Microsoftは、「セキュリティを全てに優先させる」として、同社製品のセキュリティ機能の取り扱い方法について、大きな方針転換を行う事を発表した。Microsoftのセキュリティ担当上級副社長であるCharlie Bell氏は、Microsoft Security Blogへの新しい投稿で、以前発表した Secure Future Initiative (SFI) の計画を拡大し、米国土安全保障省のサイバー安全審査委員会(CSRB)からの勧告を追加することを明らかにした。
ブログの中でBell氏は次のように述べている:
Microsoftは世界のデジタル・エコシステムにおいて中心的な役割を果たしており、これには信頼を獲得し維持するという重大な責任が伴います。Microsoftは、世界のデジタルエコシステムの中心的役割を担っています。私たちはMicrosoftにおいて、他のすべての機能よりも何よりもセキュリティを最優先しています。
このようにセキュリティの向上に新たに重点を置くようになったのは、ハッカー集団による最近頻発した著名な侵害事件の後である。2023年夏には、中国を拠点とするグループが米国と欧州のOutlookメールアカウントにアクセスした。2024年初頭には、ロシアを拠点とするグループがMicrosoftの最高幹部の電子メールアカウントにアクセスすることに成功した。この事件はその後、Microsoftのソースコードの一部を入手する原因となった。
本日のブログ投稿でBell氏は、先述のSFIは、今後以下の6つの特定のカテゴリーをカバーすると述べている。
- アイデンティティと機密の保護
- テナントの保護と生産システムの隔離
- ネットワークの保護
- エンジニアリング・システムの保護
- 脅威の監視と検出
- 対応と修復の迅速化
また、この動きに伴う物として、MicrosoftのCEOであるSatya Nadella氏による全従業員に宛てた社内メモをThe Vergeが入手し公開した。そのメモの中でNadella氏も、セキュリティが何よりも優先されるべきであると明言している。加えて、新たなセキュリティの見直しや、同社が攻撃者からどのように学んでセキュリティ・プロセスを改善しているかについて述べている。Nadella氏はまた、従業員はセキュリティのトレードオフを行うべきではないと明言している:
セキュリティと他の優先事項のトレードオフに直面した場合、あなたの答えは明確です。場合によっては、新機能のリリースやレガシーシステムの継続的なサポートなど、私たちが行う他のことよりもセキュリティを優先させることを意味します。これは、プラットフォームの品質と能力を向上させ、顧客のデジタル資産を保護し、すべての人にとってより安全な世界を構築するための鍵となります。
こうしたMicrosoftの方針転換は役員への報酬という形で実行力を持つ物となってきている。Bell氏によれば、「Microsoftのシニア・リーダーシップ・チームの報酬の一部を、セキュリティ計画とマイルストーンの達成状況に基づいて決定することで、アカウンタビリティ(説明責任)を浸透させる」とのことだ
役員の給与の少なくとも一部をサイバーセキュリティのパフォーマンスに直接リンクさせるというMicrosoftの決定に関する具体的な詳細は未確認だが、サイバーセキュリティに対するより積極的かつ積極的な対応を従業員に浸透させるという同社の目標を反映していることは確かである。
Microsoftによれば、セキュリティの優先順位のシフトはすでに成果を上げている。これには、Microsoft社内の100万人以上のEntra IDユーザーに対する「多要素認証の自動実施」のサポート追加も含まれる。同社はまた、サポートライフサイクルが終了した、または新しいSFI標準に適合していない社内の73万ものアプリの使用を削減または廃止した。
Sources
コメント