Microsoftの“ずさんなセキュリティ対策”に非難集中 おわびのログ機能無料提供へCybersecurity Dive

Microsoftは、顧客の電子メールアカウントがハッキング被害に遭った件を受けて、クラウドセキュリティログ機能を無償で提供する予定だ。同社はこの件について連邦政府や競合他社から厳しい批判を受けている。

» 2023年08月20日 08時00分 公開
[David JonesCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 Microsoftは同社のクラウドサービスを利用する25の顧客(米国国務省を含む)が電子メールアカウントのハッキング被害に遭った事件を受け、クラウドセキュリティログ機能を無償で提供することに合意した。

 Microsoftは事件後、同社が提供するクラウドサービスのセキュリティ対策について、数日間にわたって厳しい批判を受けていた。

 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2023年7月19日(現地時間、以下同)、Microsoftとのパートナーシップを発表し、クラウドログ機能へのアクセスをデフォルトで提供することを発表している(注1)。

「セキュリティに追加料金を課すな」 Microsoftに厳しい批判相次ぐ

 Microsoftは直近のサイバー攻撃を「中国の支援を受けたハッカーによるもの」としており、このログ機能はその検知に重要な意味を持つ。連邦政府はクラウド企業や他の組織が重要なセキュリティ機能のために顧客に追加料金を課すことに対して批判的な姿勢を取っている。

 民主党のロン・ワイデン上院議員はサイバー攻撃が実行された後、Microsoftを非難し、『Cybersecurity Dive』に対して「連邦政府はセキュリティ機能を標準のものとして契約に組み込む必要がある」と述べた。

 ロン・ワイデン上院議員は「150億ドル以上にもなるMicrosoftのサイバーセキュリティビジネスが成長するにつれて、残念ながら同社の目的は、顧客に安全なOSとクラウドソフトウェアを提供することではなく、安全性の低い製品を提供してサイバーセキュリティのアドオンで追加料金を請求することになった。連邦政府のシステムが複数の深刻なハッキングを受けたにもかかわらず、Microsoftが必要なセキュリティ機能を標準化するまでに時間がかかったのは不適切だが、遅くとも実施されることは喜ばしい」と述べている。

 2023年7月10日の週に、国務省に対するハッキングが発覚した後、メディアとの電話会議の中でCISAの関係者は「Microsoftや他の企業と協力して、顧客に追加料金を請求することなく、企業がソフトウェアの設計段階から適切なセキュリティを提供できるようにする」と話している。Microsoftがログを無償で提供するという発表は、それからわずか1週間後のことだった。

 CISAでサイバーセキュリティを担当するエグゼクティブ・アシスタントディレクターのエリック・ゴールドスタイン氏は、2023年7月19日のブログ投稿で「重要なログデータにアクセスすることは、連邦機関の『Microsoft Exchange Online』環境に影響を及ぼしたような最近の事件において、攻撃者の侵入による被害を迅速に軽減するために効果的だ」と述べている(注2)。

 ゴールドスタイン氏によると、ベンダーは特定のクラウドライセンスごとにログを提供するかどうかを決められるが、それではサイバー侵入を調査するのが難しくなるという。

 Microsoft Purview Audit Standarの顧客は、以前はプレミアムサブスクリプションの対象者にのみ提供されていた詳細な電子メールログを受け取れるようになった(注3)。また、Microsoftはデフォルトのデータ保持期間を90日から180日に延長している。

 Microsoftは、CrowdStrikeのような競合他社から「時代遅れのセキュリティ運用を継続している」と何年も非難を浴びてきた。CrowdStrikeのインテリジェンス部門責任者であるアダム・マイヤーズ氏は、2023年7月13日に発表された声明の中で「米国と欧州の政府機関に対する今回の侵入は、Microsoftの技術におけるシステムリスクと、彼らの顧客が直面している信頼の危機を再び拡大させる」と話している。

 「組織はセキュリティに投資する必要がある。テクノロジーや製品、サービス、セキュリティの全てについて1社に依存することは災難につながる恐れがある。連邦政府のリーダーたちがソフトウェアメーカーに対して、設計の段階から安全な製品を作るように働きかけていることは理にかなっている」(マイヤーズ氏)

(注1)CISA and Microsoft Partnership Expands Access to Logging Capabilities Broadly(cisa)
(注2)When Tech Vendors Make Important Logging Info Available for Free, Everyone Wins(cisa)
(注3)Expanding cloud logging to give customers deeper security visibility(microsoft)

© Industry Dive. All rights reserved.

注目のテーマ