Last Updated on 2024-05-09 00:17 by 荒木 啓介
Microsoftは、製品とサービス全体のセキュリティを強化するための拡大した取り組みの一環として、組織変更を行い、上級リーダーシップに対してサイバーセキュリティに直接責任を持たせることを発表した。同社のセキュリティ担当EVPであるチャーリー・ベルは、ブログでこの計画を発表し、急速に進化する脅威の風景に直面して、米国政府と顧客に対するセキュリティを進めることへの同社のコミットメントを再確認した。
具体的には、会社の上級リーダーシップチームの報酬の一部を、セキュリティ計画とマイルストーンの達成状況に基づいて決定する。また、セキュリティガバナンスを高めるために、いくつかの組織変更と追加の監視、コントロール、報告を行う。製品チームごとに副CISOを追加し、企業の脅威情報チームを企業CISOに直接報告させること、そしてMicrosoft Azure、Windows、Microsoft 365、セキュリティグループのエンジニアリングチームがセキュリティに関して協力することが含まれる。
2023年11月、Microsoftは、類似および新たな脅威から保護するための措置を実装するSecure Future Initiative(SFI)を発表した。このイニシアチブの下で、Microsoftは自動化、AI、脅威モデリングを活用し、コード開発、テスト、デプロイメント、製品運用中にセキュリティを継続的に統合すると述べた。また、製品ポートフォリオ全体でより安全なデフォルト設定を統合し、顧客が箱から出してすぐにより良い保護を受けられるようにすると約束した。さらに、より強力なアイデンティティ保護を実装し、クラウドの脆弱性対応と緩和時間を半分に改善するとも述べた。
ベルの最近の更新では、これらの提案のいくつかについてより具体的な詳細が追加された。Microsoftの取り組みは、製品とプラットフォームが設計、デフォルト、運用中に安全であることを保証することに焦点を当てている。これらの目標を達成するための要件は、6つの広範な柱の下に分類されている:アイデンティティと秘密の保護、クラウド内のテナントと生産システムの保護、ネットワークの保護、エンジニアリングシステムの保護、脅威の監視と検出、迅速な対応と修復。
これらの目標を達成するために、Microsoftは一連の措置を実施する。例えば、アイデンティティと秘密をよりよく保護するために、Microsoftは署名およびプラットフォームキーの迅速かつ自動的なローテーションを実装し、すべてのプラットフォームで業界標準のSDKを使用する。同様に、テナントを保護するために、Microsoftは使用されていない、レガシー、および古いシステムをすべて削除し、すべてのクラウドホストアプリケーションへの最小限の特権アクセスを継続的に強制し、攻撃者が横断的に移動するための潜在的な転換点を削除する。
【ニュース解説】
Microsoftは、製品とサービスのセキュリティ強化に向けた新たな取り組みの一環として、組織内の上級リーダーシップに対するサイバーセキュリティの責任を明確にすることを発表しました。この動きは、セキュリティ担当のエグゼクティブバイスプレジデント(EVP)、チャーリー・ベルによってブログで公開され、急速に変化する脅威の風景に対応し、米国政府や顧客へのコミットメントを強化するためのものです。
具体的には、Microsoftは上級リーダーシップチームの報酬の一部をセキュリティ計画とマイルストーンの達成に基づいて決定することで、責任を持たせます。さらに、セキュリティガバナンスを強化するために組織変更を行い、追加の監視、コントロール、報告を導入します。これには、製品チームごとに副CISOを配置し、脅威情報チームを企業CISOに直接報告させること、そしてMicrosoft Azure、Windows、Microsoft 365、セキュリティグループのエンジニアリングチームがセキュリティに関して協力することが含まれます。
2023年11月には、Secure Future Initiative(SFI)と呼ばれる企業全体の取り組みが発表されました。このイニシアチブでは、自動化、AI、脅威モデリングを活用して、コードの開発、テスト、デプロイメント、製品運用中にセキュリティを継続的に統合することが目指されています。また、製品ポートフォリオ全体でより安全なデフォルト設定を統合し、顧客が初期状態からより良い保護を受けられるようにするとともに、アイデンティティ保護の強化やクラウドの脆弱性対応と緩和時間を半減させることも約束されています。
この取り組みは、製品とプラットフォームが設計、デフォルト、運用中に安全であることを保証することに焦点を当てており、アイデンティティと秘密の保護、クラウド内のテナントと生産システムの保護、ネットワークの保護、エンジニアリングシステムの保護、脅威の監視と検出、迅速な対応と修復という6つの広範な柱の下に要件が分類されています。
このような取り組みにより、Microsoftはセキュリティをさらに強化し、顧客や企業が直面する脅威からの保護を目指しています。しかし、これらの変更が完全に実現するまでには時間がかかる可能性があり、その間もMicrosoftは攻撃者の主要な標的であり続けるでしょう。この取り組みが成功すれば、Microsoftの製品とサービスを利用する個人や企業にとって、より安全な環境が提供されることになります。一方で、これらの変更を実施する過程での挑戦や、新たなセキュリティ対策がもたらす潜在的なリスクにも注意が必要です。また、セキュリティの強化は、規制や業界標準に与える影響も考慮する必要があり、長期的な視点でのセキュリティ文化の変革が求められます。
from Microsoft Will Hold Executives Accountable for Cybersecurity.
