Microsoftの“セキュリティ重要宣言”をどう見る？ ユーザーが持つべき視点：半径300メートルのIT（1/2 ページ）

Microsoftは、脅威グループが同社の顧客の電子メールにアクセスした大規模なインシデントを受けて、従業員に向けて“ある宣言”を発表しました。これを受けて私たちユーザーはどのような視点を持つべきでしょうか。

[宮田健，ITmedia]

　セキュリティにおけるベンダーの評価は、「信頼度」というあやふやなものになりがちです。どうしても主観的になりがちで、自分自身がその信頼度を測らなければならないという点でセキュリティベンダーの選定は非常に困難です。

　たった一度の失敗でその評価は変わってしまいますし、その失敗も見方によってはプラスになるケースもあります。例えば一大インシデントを起こした企業だったとしても、事後レポートの内容次第では大きく評価が変わるはずです。ただ、どちらにせよ正しいことをしているベンダーは大企業であれベンチャーであれ、しっかりと評価しなければならないと思っています。

　その視点で、今回はある大企業の“宣言”をチェックしていきましょう。

“セキュリティは最優先事項”　Microsoftが出した注目の“宣言”の中身

　注目の宣言をした大企業とはあの「Microsoft」です。Microsoftというと「Windows」の製造元であり、「Microsoft Azure」を提供するクラウドベンダーであり、多くの企業が利用している「Microsoft Defender」や「Microsoft Entra ID」（旧「Active Directory」）を提供するセキュリティベンダーでもあります。筆者はこれまでたくさんのセキュリティベンダーを追いかけてきましたが、個人的には世界でも有数のセキュリティに投資してきたベンダーだと思います。

　先日、Microsoftのサティア・ナデラCEOが同社の従業員に向けて発表したメッセージが大きな話題になりました。そのタイトルは「Prioritizing security above all else」（セキュリティを何よりも最優先する）です。日本語訳も公開されています。

　Microsoftはこの宣言の中で、「設計としての安全性」「規定設定での安全性」「安全な運用」という3つの基本原則を“全社を挙げて取り組む”としています。もともとは社内メッセージだったものを外部に向けてもアピールするという姿勢は、信頼度を高める良い広報戦略だと思います。OSのシェアが高い企業ですので、この宣言は多くの組織にとってもプラスになるでしょう。

　そして個人的にこのメッセージで最も重要なのは下記の一文でしょう。

セキュリティと他の優先事項のトレードオフに直面した場合、答えは明確です。セキュリティを優先してください。これは、場合によっては、新機能のリリースやレガシーシステムの継続的サポートなど、私たちが行う他のことよりもセキュリティを優先することを意味します。

（Microsoft「Prioritizing security above all else」から抜粋）

　これはMicrosoftだけでなく、サービスや製品を提供する全ての企業が考えなければならないことではないでしょうか。PSIRT（Product Security Incident Response Team）的な考え方は今後も忘れてはなりません。ぜひ、いま一度上記の宣言をジブンゴト化して考えてみてはいかがでしょうか。