Microsoftが批判を受けてサイバー戦略を全面的に見直し 3つの大きな変更とは?:Cybersecurity Dive
Microsoftはセキュリティ・バイ・デフォルトを採用するためにサイバー戦略を大幅に刷新した。この計画は2023年のはじめに、同社がセキュリティ機能に関する追加の課金を顧客に対して行い、大きな反発を受けた後に発表された。
Microsoftは「Secure Future Initiative」と呼ばれるサイバーセキュリティ戦略を見直し(注1)、主要なセキュリティ機能を技術プラットフォームとクラウドサービスに組み込むことを決定した。
この計画は、米国の国務省から国家に関連する情報を含む電子メールが盗まれた事件の後、政府と業界がMicrosoftに対して大規模な反発を示したことを受けて発表された(注2)。
Microsoftは、議会の主要メンバーや連邦政府の役人から激しい批判を浴びた。彼らはMicrosoftがサイバー攻撃からの保護に必要なセキュリティ機能を欠くソフトウェア製品に連邦政府の各機関を依存させようとしているとの懸念を有していた。
国務省のケースに関連する批判は、Microsoftが重要なセキュリティ機能を追加するために顧客に高額な追加料金を課しているという内容だった。
Microsoft、サイバー戦略を全面的に見直し 3つの大きな変更とは?
Microsoftは製品を初期設定の状態で安全なものとする計画を立てている。
例えばMicrosoftは、9つのセキュリティドメインにわたる99のコントロールを含む「Microsoft Azure」(以下、Azure)のセキュリティベースラインコントロールをデフォルトで実装する。
Microsoftは「Cybersecurity Dive」に対し、声明で次のように述べている。
「現在は脅威の規模や速度、洗練度に変化が起こっている。私たちはこの課題に対応しなければならない。Microsoftはこれらのステップを予測し、その規模と複雑さを考慮した上で、慎重に取り組んできた」
Microsoft Securityのエグゼクティブ・バイスプレジデントであるチャーリー・ベル氏のブログ投稿によると(注3)、Secure Future Initiativeは、セキュリティの開発と対応に関する以下の3つの大きな変更を含むという。
- 同社はソフトウェアの開発方法を自動化とAI(人工知能)を活用したものに変革する。ソフトウェアの展開方法および運用方法について、セキュア・バイ・デザインおよびセキュア・バイ・デフォルトにのっとったものとなるように開発を進める
- 同社はセキュリティ開発ライフサイクル(以下、SDL)を「dynamic SDL」と呼ぶものに進化させる。Microsoftは「継続的インテグレーション/継続的デリバリー」(CI/CD)を製品開発プロセスに組み込み、新たな脅威に対応する能力を実装する
- Microsoftは、C#、Java、Rust、Pythonを含むメモリ安全性の高い言語を使用してソフトウェアを開発する。同社は脅威モデリングの活用を拡大し、全ての商用製品にコード解析用のCodeQLを導入する
これらの変更はアイデンティティーからクラウドまで、テクノロジースタック全体に及ぶ。Microsoftは、全ての製品で標準的なアイデンティティーライブラリの使用を義務化し、署名キーは強化されたAzureのハードウェアセキュリティモジュールと機密情報処理インフラに移行する。
同社は、クラウドの脆弱(ぜいじゃく)性を緩和するための時間を50%短縮し、第三者の研究者が秘密保持契約の下での活動を強制されないように、より積極的かつ公的な姿勢を取るとした。
安全な開発手法の導入を迅速化させる可能性
アナリストによると、Microsoftの市場規模を考えると、これらの開発方針の変更は、他のソフトウェア企業やセキュリティ企業において、安全な開発手法の導入を迅速化させるきっかけになる可能性があるという。
Forresterのバイスプレジデント兼主席アナリストであるジェフ・ポラード氏は「Microsoftの強みは、顧客とパートナーの数が膨大であるため、発表が大きな波及効果をもたらす点にある。ただし、最近の脆弱性を考慮すると、これには明らかにマーケティングの狙いもあるだろう」と話す。
Microsoftは「セキュリティ戦略の見直しの一環として、全ての製品でアイデンティティーをより適切に保護するための措置を講じる」と述べた。これによって、中間者攻撃やトークンの盗難、その他の悪意あるハッキングを防げるという。
Microsoftの副会長と社長を務めるブラッド・スミス氏によると(注4)、同社は、脅威の分析、調査、検知におけるAIの活用を強化する計画を立てている。
Microsoftはエネルギープロバイダーや病院、水道施設、食料生産者などの重要なインフラストラクチャの提供者への脆弱性の埋め込みに対する国際的な改革とコミットメントを求めている。
(注1)Announcing Microsoft Secure Future Initiative to advance security engineering(Microsoft)
(注2)Microsoft offers free security logs amid backlash from State Department hack(Cybersecurity Dive)
(注3)Announcing Microsoft Secure Future Initiative to advance security engineering(Microsort)
(注4)A new world of security: Microsoft’s Secure Future Initiative(Microsoft)
関連記事
- 徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 - 「人は足りないが初心者はいらない」 セキュリティ業界が直面する深刻な人材不足
ISC2の調査によると、サイバーセキュリティ業界の専門家は世界で550万人に増加しているが、増加するデジタル分野の脅威から身を守るためには、依然として数百万人の有資格者が必要であることが明らかになった。 - 「サイバー攻撃でいくら損する?」を試算できる待望のフレームワークが誕生
The FAIR Instituteはランサムウェアをはじめとした重大なサイバー攻撃に関連するコストを試算し、関係者がより適切にリスクを算定するための基準を作ろうとしている。 - ITシステムは“転んだとき”のことを考えよう DXとセキュリティは両輪で進めよ
最近はITに詳しくない人でも「ランサムウェア」という言葉を聞く機会は少なくないでしょう。ここまでサイバー攻撃が身近になった今、従来の侵入を防ぐセキュリティ対策だけでは不十分だと筆者は言います。
© Industry Dive. All rights reserved.