ブラッド スミス (Brad Smith) 副会長 兼 プレジデント
※本ブログは、米国時間 11 月 2 日に公開された “A new world of security: Microsoft’s Secure Future Initiative” の抄訳を基に掲載しています。
昨年、世界にはかつてないほど多様なテクノロジの変革がもたらされました。人工知能の進化がイノベーションを加速し、社会におけるコミュニケーションや業務のやり方を再構築しています。同時に、サイバー犯罪者や国家スポンサー型攻撃者にとっても、世界中の地域社会や国々の安全や安定を脅かす破壊工作やイノベーションの機会が増しています。
ここ数か月に、マイクロソフトは、サイバー攻撃のスピード、規模、巧妙さの増加が、新たな対応の必要性を生じさせているという結論に至りました。これを理由として、本日、次世代のサイバー セキュリティ保護に向けた、SFI (Secure Future Initiative) と呼ぶ新たな全社的取り組みを開始します。
この新たな取り組みは、マイクロソフトの全部門の力を結集し、サイバー セキュリティ保護を推進するものであり、AI を活用したサイバー防御、ソフトウェア工学の基礎的進歩、サイバー脅威から国民を守るための国際規範の適用強化の提唱にフォーカスした 3 つの柱で構成されます。マイクロソフトのセキュリティ担当 エグゼクティブ バイスプレジデント、チャーリー ベル (Charlie Bell) は、Secure Future Initiative の詳細と、このアクションプランがマイクロソフトのソフトウェア開発プラクティスにとってどのような意味を持つのかについて、すでにエンジニアリングチームと情報を共有しています。
このような新たな一歩を踏み出すに至ったマイクロソフトの変化についての見解と、Secure Future Initiative の各パートについての詳細について以下に述べます。
変化する脅威の状況
5 月下旬、マイクロソフトは、全米の重要インフラ組織を標的とした新たな国家支援型サイバー活動を示す情報を発表しました。この活動は、全米市民への脅威になるという点に加え、その手法の高度性という点でも憂慮すべきものでした。5 月に述べたように、この攻撃には、コンピューター ネットワークに長期的に感染してその完全性を損なうための高度で、長期的な、ステルス性のある、十分な資金を持つ政府の支援を受けたと見られる手法が使用されていました。この夏には、マイクロソフトを含めたクラウドサービスのインフラをターゲットにして同様の動きが見られました。
これらの攻撃は、現在のサイバー脅威の状況の基本的特性を浮き彫りにしています。近年に大きな改善がもたらされたとはいえ、サイバー セキュリティの残されたギャップを埋めるためには、これまでとは異なる新たなステップが必要です。先月公表した年次の Microsoft Digital Defense Report でお伝えしたように、十分に整備されたサイバー衛生対策の実施により、現在ではサイバー攻撃の大部分から効果的に保護が提供されています。しかし、きわめて充実したリソースを持つ攻撃者たちは、独自のイノベーションを追求することでこれに対抗し、以前よりもさらに積極的かつ巧妙に行動しています。
国家に支援された大胆なアクターがサイバー作戦に対してより積極的になり、他国や他機関に対して諜報活動、破壊工作、破壊的攻撃、影響力作戦を忍耐強く執拗に行うようになっています。マイクロソフトの推計によると、過去 2 年間における国家支援攻撃の 40% が重要インフラにフォーカスしたものであり、国家の資金を活用できる高度な攻撃者が電力網、水道システム、医療施設などの重要システムをハッキングしています。これらの領域におけるシステム障害がもたらす潜在的被害が悲惨なものであることは明らかです。
これと同時に、保護の強化が、サイバー犯罪者の参入障壁を高めた一方で、小規模ではあるがより悪質で高度なアクターグループの集約をもたらしました。マイクロソフトの Digital Crimes Unit は、データをロックまたは盗難して返却のために支払いを要求する、高度なランサムウェアアズアサービスの関連会社の 123 社を追跡しており、2022 年 9 月以降、ランサムウェアによる攻撃の試みが 200% 以上増加したと推定しています。効果的なセキュリティ対策を施している企業であれば、これらの脅威に対処することは可能ですが、病院、学校、地方自治体など、より小規模で脆弱な組織を標的にした高度な攻撃が頻繁に起きています。成功したランサムウェア攻撃の 80% 以上が管理されていないデバイスから発生しており、保護対策をすべてのデジタル デバイスに拡大することの重要性が明らかになっています。
今日のサイバー脅威は、資金力のある組織や、最先端のツールやテクニックを駆使する熟練ハッカーから生じています。地政学的な動機であれ、金銭的な動機であれ、これらの国家支援アクターや犯罪集団は、手法を常に進化させ、標的を拡大しています。どのような、国、組織、個人、ネットワーク、デバイスも攻撃対象になり得ます。これらの攻撃者はコンピューターやネットワークを危険にさらすだけでなく、人々や社会に深刻なリスクをもたらします。これに対抗するためには、マイクロソフト自身のリソースと最も高度なテクノロジと経験に基づく新たな対応が必要です。
AI ベースのサイバー防御
ウクライナでの戦争は、高度な攻撃の脅威を上回るサイバー セキュリティ防御を開発できるテクノロジ業界の能力を実証しました。ウクライナのサイバー防衛を成功させるためには、テクノロジ業界と政府との責任分担、そして、同盟国からの支援が必要でした。これは、公共部門のリーダーシップと企業の資本を組み合わせること、そして、コンピューティング パワーと人間の創意工夫を組み合わせることの有効性の証しです。そして何よりも、新たなサイバー脅威に対する防御力の強化に AI のパワーを活用することで、私たちがさらに大規模な目標を達成できるというヒントを与えてくれます。
マイクロソフトは企業として、世界中のお客様と国々を守る AI ベースのサイバー シールドの構築にコミットしています。マイクロソフトは、AI 処理能力を備えたデータ センターのグローバルなネットワーク、そして、高度な基盤 AI モデルにより、サイバー セキュリティ防御に AI を活用する上できわめて有利な立場にあります。
Secure Future Initiative の一環として、マイクロソフトは今後もこの取り組みを多方面から加速していきます。
第 1 に、AI を活用してマイクロソフトの脅威インテリジェンスを進化させるための新たなステップを踏み出します。Microsoft Threat Analysis Center (MTAC) は、サイバー脅威の検出と分析に高度な AI ツールと手法を使用しています。マイクロソフトは、このような能力を自社製品のセキュリティ テクノロジを通じてお客様に直接提供していきます。これらのテクノロジは複数のソースを横断してデータを蒐集します。
このような AI の進歩が非常に重要である理由のひとつは、世界で最も差し迫ったサイバーセキュリティの課題に対処できることです。ユビキタス デバイスと常時接続のインターネットが膨大なデジタルデータの海を作り出し、サイバー攻撃の検知を困難にしています。マイクロソフトは、世界中のデバイスやサービスから 1 日あたり 65 兆件以上のシグナルを受信しています。地球上の 80 億人全員がサイバー攻撃の証拠が共に探すことができたとしても、これに追いつくことはできません。
しかし、AI はゲーム チェンジャーです。脅威の主体が膨大なデータの干し草の山の中の針のように脅威を隠そうとする一方で、AI が針の海から正しい針を見つけることが可能になりつつあります。そして、マイクロソフトは、データ センターのグローバル ネットワークと AI を活用して、インターネットのスピードに劣らないスピードで脅威を検知することにコミットしています。
第 2 に、マイクロソフトは、マシンのスピードでサイバー攻撃に対抗できるよう AI をあらゆる組織のゲーム チェンジャーとして活用していきます。現時点におけるサイバー セキュリティに関する世界最大の課題の 1 つは、訓練を受けた専門家が不足していることです。世界的に 300 万人以上の人材が不足する中、企業にはサイバー セキュリティ人材の生産性を可能な限り向上することが求められます。さらに、攻撃のスピード、規模、高度化により、組織が大規模な攻撃を防止し、阻止することが困難になっています。Microsoft’s Security Copilot は、大規模な言語モデルに、多様なスキルとマイクロソフトの脅威インテリジェンスからの洞察に基づくセキュリティ特化モデルを組み合わせています。複雑なデータから自然言語による洞察と推奨を生成することで、アナリストはより効果的かつ迅速に対応できるようになり、見逃していた脅威を捕獲し、組織がマシンのスピードで攻撃を防止、阻止できるよう支援できます。
成功のためのもうひとつの重要な要素は、エンドポイント デバイスの検出と応答機能の拡張と、これらの AI の進歩の組み合わせです。前述のとおり、今日のランサムウェアによる侵害の 80% 以上は、従業員が業務関連のシステムや情報にアクセスするために使用する、管理されていないデバイスや「持ち込みのデバイス」(BYOD) から発生しています。しかし、これらのデバイスが、Microsoft Defender for Endpoint のようなサービスで管理されれば、AI 検出技術により、ラップトップ、電話、サーバーなどのコンピューティング エンドポイントに対するサイバー攻撃を阻止し、撃退できるリアルタイム保護が提供されます。ウクライナ戦争では、人間が検知する前にロシアのサイバー攻撃を特定し、撃退するために AI を成功裏に使用するなど、この保護機能をテストし、拡張するための広範な機会が提供されました。
第 3 に、マイクロソフトは、「責任ある AI の原則」に基づき、サービスにおける AI のセキュリティ確保を進めていきます。マイクロソフトは、このような新しい AI テクノロジが、独自の安全性とセキュリティのセーフガードの下に進化しなければならないことを認識しています。だからこそマイクロソフトは、責任ある AI の原則と実践に基づいて、自社サービスの AI の開発と導入を行っているのです。マイクロソフトは、テクノロジそのものの変化に合わせて、これらのプラクティスを進化させることにフォーカスしています。
マイクロソフトのサイバー セキュリティ サービスの多くは消費者や組織を保護するものですが、マイクロソフトは、政府や国に向けた AI を活用したより強力な保護体制の構築にも取り組んでいます。つい先週、Microsoft-Australian Signals Directorate Cyber Shield (MACS) の開発を含め、オーストラリアにおけるハイパースケール クラウドコンピューティングと AI インフラの拡張に 32 億ドルを投じることを発表したばかりです。オーストラリアにおけるこの重要な政府機関と協力することで、サイバー脅威を特定し、防止し、対応するための共同能力を強化できます。これは、世界中の国々の安全な保護を構築していくために、私たちが今後 AI をどのようなものにしていくべきかを示す良い指標です。
新たなエンジニアリングの進歩
新しい AI の能力に加え、より安全な未来には、基本的ソフトウェア工学の新たな進歩が必要です。これが、今朝、チャーリー ベル (Charlie Bell) がエンジニアチームの同僚であるスコット ガスリー (Scott Guthrie) とラジェッシュ ジャー (Rajesh Jha) との共著による E メールを社員に送った理由です。これは Secure Future Initiative の一環であり、マイクロソフトのテクノロジの設計・構築・テスト・運用の方法を進化させることで、セキュリティの新たな基準を確立することを目指すものです。
チャーリーのメール全文はこちらで読めます。要約すると、以下の 3 つの重要なステップが含まれています:
第 1 に、マイクロソフトは、自動化と AI によってソフトウェア開発の方法を変革していきます。今日のサイバーセキュリティの脅威が抱える課題と、生成 AI が生み出す機会が、セキュリティのためのソフトウェア エンジニアリングにおける変曲点を生み出しています。今日、チャーリーが社内エンジニアと共有しているステップは、マイクロソフトが 2004 年に創案した Security Development Lifecycle (SDL) の次の進化段階に相当します。今後、マイクロソフトは、これを「ダイナミック SDL」(dSDL) と呼ぶものに進化させていきます。これは、マイクロソフト エンジニアがシステムやサービスをコーディング・テスト・デプロイ・運用する際に、新たな脅威パターンに対するサイバー セキュリティ保護を継続的に統合するための体系的プロセスを適用するものです。チャーリーが説明しているように、マイクロソフトは、AI を活用したセキュリティの高いコード解析や、高度な脅威シナリオに対するソース コードの監査とテストを行う GitHub Copilot の利用といったエンジニアリング的対策とこれを組み合わせていきます。
このプロセスの一環として、今後 1 年以内に、お客様に多要素認証 (MFA) のより安全なデフォルト設定をすぐにご利用いただけるようにする予定です。これは、お客様がこの保護を最も必要とする分野にフォーカスして、現在のデフォルト ポリシーをより広範な顧客サービスに向けて拡大するものです。マイクロソフトは、このような変更がレガシー コンピューティング インフラストラクチャに与える影響を注視しており、そのため、新しいエンジニアリング作業、そして、これらのデフォルト設定とこれによってもたらされるセキュリティ上の利点について説明するための広範なコミュニケーションの両方にフォーカスしていきます。
第 2 に、マイクロソフトは、高度に洗練された攻撃に対するアイデンティティの保護を強化していきます。パスワード攻撃のような ID ベースの脅威が、過去 1 年間で10 倍増加しました。国家支援アクターやサイバー犯罪者がログイン認証情報を盗んで使用するために、より洗練された技術を開発しています。チャーリーが説明したように、マイクロソフトは、すべての製品とプラットフォームにわたって、ユーザー、デバイス、サービスのアイデンティティとアクセス権を管理し、検証する統一された一貫性のあるプロセスを通じて、最先端のアイデンティティ保護を適用することにより、このような変化する脅威からの保護を提供します。また、これらの高度な機能を、マイクロソフト以外のアプリケーション開発者も自由に利用できるようにする予定です。
また、この取り組みの一環として、下位プロセスが侵害される可能性がある場合でも、鍵がアクセスできないように設計されたアーキテクチャを持つ、完全に自動化された、コンシューマーと企業向けの新しい鍵管理システムに移行します。これはマイクロソフトのコンフィデンシャル コンピューティングのアーキテクチャ と、ハードウェアに鍵を保存・保護し、データを静止時、転送時、計算時に暗号化するハードウェア セキュリティ モジュール (HSM) の使用に基づいています。
第 3 に、マイクロソフトはクラウド プラットフォームの脆弱性対応とセキュリティ アップデートを限界まで追求します。クラウドの脆弱性も対応するための時間を 50% 削減する予定です。また、テクノロジ業界全体で、より一貫性があり、透明性の高い問題報告を推進していきます。
これらの取り組みから得た学びやフィードバックに基づき、今後数か月、そして、数年のうちに、エンジニアリングやソフトウェア開発に関するその他のプラクティスを追加していくことを確約します。20 年以上前における Trustworthy Computing と同様に、マイクロソフトの SFI イニシアチブは、社内全体の力を結集し、サイバー セキュリティの全体像を評価し、革新していきます。
国際的規範の適用強化
最後の点として、マイクロソフトは、より強力な AI 防御とエンジニアリングの進歩が、第 3 の重要な要素、すなわちサイバー空間における国際的規範のより強力な適用と組み合わされる必要があると考えています。
2017 年、マイクロソフトはサイバー空間における国家支援および非国家アクターの行動を規定する一連の原則と規範である Digital Geneva Convention (デジタル ジュネーブ条約) の制定を提言しました。マイクロソフトは、サイバー空間における民間人を広範なサイバー脅威から守るために必要な規範を施行し、強化する必要性を主張しました。この呼びかけから 6 年、テクノロジ業界と政府はこの分野で数々の前進を遂げ、私たちが目指すべき目標も変化してきました。しかし、その精神と核心において、デジタル ジュネーブ条約を求める声はかつてないほど強くなっていると思います。
ジュネーブ条約の本質は、常に、罪のない民間人の保護でした。今日、サイバー スペースに必要なのは、単一の条約や協定ではなく、民間人を含む私たち全員が依存しているインフラに対するサイバー攻撃に対して、より断固とした態度で立ち向かうという、国家共同体によるより強力で広範なコミットメントです。政府、民間セクター、市民社会が一体となって、2 つの側面から国際的規範を推進するための新たな根本的取り組みが必要です。世界中のマイクロソフトのチームがこれらの取り組みを支持し、支援することにコミットします。
第 1 に、私たちはより広範に、そして公的に団結し、政府が越えてはならないレッドラインを示す重要な規範を支持し、強化する必要があります。
重要インフラ プロバイダーのネットワークにマルウェアをインストールしたりするなどのサイバー セキュリティの脆弱性を作り出し、悪用しようとする、国家の意思に基づく取り組みを排除すべきです。これらは、政府が何世紀にもわたって追求してきた諜報活動とは何の関係もなく、将来の危機や紛争において罪のない一般市民の生命を脅かすことを目的としているように見えます。もしジュネーブ条約の原則が 21 世紀にも意義を持ち続けるものであるならば、国際社会はこの種の行為を全面的に禁止するよう明確なレッドラインを引かなければなりません。
ゆえに、すべての国家は、エネルギー、水、食料、医療などの重要インフラ提供者のネットワークにソフトウェアの脆弱性を仕込まないことを公約すべきです。また、重要インフラを標的としたサイバー犯罪行為に、自国の領土や管轄区域内のいかなる人物も関与させないことを約束すべきです。
昨年は、機密データへのアクセス、重要なシステムの妨害、偽情報やプロパガンダの拡散を目的として、直接的または間接的にクラウド サービスを標的とした、国家による取り組みが増加しています。クラウド サービスは、水資源、食料、エネルギー、医療、情報など、私たちの社会に不可欠なあらゆる要素を支える重要な存在となっています。
このような理由から、国家はクラウド サービスを国際法の下で攻撃から保護される重要なインフラとして認識すべきです。
これは、以下の 3 つの関連するコミットメントにつながります:
- 国家は、クラウド サービスのセキュリティ、完全性、機密性を侵害するようなサイバー作戦に関与したり、自国の領土や管轄区域内のいかなる人物にも関与させたりしてはなりません。
- 国家は、諜報活動目的でクラウド サービスのセキュリティを無差別に攻撃すべきではありません。
- 国家は、作戦の対象でない人々に不利益をもたらさないようにサイバー作戦を構築すべきです。
第 2 に、こうした一線を越えた国家に対する説明責任を強化するために、各国政府が協力する必要があります。今年も、こうした規範に反する国家の行動については、確たる証拠を豊富にありました。私たちが今必要としているのは、こうした国家に責任を負わせ、不正行為を繰り返させないようにするための、政府による強力で、公的で、多国間にわたる、統一された責任の追及です。
テクノロジ企業とその他の民間セクターは、サイバー セキュリティ保護において主要な役割を担っており、マイクロソフトは新たなステップとより強力な行動にコミットしています。しかし、特に国家支援型の活動に関しては、サイバー セキュリティは官民共有の責任です。そして、テクノロジ企業がもっと努力する必要があるのと同様に、政府ももっと努力する必要があるでしょう。私たち全員が一丸となれば、世界にとってふさわしい、より安全な未来をもたらすための一歩を踏み出すことができるでしょう。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
