Microsoftはセキュリティ・バイ・デフォルトを採用するためにサイバー戦略を大幅に刷新した。この計画は2023年のはじめに、同社がセキュリティ機能に関する追加の課金を顧客に対して行い、大きな反発を受けた後に発表された。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Microsoftは「Secure Future Initiative」と呼ばれるサイバーセキュリティ戦略を見直し(注1)、主要なセキュリティ機能を技術プラットフォームとクラウドサービスに組み込むことを決定した。
この計画は、米国の国務省から国家に関連する情報を含む電子メールが盗まれた事件の後、政府と業界がMicrosoftに対して大規模な反発を示したことを受けて発表された(注2)。
Microsoftは、議会の主要メンバーや連邦政府の役人から激しい批判を浴びた。彼らはMicrosoftがサイバー攻撃からの保護に必要なセキュリティ機能を欠くソフトウェア製品に連邦政府の各機関を依存させようとしているとの懸念を有していた。
国務省のケースに関連する批判は、Microsoftが重要なセキュリティ機能を追加するために顧客に高額な追加料金を課しているという内容だった。
Microsoftは製品を初期設定の状態で安全なものとする計画を立てている。
例えばMicrosoftは、9つのセキュリティドメインにわたる99のコントロールを含む「Microsoft Azure」(以下、Azure)のセキュリティベースラインコントロールをデフォルトで実装する。
Microsoftは「Cybersecurity Dive」に対し、声明で次のように述べている。
「現在は脅威の規模や速度、洗練度に変化が起こっている。私たちはこの課題に対応しなければならない。Microsoftはこれらのステップを予測し、その規模と複雑さを考慮した上で、慎重に取り組んできた」
Microsoft Securityのエグゼクティブ・バイスプレジデントであるチャーリー・ベル氏のブログ投稿によると(注3)、Secure Future Initiativeは、セキュリティの開発と対応に関する以下の3つの大きな変更を含むという。
これらの変更はアイデンティティーからクラウドまで、テクノロジースタック全体に及ぶ。Microsoftは、全ての製品で標準的なアイデンティティーライブラリの使用を義務化し、署名キーは強化されたAzureのハードウェアセキュリティモジュールと機密情報処理インフラに移行する。
同社は、クラウドの脆弱(ぜいじゃく)性を緩和するための時間を50%短縮し、第三者の研究者が秘密保持契約の下での活動を強制されないように、より積極的かつ公的な姿勢を取るとした。
アナリストによると、Microsoftの市場規模を考えると、これらの開発方針の変更は、他のソフトウェア企業やセキュリティ企業において、安全な開発手法の導入を迅速化させるきっかけになる可能性があるという。
Forresterのバイスプレジデント兼主席アナリストであるジェフ・ポラード氏は「Microsoftの強みは、顧客とパートナーの数が膨大であるため、発表が大きな波及効果をもたらす点にある。ただし、最近の脆弱性を考慮すると、これには明らかにマーケティングの狙いもあるだろう」と話す。
Microsoftは「セキュリティ戦略の見直しの一環として、全ての製品でアイデンティティーをより適切に保護するための措置を講じる」と述べた。これによって、中間者攻撃やトークンの盗難、その他の悪意あるハッキングを防げるという。
Microsoftの副会長と社長を務めるブラッド・スミス氏によると(注4)、同社は、脅威の分析、調査、検知におけるAIの活用を強化する計画を立てている。
Microsoftはエネルギープロバイダーや病院、水道施設、食料生産者などの重要なインフラストラクチャの提供者への脆弱性の埋め込みに対する国際的な改革とコミットメントを求めている。
(注1)Announcing Microsoft Secure Future Initiative to advance security engineering(Microsoft)
(注2)Microsoft offers free security logs amid backlash from State Department hack(Cybersecurity Dive)
(注3)Announcing Microsoft Secure Future Initiative to advance security engineering(Microsort)
(注4)A new world of security: Microsoft’s Secure Future Initiative(Microsoft)
© Industry Dive. All rights reserved.