チャーリー ベル (Charlie Bell) エグゼクティブ バイス プレジデント、マイクロソフト セキュリティ
※本ブログは、米国時間 9 月 23 日に公開された “Securing our future: September 2024 progress update on Microsoft’s Secure Future Initiative (SFI)” の抄訳を基に掲載しています。
2023 年 11 月、マイクロソフトはセキュア フューチャー イニシアチブ (SFI) を導入し、マイクロソフト、お客様、および業界全体のサイバーセキュリティ保護を推進しました。2024 年 5 月には、業界のフィードバックと私たちの洞察を取り入れ、6 つの重要な活動の柱に焦点を当てるようにイニシアチブを拡大しました。イニシアチブが始まって以来、SFI に 34,000 人のフルタイム エンジニアと同等の人員を割り当てており、これはサイバーセキュリティ エンジニアリングにおける史上最大の取組みです。本日は、最初の SFI 進捗レポートからの主要な更新情報とマイルストーンを共有いたします。
セキュリティを何より最優先にする
マイクロソフトでは、お客様とコミュニティの未来を守るための独自の責任を認識しています。そのため、マイクロソフトの全員が「セキュリティを最優先する」重要な役割を担っています。当社はセキュリティ ファーストの文化を育むために大きな進展を遂げました。主な更新情報は以下の通りです:
- ガバナンスの改善を目指し、新しいサイバーセキュリティ ガバナンス カウンシルの設立と、主要なセキュリティ機能およびすべてのエンジニアリング部門の副最高情報セキュリティ責任者 (Deputy CISOs) の任命を発表しました。最高情報セキュリティ責任者 (CISO) のイゴール ツィガンスキー (Igor Tsyganskiy) が率いる副 CISO たちは、企業全体のサイバーリスク、防御、およびコンプライアンスの責任を負います。
- セキュリティはマイクロソフトのすべての従業員にとって最優先事項となり、業績評価に含まれます。これにより、すべての従業員とマネージャーがセキュリティを優先し、SFI に対する従業員の貢献を明文化し、その影響を称える責任を持つことができます。
- セキュリティ スキリング アカデミーを立ち上げ、全従業員に対してセキュリティに特化したキュレーション トレーニングのパーソナライズされた学習体験を提供します。このアカデミーにより、役割に関係なく、従業員が日常業務でセキュリティを優先し、マイクロソフトのセキュリティ確保に直接関与していることを理解することができます。
- 最高レベルでの説明責任と透明性を確保するため、マイクロソフトの上級リーダーシップ チームは毎週 SFI の進捗状況をレビューし、四半期ごとにマイクロソフトの取締役会に更新情報を提供します。さらに、マイクロソフトの上級リーダーシップ チームのセキュリティ パフォーマンスは、報酬に直接リンクされています。
活動の柱のハイライト: 包括的なサイバーセキュリティのアプローチ
6 つの重要な活動の柱の全体でも進捗を遂げており、それぞれがサイバーセキュリティの重要な領域を表しています。これらの柱は、マイクロソフト全体のセキュリティ基準を引き上げ、セキュリティ環境の進化するニーズに対応するための継続的な作業をガイドします。以下は、これらの領域における最近の更新情報です:
- アイデンティティと秘密の保護: Microsoft Entra ID と Microsoft Account (MSA) の更新を完了し、Azure Managed Hardware Security Module (HSM) サービスを使用してアクセス トークン署名キーの生成、保管、および自動ローテーションを実現しました。標準化されたアイデンティティ SDK の採用を推進し、トークンの一貫した検証を提供しています。現在、Microsoft Entra ID から発行されるトークンの 73% 以上をカバーしています。標準化されたセキュリティ トークン ログ記録を拡張し、脅威ハンティングと検出をサポートし、主要なサービスでの広範な採用に先立ち実装しました。生産環境でのフィッシング耐性資格情報の使用を強制し、生産性環境でのマイクロソフト内部ユーザーの 95% に対してビデオベースのユーザー検証を実施し、セットアップ/リカバリー中のパスワード共有を排除しました。
- テナントの保護と生産システムの分離: すべての生産および生産性テナントについて、アプリケーション ライフサイクル管理の完全な反復を完了し、730,000 の未使用アプリを削除しました。5.75 百万の非アクティブ テナントを削除し、潜在的な攻撃対象領域を大幅に削減しました。実験テナントとテスト テナントの作成を容易にする新しいシステムを実装し、安全なデフォルト設定と厳格なライフタイム管理を実施しました。過去 3 か月間で 15,000 を超える生産準備が整ったロックダウン デバイスを展開しました。
- ネットワークの保護: 生産ネットワーク上の物理資産の 99% 以上が中央インベントリ システムに記録されており、所有権およびファームウェアのコンプライアンス追跡とインベントリが強化されています。バックエンド接続を持つ仮想ネットワークは、マイクロソフトの企業ネットワークから分離され、横方向の移動を減らすために完全なセキュリティ レビューが実施されます。顧客が独自のデプロイメントを保護できるように、Azure Storage, SQL, Cosmos DB, Key Vault などPlatform as a Service (PaaS) リソースのネットワーク分離を容易にする管理者規定などのプラットフォーム機能を拡張しました。
- エンジニアリング システムの保護: 商用クラウド向けの生産ビルド パイプラインの 85% が中央管理されたパイプライン テンプレートを使用しており、デプロイメントがより一貫性、効率的かつ信頼性のあるものになっています。Personal Access Tokens の有効期間を 7 日間に短縮し、すべてのマイクロソフト内部エンジニアリング リポジトリに対する Secure Shell (SSH) プロトコルアクセスを無効にし、エンジニアリング システムにアクセスするための昇格された役割の数を大幅に削減しました。また、ソフトウェア開発コードフローの重要なチョークポイントでの存在証明チェックを実装しました。
- 脅威の監視と検出: すべてのマイクロソフト生産インフラストラクチャおよびサービスがセキュリティ監査ログの標準ライブラリを採用するよう強制し、関連するテレメトリが発信され、ログが少なくとも 2 年間保持されるようにするために大きな進展がありました。たとえば、アイデンティティ インフラストラクチャのセキュリティ監査ログの中央管理と 2 年間の保存期間を確立し、現在の署名キーのライフサイクル全体にわたるすべてのセキュリティ監査イベントを包括しています。同様に、ネットワーク デバイスの 99% 以上に中央集中型のセキュリティ ログ収集と保持が有効になっています。
- 対応と修復の加速: 重要なクラウドの脆弱性に対する Time to Mitigate を改善するために、マイクロソフト全体でプロセスを更新しました。お客様の対応が必要ない場合でも、透明性を高めるために、重要なクラウドの脆弱性を一般的な脆弱性およびエクスポージャ (CVEs) として公開し始めました。セキュリティ インシデントに関するパブリック メッセージングとお客様とのエンゲージメントを向上させるために、Customer Security Management Office (CSMO) を設立しました。
セキュリティへのコミットメント再確認
セキュリティにおいて、一貫した進歩は「完璧さ」よりも重要であり、これは SFI 目標を達成するために動員されたリソースの規模に反映されています。保護を継続的に強化し、レガシーまたは非準拠の資産を排除し、監視対象のシステムを識別するための集団作業は、私たちの成功を包括的に測定しています。今後を見据え、私たちは絶え間ない改善にコミットし続けます。SFI は新たな脅威に適応し、セキュリティ プラクティスを洗練し続けます。私たちの透明性と業界の協力に対するコミットメントは変わりません。2024 年初めに、マイクロソフトは米国サイバーセキュリティおよびインフラストラクチャ安全保障庁 (CISA) の Secure by Design 誓約の主要な支持者となり、製品やサービスのあらゆる側面にセキュリティを組み込むことへの献身を強化しました。さらに、サイバー安全審査委員会 (CSRB) からの推奨事項を統合し、サイバーセキュリティの対策を強化し、レジリエンスを高め続けています。
これまでの成果は始まりに過ぎません。私たちは、サイバー脅威が進化し続けることを知っており、それに伴って私たちも進化しなければなりません。この継続的な学習と改善の文化を育み、セキュリティが単なる機能ではなく、基盤となる未来を築いていきます。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。