マイクロソフトの取り組みは「史上最大のサイバーセキュリティエンジニアリングの取り組み」
出版
セキュア・フューチャー・イニシアチブは、米国サイバーセーフティ審査委員会がレドモンドのセキュリティ文化が貧弱であると非難したのとほぼ同時期に創設された。
マイクロソフトは9月23日、2023年11月に導入された全社的な改革である「セキュア・フューチャー・イニシアチブ」の進捗状況を詳述したレポートを発表した。セキュア・フューチャー・イニシアチブは、2023年にいくつかの重大な脆弱性が明らかになったことを受けて、セキュリティを向上させるために設立された。
これらの脆弱性には、2023年に中国政府と関係のある脅威アクターが米国政府のメールにアクセスできたMicrosoft Exchange Onlineの侵害が含まれていました。2024年4月、米国サイバーセーフティレビュー委員会は「2023年夏のMicrosoft Exchange Online侵入に関するレビュー」を発表し、このハッキングは「予防可能であり、決して起こるべきではなかった」と述べました。委員会は、Microsoftには「企業のセキュリティ投資と厳格なリスク管理の両方を軽視する企業文化」があったと結論付けました。
マイクロソフトがサイバー脅威からどのように防御しているか
サイバーセキュリティ問題を踏まえ、マイクロソフトはいくつかの変更を実施しました。この取り組みの一環として、CEOのサティア・ナデラ氏とセキュリティ担当エグゼクティブバイスプレジデントのチャーリー・ベル氏は、13名の副CISOを任命しました。彼らの職務は、マイクロソフトのエンジニアリング部門内、またはCISOが監督する基盤的なセキュリティ機能の一部として、主要なセキュリティ機能を監督することです。
「我々はSFIに34,000人相当のフルタイムエンジニアを投入しており、史上最大のサイバーセキュリティエンジニアリングの取り組みとなっている」とベル氏は書いている。
Microsoft が講じたその他の措置は次のとおりです。
- セキュリティ コンプライアンスの 6 つの主要な柱を展開し、それに基づいて行動します。
- 新しい CISO で構成され、サイバーリスク、防御、コンプライアンスを担当する新しいサイバーセキュリティ ガバナンス カウンシルを作成します。
- セキュリティをすべての従業員の業績評価の重要な部分にします。
- セキュリティ パフォーマンスを上級リーダーシップ チームの報酬にリンクします。
- 上級管理職に、Secure Future Initiative の進捗状況を毎週評価し、四半期ごとに取締役会に最新情報を報告することを義務付けます。
- 全社的にセキュリティトレーニングを展開します。
参照:なぜあなたのビジネスにサイバーセキュリティ意識向上トレーニングが必要なのか(TechRepublic Premium)
Microsoft のセキュリティ コンプライアンスの 6 つの主要な柱は次のとおりです。
- IDと秘密の保護。これには、パブリッククラウドおよび米国政府クラウド向けのMicrosoft Entra IDとMicrosoftアカウント(MSA)を更新し、トークン署名キーへのアクセスをより困難にすることが含まれます。昨年、中国系の脅威アクターは署名キーを利用して政府機関のメールアドレスを侵害しました。Microsoftは、標準ID SDKの採用を拡大し、パスワード共有を防止する対策などを導入しました。
- テナントを保護し、運用システムを分離し、未使用のアプリと非アクティブなテナントを排除します。
- 特定の仮想ネットワークを分離し、物理資産の所有権とファームウェア コンプライアンスの追跡を強化します。
- エンジニアリング システムのガバナンスの改善。
- セキュリティ監査ログ用の標準ライブラリを採用して、脅威の監視と検出を強化します。
- 重大なクラウドの脆弱性を軽減するための時間を短縮します。
組織がセキュア・フューチャー・イニシアチブから学べること
SFI の更新は、セキュリティ チームとエンジニアリング チームに、厳格な標準を維持し、業界のベスト プラクティスを順守することを思い出させるタイムリーな通知となります。
マイクロソフトは、業績評価の中核にセキュリティを組み込んでいることに注目してください。企業文化全体と整合した明確なKPIは、組織の方向性に影響を与える可能性があります。
データ侵害への迅速な対応の価値を認識することも重要です。マイクロソフトの米国政府との契約規模と戦略的重要性から、2023年のデータへの対応は特に重要でした。マイクロソフトは、SFIを、注目を集めた侵害を帳消しにするための試みではなく、改善のための取り組みとして位置づけるよう慎重に位置付けてきました。しかし、このプロジェクトの暗黙の目標は、大規模なメールハッキングが二度と発生しないことを米国政府に保証することです。
こちらもご覧ください
- IBM幹部が語る未来のサイバーセキュリティ:パスキー、ディープフェイク、量子コンピューティング
- 2024年版 エンタープライズ向けウイルス対策ソフトウェアのおすすめ6選
- イランのサイバー攻撃:キツネの子猫が米国でランサムウェアを拡散
- 2024年版 Windows向けベストアンチウイルスソフトウェア6選
- サイバーセキュリティ:さらに読むべき記事
ミーガン・クラウス
メーガン・クラウスは、B2Bニュースおよび特集記事の執筆で10年の経験を有し、Manufacturing.netのライター、そして後に編集者として活躍しました。彼女のニュース記事や特集記事は、Military & Aerospace Electronics、Fierce Wireless、TechRepublic、eWeekに掲載されています。また、Security Intelligenceではサイバーセキュリティに関するニュースや特集記事の編集も担当しました。フェアリー・ディキンソン大学で英文学の学位を取得し、クリエイティブライティングを副専攻しました。
