マイクロソフト、セキュリティ姿勢改善を連邦審査委員会から要求される

連邦審査委員会は、マイクロソフトに対し、クラウドセキュリティの姿勢を改善し、顧客にその責任を押し付けるのをやめるよう要求した。これは、2023年7月のサイバー攻撃で中国の脅威アクターがMicrosoft 365アカウントを侵害し、米国政府高官のスパイ行為を可能にしたことを受けてのものである。

独立した国土安全保障省サイバーセーフティレビューボードが発表した報告書では、マイクロソフトのセキュリティ文化を厳しく批判し、中国に拠点を置く脅威グループStorm-0558によるサイバー諜報攻撃は「決して起こるべきではなかった」と指摘している。

この報告書は、ジョー・バイデン大統領の要請により、この侵害を調査するために委員会が設立されたもので、技術大手に対し、サイバーセキュリティを最優先事項とするよう要求している。また、新製品の機能や開発よりも、クラウドセキュリティの位置づけを大幅に見直すことを厳格に求めている。

報告書では、マイクロソフトのCEOと取締役会が直接、同社のセキュリティ文化に焦点を当て、具体的なタイムラインを持つ計画を公開し、同社および製品群全体にわたる根本的なセキュリティ重視の改革を行うべきだと提案している。

さらに、マイクロソフトのリーダーシップは、同社のクラウドインフラストラクチャと製品群全体にわたる機能開発を重要なセキュリティ改善が行われるまで後回しにするよう内部チームに指示することも検討すべきだと結論付けている。

この侵害により、Storm-0558は西ヨーロッパと米国の25の政府機関の電子メールアカウントにアクセスすることができたが、その責任は完全にマイクロソフトにあり、同社の一連のセキュリティ失敗が直接的な原因であると報告書は述べている。

【ニュース解説】

2023年7月に発生したサイバー攻撃により、中国の脅威アクターがMicrosoft 365アカウントを侵害し、米国政府高官のスパイ行為を可能にした事件を受け、連邦審査委員会はマイクロソフトに対して、そのクラウドセキュリティの姿勢を改善するよう要求しました。この要求は、独立した国土安全保障省サイバーセーフティレビューボードによる報告書を通じて行われ、マイクロソフトのセキュリティ文化に対する厳しい批判が含まれています。

この報告書では、マイクロソフトがセキュリティの責任を顧客に押し付けるのをやめ、サイバーセキュリティを企業の最優先事項として扱うべきだと指摘されています。特に、新製品の機能や開発を進める前に、クラウドセキュリティの位置づけを大幅に見直し、改善することが求められています。

報告書は、マイクロソフトのCEOと取締役会に対し、セキュリティ文化に焦点を当てた計画を公開し、同社および製品群全体にわたる根本的なセキュリティ重視の改革を行うよう提案しています。また、機能開発を重要なセキュリティ改善が行われるまで後回しにするよう、マイクロソフトのリーダーシップに対しても指示が出されています。

この事件の背景には、マイクロソフトの一連のセキュリティ失敗があり、それが直接的な原因として指摘されています。特に、Storm-0558が西ヨーロッパと米国の25の政府機関の電子メールアカウントにアクセスできたことは、マイクロソフトの責任であると明確にされています。

この報告書から読み取れるのは、クラウドサービスプロバイダーとしてのマイクロソフトのセキュリティ対策が、他のプロバイダーと比較しても不十分であるという現実です。マイクロソフトの製品は、国家安全保障、経済の基盤、公衆衛生と安全を支える重要なサービスに広く使用されているため、同社はセキュリティ、説明責任、透明性の最高基準を示す必要があります。

この事件とその後の対応は、クラウドセキュリティの重要性と、企業が顧客のセキュリティを確保するためにどのような責任を負うべきかについて、業界全体に重要な議論を提起しています。また、セキュリティ対策の強化だけでなく、セキュリティ文化の根本的な変革が必要であることを示しています。このような変革は、技術的な側面だけでなく、組織のリーダーシップと文化にも焦点を当てる必要があります。

from Feds to Microsoft: Clean Up Your Cloud Security Act Now.