Microsoftがセキュリティ大変革に“本腰” 報酬体系を変更して6つの領域を強化:Cybersecurity Dive
Microsoftはハッキング被害に遭い顧客情報が漏えいしたことで厳しい批判にさらされたことを受けて、CISOの下で管理職の役割を強化し、報酬の一部をセキュリティの実績と連動させると発表した。変革の6つの柱についても明らかになった。
Microsoftは2024年5月3日(現地時間)、Secure Future Initiative(SFI)を強化し、ガバナンスと主要幹部の報酬体系を変更することで、包括的なセキュリティ改革を拡大する計画を発表した。
相次ぐ批判を受けてMicrosoftがセキュリティに“本腰” 変革の6本柱
Microsoftは、サイバーセキュリティガバナンスを強化するために上級管理職の一部を再編する。Microsoftのチャーリー・ベル氏(セキュリティを担当するエグゼクティブバイスプレジデント)は(注1)、ブログに「エンジニアリング部門と副CISO(最高情報セキュリティ責任者)のグループが共同でSFIを監督し、リスクを管理し、シニアリーダーシップに報告する」と投稿した。同社は、セキュリティに関連するマイルストーンの進捗(しんちょく)状況に応じて報酬の一部を決定する。
Microsoftは、SFIの進捗状況を毎週シニアリーダーシップチームに報告し、四半期ごとに取締役会で話し合うとしている。同社はまた、脅威をより的確に検出し、認証を強化し、クラウド環境の安全性を高めるために次の6つのセキュリティの柱を設けることで、一連の変更を進める。
- アイデンティティーと秘密情報の保護
- テナントの保護と本番システムの隔離
- ネットワークの保護
- エンジニアリングシステムの保護
- 脅威の監視と検出
- 対応と修復の迅速化
国家に関連する最近のハッキングなどを原因として、Microsoftのセキュリティ文化は、セキュリティ業界の幹部や連邦当局から厳しい批判を浴びてきた(注2)。
Microsoftの広報担当者によると、今回の再編で、同社で長年コーポレート・バイスプレジデントを務めてきたアン・ジョンソン氏は、顧客対応および規制産業を担当する副CISOの役職に就任する。ジョンソン氏は、顧客のエンゲージメントを拡大し、Microsoftのセキュリティに関するコミュニケーションを担当する。メディア企業であるBloombergが、この変更を最初に報道した(注3)。
また、Microsoftでは、イーゴリ・ツィガンスキー氏(CISO)が国家に関連する攻撃者や脅威ハンティングに関する業務も統括するようになる。
Microsoftに対する新たな監視の目は、2024年4月上旬にサイバー安全審査委員会が発表した報告書に続くものである。同報告書では、2023年夏に「Microsoft Exchange Online」がハッキングされた際の同社の対応が厳しく批判された(注4)。
サイバー安全審査委員会は、国務省の電子メール6万通が盗まれ、ジーナ・ライモンド氏(商務長官)がハッキングを受けたこの攻撃は完全に回避可能であったとし、Microsoftが顧客のセキュリティよりも製品開発や機能を重視する文化を作り上げていると非難した。
ロシアに関連した脅威グループである「Midnight Blizzard」による別の攻撃では(注5)、ハッカーによって認証情報とソースコードが盗まれた後、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は主要な連邦政府機関に緩和策のガイダンスを出さざるを得なかった。
調査企業であるForresterのジェス・バーン氏(プリンシパルアナリスト)は、Microsoftの発表を必要な措置であるとし、ビジネス情報セキュリティ責任者を任命した他の企業の最近の変化と比較した。
バーン氏は、電子メールで「Microsoftは、販売製品を確実に守らなければならない」と述べた。
調査企業であるIANS Researchのジェイク・ウィリアムズ氏(研究員)は「Microsoftが示した目標は野心的であり、同社の企業文化における変革を表している」と述べた。
また、ウィリアムズ氏は、電子メールで次のようにも述べている。
「大半の組織にはこれらの目標を達成する意思も技術力もない。それらを持つ組織は、多くの侵入を撃退できるだろう。確かに、Microsoftにはこれらを実行する技術力があるが、それはこれまでも同様だった。現在、彼らはそれを実行する政治的意思も持っているようだ」
(注1)Security above all else―expanding Microsoft’s Secure Future Initiative(Microsoft)
(注2)At Microsoft, years of security debt come crashing down(Cybersecurity Dive)
(注3)Microsoft’s Nadella Tells Staff to Make Cybersecurity Top Priority(Bloomberg)
(注4)Microsoft Exchange state-linked hack entirely preventable, cyber review board finds(Cybersecurity Dive)
(注5)CISA assessing threat to federal agencies from Microsoft adversary Midnight Blizzard(Cybersecurity Dive)
関連記事
日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み
セキュリティ対策を前に進めるには先進企業の事例から学ぶのが近道だ。日清食品グループのセキュリティを統括するキーパーソンに、10年間にわたるITやセキュリティ対策の歩みを聞いた。
2023年に最も狙われたリモートデスクトップツールは?
Barracudaは、サイバー攻撃者に悪用されるリモートデスクトップツールに関する調査結果を公開した。主に標的とされているツールとその脆弱性や攻撃手法について詳細が説明されている。
管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
サイバーセキュリティの仕事は難しく、常に感謝されるわけでもなく、燃え尽き症候群の報告も多いが、給与は悪くないようだ。ISC2の調査からセキュリティ業務に携わる人たちの平均年収が明らかになった。
GoogleがMicrosoftを痛烈批判 Google Workspaceの優位性を主張
Googleは新しいホワイトペーパーでMicrosoftのセキュリティ問題を指摘し、Google Workspaceのセキュリティとプライバシー基準の優位性を強調した。これにはCSRBの報告も引用されており、サイバー安全性を推進する内容となっている。
© Industry Dive. All rights reserved.