サポート終了Office利用は極めて危険
谷本:経営者が十分に認識していないリスクのひとつにサポート期間終了後のソフトウェアの継続利用があるのではないかと思います。Office 2007のサポートが2017年10月10日で終わりますが、経営者に正しく認識してほしいことはどのようなことでしょうか。
広瀬:サポート終了後のソフトウェアを使い続けることがセキュリティリスクであることをご理解いただきたいです。実際に古いバージョンのソフトウェアの脆弱性を狙う攻撃も多くあります。サポート終了後はセキュリティ更新プログラムの提供も行いませんので、脆弱性を放置したまま使い続けることになり非常に危険な状況になります。
谷本:具体的にはどういう問題が起きますか。
広瀬:脆弱性を悪用した攻撃を受け、マルウェアに感染、攻撃者による不正アクセスを許してしまう恐れがあります。その結果、会社の機密情報や個人情報が盗まれ流出するなど、組織にとって致命的な事故につながる可能性もあります。
椎木:昨今のサイバー攻撃は、攻撃側と被害者という1対1の図式ではなくなっています。自社のサーバーが知らず知らずのうちに乗っ取られ、そこを起点に他の企業を攻撃する、といったことが起こります。その場合は、被害者であると同時に加害者にもなってしまいます。「自社には大した情報がないからセキュリティのことは考えなくていい」という姿勢は、許されなくなってきているのです。
松坂:IPAでは、Office 2007について発見された脆弱性の件数の推移を調査しましたが、ずっと脆弱性が発見され続けています。ただ、これはOffice 2007に問題があるということではありません。一般論として、脆弱性のない完全なソフトをつくることなどできないのです。ですので、Office 2007も、サポートが切れた後に新たな脆弱性が見つかるのは間違いありません。
椎木:ソフトウェアの脆弱性が明らかになると、それを狙った攻撃が一斉に増えます。サポート終了後にOffice 2007の脆弱性が見つかった場合にも同じことが起こるでしょう。
広瀬:ご指摘の通りだと思います。テクノロジーの進化とともに、悪用する側の技術も進化していることを常に念頭に置くべきです。マイクロソフトでは自社製品やサービスから継続的に得られる億単位の情報リソースを基にしたセキュリティへの取り組みが仕組化されています。膨大なデータを分析することで、攻撃を待ってから対応するのではなく、次の攻撃を予測して対策を取ることが可能になります。このような継続的なセキュリティへの取り組みがすべての製品、サービスに組み込まれており、最新であるほど構造的に堅牢で安全なソフトウェアになっています。
セキュリティ脅威の状況をリアルタイムに把握して製品開発やサービスの提供に活かしているため、最新版であるほど安全であると自信を持って言えます。しかし、セキュリティ脅威も一度対処すればそれで終わりではありませんので、新たな攻撃が出てきたときにいかに早く対応できるかは非常に重要です。クラウドサービスを利用すれば、更新プログラムの適用も自動化できるので、IT管理者の負担を最小限に常に最新のセキュリティ環境を確保できます。クラウドを活用する大きなメリットのひとつです。
松坂:IPAでも2011年ごろから中小企業の方向けにクラウドの利活用のための手引きを公開しています。セキュリティももちろんですが、災害時のBCPの観点からもクラウドには優れている点があります。
谷本:ランサムウェアで攻撃された場合、Office 365ではどのような対応が可能ですか。
広瀬:Office 365ではユーザー1人あたり1TBの個人用のクラウド ストレージ(One Drive for Business)が提供されます。万が一ランサムウェアに感染しPC内のファイルにアクセスできなくなってしまったという場合にも、One Drive for Businessでバックアップを取っておけば暗号化される前のバージョンのファイルを取り戻すことができます。バージョン管理機能で過去のバージョンにさかのぼって戻すこともできますし、削除したファイルもごみ箱に一定期間保持される仕組みも有効です。クラウドを使えば、万が一の場合にもどうにかできる方法がいくつもあります。
谷本:標的型メール攻撃はどうでしょうか。
広瀬:Office 365にはデフォルトでマルウェア対策機能(Exchange Online Protection)があります。例えば添付ファイルに既知のマルウェアが含まれるメールは、ユーザーのメールボックスに届く前にブロックします。未知のマルウェアに対しては、追加機能としてExchange Online Advanced Threat Protectionを提供しています。この機能では、「仮想メール受信環境」で添付ファイルを開いて安全性をチェックし、安全でないと判断されたメールがユーザーに届かないようにブロックすることができます。メールに記載のURLにも対応しており、安全でないと判断されたリンクへのアクセスをブロックします。クラウドがユーザーを守ってくれる、そんな機能です。
松坂:世の中にはさまざまなソリューション・ツールがあります。企業は自ら対策をすべて自前で行おうとせず、適材適所でこうしたツールの助けを借りてシステムを防御し、それでも防ぎ切れない本当に危険な攻撃への対応にリソースを割くべきです。
広瀬:そうですね。さらに、変化の激しい世界ですから、変化に応じて必要となるソリューションも変わっていくと思います。クラウドサービスはパッケージ製品と違って、新しい機能の追加が継続的に行われる点が大きなメリットのひとつです。例えば、2017年第一四半期中に機能の提供を開始予定の新機能Office 365 Threat Intelligenceを使えば、自分の組織がどのような攻撃を受けているのかが、また組織の外ではどのような攻撃が発生しているのかが一目でわかるようになります。自分の組織内だけでなく世界規模で発生している攻撃の状況も把握することで、「攻撃を受ける前に防御する」プロアクティブなセキュリティ対策をお客様側で取れるよう支援する機能です。
椎木:セキュリティ対策には、脅威の見える化もとても重要です。適切なツールを積極的に活用して、サイバー攻撃に対応できる体制づくりをしていただきたいと思います。
日本マイクロソフト https://aka.ms/ofce2007eosjp
