“怒られ続き”Microsoftのセキュリティ強化策 「目標達成できなければ、給料カット」の効果は?:CFO Dive
度重なるサイバー攻撃による政府の批判を受け、Microsoftはセキュリティを抜本的に改革するとしている。経営陣が責任を持って対応するために編み出された秘策とは。
Microsoftは2024年5月3日(現地時間、以下同)に、サイバーセキュリティに関する目標やマイルストーンの達成状況に基づいて幹部職員の報酬の一部を決定する予定だと発表した(注1)。
“怒られ続き”のMicrosoft 信頼回復のための秘策の効果は?
この措置は、米国国土安全保障省のサイバー安全審査委員会(Cyber Safety Review Board:CSRB)からの厳しい報告を受け、セキュリティソリューションも手掛ける企業として信頼性への懸念を和らげるために実施されたMicrosoftによる広範な取り組みの一環だ。
この発表を受けた政府の反応はどうか。
「究極的にはMicrosoftは信頼の上に成り立っており、この信頼は維持し続けなければならない」とMicrosoft Securityのチャーリー・ベル氏(エグゼクティブバイスプレジデント)はブログで述べる。
「ソフトウェアやインフラ、クラウドサービスのグローバルプロバイダーとして、われわれは世界を安全かつセキュアに保つための役割を果たすことに強い責任を感じている」(ベル氏)
この発表は、米国国土安全保障長官のアレハンドロ・マヨルカス氏に好印象を与えた。
「MicrosoftがCSRBのレビューに全面的に協力したことで、Microsoftの顧客だけでなく、クラウドサービスのセキュリティに依存する一般の人々にも有益な具体的な提言が生まれた」とマヨルカス氏はプレスリリースで述べた(注2)。
Microsoftの発表は、2023年夏に発生した「Microsoft Exchange Online」が受けたハッキングに対する同社の対応について厳しく批判されたCSRBが2024年4月上旬に公開した報告書の直後に実施された(注3)。
同報告書では、「Microsoft Exchange Onlineへのハッキングは防げたはずであり、決して起こるべきではなかった」と述べられている。この攻撃によって、米国務省から6万通の電子メールが盗まれ、米商務長官のジーナ・ライモンド氏の電子メールアカウントがハッキングされた。CSRBは「Microsoftのセキュリティ文化が不十分だ。同社が技術エコシステムにおける中心的な役割を果たしていることを考慮すると、全体的な見直しが必要だ」と結論付けた。
「必要な文化的変革を迅速に推進するために、MicrosoftのCEOと取締役会がセキュリティ文化に直接注力し、全社および全ての製品群にわたってセキュリティに焦点を当てて抜本的に改革するための計画を具体的な期限を定めて公表することが、同社の顧客にとって有益だとわれわれは考える。この計画の実行について、CEOが上級役員に責任を持たせることを推奨する」(CSRB報告書)
この調査結果は、2024年1月に起こった、Microsoftが企業の電子メールシステムに対するサイバー攻撃を検出したというニュースと同じ週に発表された。この攻撃は、「Midnight Blizzard」として知られるロシア政府が支援する攻撃者によるものだった(注4)。
ベル氏はブログの中で、Microsoftはサイバー脅威の増大に対処すべく2023年11月に開始した計画「Secure Future Initiative」を拡大する一環として、CSRB報告書による勧告を採用していると述べた。Midnight Blizzardの攻撃による影響もあり、CSRBの調査結果はMicrosoftとその顧客が直面している脅威の深刻さを浮き彫りにしたという。
Microsoftはサイバーセキュリティ目標の達成可否によって経営トップの報酬の一部が決定されるようにすることで、責任の浸透を目指しているとベル氏は明らかにした。同社の広報担当者は「続報は後日」と述べ、詳細は明らかにしなかった。
また、MicrosoftはCISO(最高情報セキュリティ責任者)が主導する新しいセキュリティガバナンスのフレームワークを導入しているとベル氏はブログで述べた。このフレームワークでは、エンジニアリングチームと新たに設置された副CISOのパートナーシップを導入し、Secure Future Initiativeの監督やリスク管理、シニアリーダーシップチームへの進捗(しんちょく)状況の報告を一括して実施することになるという。
ブログ記事によると、現在Microsoftのエンジニアリング担当エグゼクティブバイスプレジデントは、全管理職と専門性の高い熟練従業員が同席する大規模な運用会議を毎週開催しているという。
(注1)Security above all else―expanding Microsoft’s Secure Future Initiative(Microsoft)
(注2)Statement from Secretary Mayorkas on Microsoft's Announcement of Security Updates Following CSRB Recommendations(Homeland Security)
(注3)Review of the Summer 2023 Microsoft Exchange Online Intrusion(CISA.gov)
(注4)Midnight Blizzard: Guidance for responders on nation-state attack(Microsoft)
(初出)Microsoft says cybersecurity overhaul will impact top execs’ pay
© Industry Dive. All rights reserved.
関連記事
生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
世間の注目が生成AIに集まる中、デロイト トウシュ トーマツが実施した調査によると、CFO(最高財務責任者)の3分の2近くが今後、生成AIへの投資を控えようとしているという。その背景にある「ある問題」とは。
「子会社系SIer」で深刻化する“忙し過ぎ問題” 最も不足している意外なIT人材とは?
野村総合研究所が実施した調査によると、国内の情報・デジタル子会社は「人材不足」や「案件過多」といった課題が2021年の前回調査時より悪化している。これらの問題を解決するための親会社との関係構築の在り方について同社が提言した。
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
給料を15%アップさせるのは「あのスキル」 AWS調査で判明
AWSが実施した調査によると、日本企業はあるスキルを身に付けた労働者に給与を15%高く支払う意向があることが明らかになった。ただし、雇用主と労働者の7割近くがそのスキルをどのように育成すべきか迷っているという。