Microsoftが13人の副CISOを任命 セキュリティ変革の途中経過を公開：Cybersecurity Dive

Microsoftは、社内のセキュリティ慣行とガバナンス刷新に関する取り組みについて進捗報告書を発表した。同社は13人の副CISOに任命して各製品分野のセキュリティ変革を進めている。その具体的な成果とは。

[David Jones，Cybersecurity Dive]

　Microsoftは、サイバー安全審査会（CSRB）からの厳しい言葉が記載された報告書を受けて、社内のセキュリティ慣行を再構築する取り組みの一環として、サイバーセキュリティガバナンス委員会を発足した。

Microsoftが13人の副CISOを任命　複数のセキュリティ変革も実施

　この委員会は、継続的なコンプライアンスの管理や規制要件の実施、セキュリティ目標を達成するために必要なアーキテクチャの特定を担う。Microsoftは2024年9月23日（現地時間）に、進捗（しんちょく）報告書を発表した。この報告書には、2023年11月に「Secure Future Initiative」（SFI）という取り組みを開始して以来（注1）、Microsoftがどのようにセキュリティ慣行を見直し、説明責任を高めてきたかという情報と共に、今回のガバナンスに関する変更も記載されている。

　取り組みの一環として、Microsoftは13人の副CISO（最高情報セキュリティ責任者）を任命し、それぞれは「Microsoft Azure」「Microsoft 365」、AI、ゲームなどの社内の特定の製品分野を担当することになった。この体制強化によって同社のセキュリティはどのように強化されるのか。

　Microsoftによると、この新体制の下、同社のシニアリーダーシップチームはSFIの進捗状況を週単位で確認しているという。また、四半期ごとに取締役会に最新情報を提供する予定だ。

　さらにMicrosoftは、クラウドおよびプロダクション環境でのリスク軽減を目的とした多数の内部変更に関する詳細も発表した（注2）。詳細は以下の通りだ。

• 「Microsoft Entra ID」と「Microsoft Account for public and U.S. government cloud」のアップデートを終了し、アクセストークン署名キーの生成および保存、自動ローテーションを実施した
• プロダクションおよび生産性テナントのアプリライフサイクル管理の一環として、73万の未使用アプリを削除した。また、Microsoftは「575万人の非アクティブテナントを排除することで、攻撃対象領域を縮小した」と述べている
• Microsoftは現在、商用クラウド向けの約85％のプロダクションビルドパイプラインを実行するために、中央で管理されたパイプラインテンプレートを使用しており、これによりデプロイメントの一貫性と信頼性が高まる
• Microsoftは、重要なクラウドの脆弱（ぜいじゃく）性に対する緩和時間を改善するためにプロセスを更新し、透明性を高めるためにそれらをCVEとして公開した

全従業員に厳選されたセキュリティトレーニングを提供

　ガバナンスとプロダクションの変更に加えて、Microsoftはスタッフのスキルに目を向けている。同社は2024年7月に「Security Skilling Academy」を立ち上げ、全従業員に厳選されたセキュリティトレーニングを提供していると発表した。

　2023年の夏に中国とつながりのある脅威グループが米国務省から6万通の電子メールを盗み出し（注3）、米国の商務長官であるジーナ・ライモンド氏のアカウントに侵入するという重大な情報漏えい事件が発生したことを受けて、このトレーニングが導入された。

　CSRBの報告書は、2023年のハッキングは防止可能だったとして、Microsoftの内部慣行が市場投入の迅速さを優先し、セキュリティを軽視していたと批判し（注4）、緊急の改革が必要だと指摘した。

　また、2024年1月に明らかになった別の攻撃では、国家関連の脅威グループ「Midnight Blizzard」がパスワードスプレー攻撃を使ったMicrosoftの上級幹部の電子メールに侵入した。この脅威グループは、盗まれた認証情報を使用して連邦機関を標的にした（注5）。

　2024年5月上旬に、Microsoftは内部ガバナンスの大部分を再構築し（注6）、CSRBの報告書が推奨するその他の変更を行う計画を発表した。これらの変更の中で、Microsoftは「報酬の一部をセキュリティに連動させる」と述べた。

　サイバーセキュリティ事業を営むTrellixのトム・ガン氏（最高公共政策責任者）は、電子メールで次のように述べた。

　「MicrosoftはIT業界を狙ったゼロデイ攻撃の大部分を引き受けており、Secure Future Initiativeはその対処に向けて必要な取り組みだ。セキュア・バイ・デザインやセキュア・バイ・デフォルト、セキュア・バイ・オペレーションに焦点を当てるのは、Microsoftがセキュリティ慣行に関する企業的な取り組みを構築するためのものだろう」

（注1）Microsoft overhauls cyber strategy to finally embrace security by default（Cybersecurity Dive）
（注2）Securing our future: September 2024 progress update on Microsoft’s Secure Future Initiative (SFI)（Microsoft）
（注3）Microsoft hardens key issuance systems after state-backed hackers breach Outlook accounts（Cybersecurity Dive）
（注4）Microsoft Exchange state-linked hack entirely preventable, cyber review board finds（Cybersecurity Dive）
（注5）Federal agencies caught sharing credentials with Microsoft over email（Cybersecurity Dive）
（注6）Microsoft restructures security governance, aligning deputy CISOs and engineering teams（Cybersecurity Dive）

原文へのリンク