視安全至上 微軟承諾建構更安全的網路世界

微軟全球助理法務長及台灣微軟公共暨法律事務部總經理  施立成 

微軟在今年 10 月發佈的 2024年度數位防禦報告 指出，微軟用戶每天面臨超過 6 億次的網路攻擊，過去一年勒索軟體攻擊數量更增加了 2.75 倍，而攻擊者也開始使用生成式 AI 技術來提升攻擊效率；為因應持續擴大規模和風險的網路攻擊，微軟已於去年 11 月發起「安全未來倡議」 ( Secure Future Initiative, SFI )，至今我們更投入相當於 34,000 名全職工程師的資源，為有史以來最大的網路安全工程。今年微軟再擴大 SFI 範圍，統整所有部門並將安全性視為首要任務，確保微軟的網路安全解決方案能保持穩健，並適應不斷演進的威脅態勢。 

微軟提出「三大安全原則」與「六大優先安全支柱」以擴展 SFI 方法和範疇  

安全未來倡議不僅擴及至微軟的每個部門，安全性更已成為所有微軟員工的核心優先事項，並被納入績效評估當中。此外，微軟成立「網路安全治理委員會」，更推出「安全技能學院」 (Security Skilling Academy) ，針對全球員工提供個人化的安全培訓，確保每位員工在日常工作中視安全性為優先。微軟承諾將透過三大安全原則、以及六大安全支柱來具體落實安全未來倡議。為了在微軟最高層級確保責任和透明度，微軟高層領導團隊將每週檢視 SFI 的進展，並每季向董事會報告，其安全績效也與薪酬直接連動，以增加執行效率與推進進度。 

 三大安全原則： 

1. 以安全為設計核心：設計任何產品或服務時，將安全性視為第一優先。 
2. 預設啟用安全性保護設定：預設啟用並強制執行安全性保護。 
3. 安全營運機制：不斷改進安全控制和監測措施，以應對當前和未來的威脅。  

六大安全支柱： 

1. 保護身份和機密：在所有身份和機密基礎設施、以及使用者和應用程式身份驗證和授權中實施和強制執行最佳標準，以減少未經授權存取的風險。根據今年九月最新發布的安全未來倡議進度報告指出，微軟已完成 Microsoft Entra ID 和 Microsoft 帳戶的更新，並使用 Azure 管理的硬體安全模組 (HSM) 服務來管理密鑰，推動廣泛採用標準身份 SDK，為微軟應用發行的 73% 以上憑證提供一致的安全驗證。此外，我們擴展了標準身份 SDK 中的安全憑證日誌功能，支援威脅偵測，並在生產環境中強制使用抗釣魚憑證。目前 95% 的內部使用者已採用基於影像的驗證，避免在設置和修復過程中分享密碼。 
2. 保護租戶 (Tenants) 並區隔生產 (production) 系統：使用一致、最佳的安全機制與嚴格的隔離機制，來保護所有微軟租戶以及生產環境，將影響範圍縮至最小。我們已經完成了所有生產和企業租戶的應用生命周期管理，刪除 73 萬個未使用應用程式、575 萬個非活躍租戶，大幅減少潛在網路攻擊面。導入的新系統更已精簡測試和實驗租戶的創建，並設置安全預設值與嚴格的生命週期管理。過去三個月內，我們已部署超過 15,000 個新的生產就緒鎖定設備。
3. 保護網路：透過改善隔離、監控、資產管理和安全營運，確保完全安全的微軟生產網路 (production network) 和相關連接系統；在微軟生產網路環境執行隔離及微切分架構，並增加額外的防禦層，同時讓客戶能夠輕鬆地保護其網路並在雲端中實現資源隔離。目前，生產網路上超過 99% 的實體資產已記錄在中央資產清單系統中，並整合了所有權和韌體合規性的追蹤功能。此外，將後端虛擬網路與微軟企業網路隔離，並進行全面安全審查，以減少橫向移動風險。  
4. 保護工程系統：透過對軟體供應鏈和工程系統基礎架構的治理，保護軟體資產並不斷提高程式代碼的安全性。目前微軟在商業雲的 85% 生產建置管道中已採用集中治理範本，提升了部署的一致性、效率與可靠性；我們將個人存取憑證的期限縮短至七天，禁用微軟內部工程倉庫的 SSH 協議存取，並大幅減少了擁有工程系統存取權限的高權限角色數量。此外，我們在軟體開發流程中的關鍵節點實施了「存在證明」檢查，以提升安全性。 
5. 監視和偵測威脅：全面覆蓋和自動偵測對微軟生產基礎架構和服務的威脅。我們也在推動所有微軟生產基礎設施和服務採用標準化的安全稽核日誌庫上獲得了重大進展，確保關鍵的遙測數據能被發出，並將日誌至少保留兩年。目前超過 99% 的網路設備已啟用集中式安全日誌的收集與保存，強化整體安全性與合規管理。 
6. 加快回應和修復速度：透過全面即時的補救措施，防止內外發現的漏洞被利用。我們在微軟內部改進了應對關鍵雲漏洞的應對時間，將關鍵雲端漏洞以常見漏洞與暴露（CVE）的形式公開，以提高透明度。我們還成立了「客戶安全管理辦公室」（CSMO），以改善安全事件的公共訊息發布並增強客戶互動。 

推動持續改進，並建立新的治理機制 

安全未來倡議使微軟能夠具體實施所需的修正，將安全性視為第一優先考量。此外，微軟將從過去的資安事件當中學習經驗，並將其反饋到我們的安全標準中，以實現大規模的安全設計和營運措施。 

微軟正積極實施由資安長（CISO）引領的新安全治理框架；其中包括工程團隊將與新設立的副資安長之間保持緊密合作，共同負責監督 SFI、管理風險並直接向高階領導團隊報告進度。此外，鑒於威脅情報的重要性，微軟也將國家級行動和威脅獵捕能力等相關內容整合至 CISO 組織當中。 

持續灌輸安全第一的文化，建構一個更安全的未來 

文化只能透過日常的行為來加強；安全就如同一項團隊運動，當打破組織間的框架時才能有效的實踐，更需要建立一個跨越國界、產業、民間企業與公家機構的強大合作關係，進而提升整體資安防禦力。微軟的存在是建立在信任的基礎之上，作為軟體、基礎架構和雲服務的全球供應商，我們背負重大的責任將安全視為首要任務，並持續改進與調整策略，以因應日益嚴峻的網路威脅環境，保護全球客戶的數位安全。 

 

本文亦刊登至：工商時報 名家廣場