いろんなやり方があるんですね。ですので、多層防御の考え方を、ぜひみなさんには知っていただきたいなと思います。

マイクロソフトの鉄則「例外なし」

今回はメインのテーマとして、セキュリティの話ばかりをするわけではないので、エッセンスだけみなさんにお伝えしようと思うんですが、そのうちの1つ、キーワードとしてぜひ覚えていただきたいのが「NO EXCEPTION」、例外なしという言葉です。

これはマイクロソフトの鉄則になっています。そして、例外をどれだけ減らせるかということが、安心・安全なIT環境を作る上では一番大事なポイントになります。

みなさんおそらく、これですごく苦労されているということもよくわかっています。ですが、まずITに関してやらなければならないことは、とにかく例外に関する処理を徹底的に減らしていくことなんですね。

マイクロソフトの内部において例外というものがどういう扱いを受けるかというと、「例外を1つ認めることは、リスクとコストが倍になる」という考え方をします。1個増えるんじゃないんですよね。プラス1じゃないんです。2倍になるという考え方をします。

例えば、ユーザーIDパスワードの設定に1つの例外を加えたとしましょう。「ビル・ゲイツはだいぶお年も召してきたし、あの人は“password”というパスワードにしてもいいんじゃないか」「12345678でいいんじゃないか」というポリシーを作った。ルールがめちゃくちゃですけど、仮にそうしたとしましょう。

そうすると、これは「20万人：1」ではないんですね。20万人のパスワードを管理するのに100の労力を使っているのであれば、プラス100になるという考え方をすることになります。

実は、こういうものの考え方をすることが、セキュリティを高める上、安全・安心なIT環境を作る上では最も大事なポイントになってきます。

社員証の規格も全世界共通

例えば、これは私の歴代のIDカードです。

私はこの風貌になってから10数年経ってるんですけれど、右側のIDカードに切り替わったのはここ1年ぐらいなんですね。ということは、つい先日まであれを使っていたんですね。「マイクロソフト最大のセキュリティホール」とずっと言われていました。

でも、大丈夫なんですね。写真はどうでもいいです。ちゃんと中に証明書、チップが入っていて、そのチップのほうが大事なんですね。僕の風体の問題じゃないんです。

この社員証の規格も例外はありません。全世界完全に共通になっています。まったく同じデザインでまったく同じ規格になっています。

そして、単にカードのデザインが同じなのではなくて、規格として決まっているのはこの読取機。読取機に関しても同じ規格ですべて調整されています。

ですので、どこの国のオフィスに行っても、ピッとやったら必ず入れるという状態になってるんですね。それがマイクロソフトのデザインになっています。

ピッとした情報は、「澤がこの扉を開けた」という情報として、Global Security Operation Center、GSOと我々は言ってるんですけれど、オペレーションセンターにピッと即時に行きます。トレースができる状態。瞬時に情報が伝達される状態になっています。これが非常に大事なポイントになるわけですね。

そして、全世界どこでもできますよとお話しましたが、ピッと東京でやりました。ただ、ログインそのもの、ログインした時にアクセスするワイヤレスのポート、これが仮に東京ではなくてシドニーだったらどうなるか。これが先ほど言った、ありえない状態なんですね。

マイクロソフトの内部では、ユーザーIDパスワードというものは1組しかなくて、私1つしか持ってないんです。IDと呼ばれるものは1個だけです。それですべてのシステムに対してアクセスするように調整されています。

ですので、そのユーザーIDパスワードを使ってログインできるのは、この世の中で私しかいないはずなんですね。にもかかわらず、東京の扉を空けて、シドニーでログインしたとすると、考えられるのは、IDカードを落としたか、ユーザーIDパスワードを盗まれたか、もしくは誰かに教えちゃったか、どちらかになります。

被害を最小限に抑えるためには「統一」が大原則

そうなるとどうなるかということなんですが、非常に簡単ですね。アカウントがロックされます。

先ほど言ったように、ユーザーIDパスワードは1個しかありません。そして、これはIDカードと完全に紐付いています。そうすると、1つのユーザーIDをロックするだけで、なにもできなくすることができるんですね。本当に文字通り「ロックダウン」することができます。

そうすると、もう扉も開けることができませんので悲惨です。もし仮にそんなことが起きて、うちの会社って附室という階段室があるんですけれど、階段室は扉を空けないと内側から開かないんですよ。だから閉じ込められちゃうんですね。

もしかしたら私はそのまま干からびて死んじゃうかもしれないという状態になります。その前にユーザーIDパスワードを盗まれるなという話なんですが、そのぐらい手軽にできます。

これがもしいくつもIDがあったりして、そのうちの1つが盗まれたという話になると、ロックしなきゃいけない手間がものすごく増えるわけですよね。

これが、先ほど言った、例外を認めていって、ちょっとずつちょっとずつ……。 例えばディレクトリサービスを増やしたり、アクセスをできるシステムを増やしたりすると、なにかセキュリティインシデントが起きたときにものすごい倍々ゲームでやることが増えていく。結果的に、対応が遅れて被害が拡大するということにつながっていくことになります。

ですので、原理原則、セキュリティを大事にするんだったら、実はやり方は非常にシンプルになってきます。「例外を認めず、統一できるものは徹底的に統一をする」というところに答えは落ち着いてくるんですね。