Microsoftのセキュリティ大変革 有識者たちはこれをどう評価しているのか?:Cybersecurity Dive
CISAのジェン・イースタリー氏は、Microsoftがセキュリティの領域における成果を役員報酬と結び付ける決定をしたことについて、同社がセキュリティを優先事項と考え始めた兆候だと指摘した。
サンフランシスコにおいて、Microsoftは外部から大きな圧力をかけられている。それは、サイバーセキュリティの改革や、社内外で使うシステム全体のセキュリティを改善するように迫るものだ。
Microsoftのセキュリティ大変革を連邦当局はどう見ているか?
2023年11月に、MicrosoftはSecure Future Initiative(SFI)を開始し(注1)、2024年4月29日(現地時間、以下同)の週には、サイバーセキュリティのガバナンスモデルを再構築する計画を拡大した(注2)。
この計画は、Microsoftが22年前に実施したセキュリティへの取り組みと似ている。Microsoftのビル・ゲイツ氏(共同創業者であり元CEO)は、信頼できるコンピューティングイニシアチブを確立するために2002年に記したメモの中で、新機能よりもセキュリティを優先するよう従業員に義務付けた。
Microsoftの幹部は、今回の全社的なセキュリティ改革はこれまでの取り組みとは異なると主張している。連邦政府のサイバー担当官やサイバーセキュリティの専門家たちは期待を寄せており、セキュリティの取り組みと役員報酬を結び付けた点をはじめ、今回の改革における重要な措置が違いを生む可能性がある、と指摘している。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のジェン・イースタリー氏(ディレクター)は、2024年5月7日のRSAカンファレンスの基調講演で「私が最近目にした最も重要な推進力の一つは、政府からではなく、企業からもたらされた。それはMicrosoftのサティア・ナデラ氏(CEO)からの手紙で、セキュリティの取り組みと上級幹部の報酬に関連性を持たせるものだった」と話した。
「現在の仕事に就く前、私は民間企業で働いていたが、給与や報酬をどこに割り当てるかは、企業が何を優先するかを示すものだった。これは非常に重要なことだ。取締役会の決定や雇用における決定、具体的なガイダンスは、セキュリティと他の優先事項を比較したときに、セキュリティを優先するよう指示している」(イースタリー氏)
イースタリー氏は「これらは全てエコシステムの進歩だ」と述べた。
CISAの元ディレクターで、現在はSentinelOneの最高情報公共政策責任者であるクリス・クレブス氏は「MicrosoftのSFIは、社内で重要な気付きがあったことを示すものだ」と述べた。
「Microsoftの中で『このままでは顧客が離れてしまう。顧客が私たちの製品を信頼できなくなっているためだ』という意識が芽生えたのだろう」(クレブス氏)
幹部の責任と報酬を連動させる圧力は、Microsoftの計画の中心的な要素である。
Microsoftのブレット・アーセノー氏(コーポレートバイスプレジデント兼チーフ・サイバーセキュリティアドバイザー)はRSAカンファレンスで「Cybersecurity Dive」に対して「全てのチームには、全てが正しく実行されていることを確認する責任者がいる。人々にインセンティブを与える方法が重要だ」と述べた。
アーセノー氏は、長年のCISO(最高情報セキュリティ責任者)としての役割からチーフ・サイバーセキュリティアドバイザーのポジションに移る前にSFIを率いていた。同氏は「Microsoftは全社的にセキュリティ優先のアプローチを採用している」と述べた。
「セキュリティチームではなく、開発者全員が何かを作るときに成功の落とし穴に落ちる必要がある。私たちは、はこれまでとは違った方法でソフトウェアを開発する必要がある」(アーセノー氏)
Microsoftとその顧客に対するさまざまな攻撃を受けて同社は、セキュリティリセットを達成しなければならないという大きなプレッシャーにさらされている。
2024年4月、サイバー安全審査委員会(CSRB)は「Microsoftにおけるセキュリティの失敗の連鎖」として中国と関連する脅威グループが2023年5月に同社の「Microsoft Exchange Online」のアカウントを侵害することを許したという内容の厳しい報告書を発表した(注3)。
Microsoftが「Storm-0558」と特定したグループによるこの攻撃は、米国の高官を含む22の組織と500人以上の個人の電子メールを危険にさらした(注4)。CSRBは報告書の中で「Microsoftはこの侵入の根本原因をまだ特定できていない」と述べている。
(注1)Microsoft overhauls cyber strategy to finally embrace security by default(Cybersecurity Dive)
(注2)Microsoft restructures security governance, aligning deputy CISOs and engineering teams(Cybersecurity Dive)
(注3)Microsoft Exchange state-linked hack entirely preventable, cyber review board finds(Cybersecurity Dive)
(注4)Microsoft hardens key issuance systems after state-backed hackers breach Outlook accounts(Cybersecurity Dive)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み
セキュリティ対策を前に進めるには先進企業の事例から学ぶのが近道だ。日清食品グループのセキュリティを統括するキーパーソンに、10年間にわたるITやセキュリティ対策の歩みを聞いた。 - 2023年に最も狙われたリモートデスクトップツールは?
Barracudaは、サイバー攻撃者に悪用されるリモートデスクトップツールに関する調査結果を公開した。主に標的とされているツールとその脆弱性や攻撃手法について詳細が説明されている。 - 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
サイバーセキュリティの仕事は難しく、常に感謝されるわけでもなく、燃え尽き症候群の報告も多いが、給与は悪くないようだ。ISC2の調査からセキュリティ業務に携わる人たちの平均年収が明らかになった。 - GoogleがMicrosoftを痛烈批判 Google Workspaceの優位性を主張
Googleは新しいホワイトペーパーでMicrosoftのセキュリティ問題を指摘し、Google Workspaceのセキュリティとプライバシー基準の優位性を強調した。これにはCSRBの報告も引用されており、サイバー安全性を推進する内容となっている。