マイクロソフトは信頼を取り戻す必要がある

世界最大のテクノロジー企業はセキュリティ上の問題を抱えています。 ここ数年、一連の注目を集めるセキュリティインシデントが Microsoft を揺るがしており、サイバー安全審査委員会の痛烈な報告書は最近、「Microsoft のセキュリティ文化は不十分であり、徹底的な見直しが必要である」と結論付けています。 Microsoft 社内では、今回の攻撃が同社への信頼を大きく損なう可能性があると懸念している。

情報筋によると、Microsoft のエンジニアリング チームとセキュリティ チームは、SolarWinds 事件の背後にいるのと同じロシア政府支援のハッカーによる新たな攻撃に対応するために慌てて対応しているという。 Nobelium または Midnight Blizzard として知られるこのハッカー グループは、昨年 Microsoft の上級幹部チームの一部のメンバーの電子メール アカウントをスパイし、最近ではソース コードを盗むことさえできました。

現在進行中の攻撃はマイクロソフト社内の多くの人々を恐怖させており、ハッカーが盗んだ情報を徹底的に調べてさらなる弱点を見つけようとしている間、チームはマイクロソフトの防御を改善し、さらなる侵害を防ぐことに取り組んでいる。 セキュリティは常にいたちごっこですが、ハッカーが通信を覗き見している場合、セキュリティはさらに難しくなります。

ただし、これらは一連のセキュリティ侵害の最新情報にすぎません。 中国政府のハッカーは、2021 年初めに Microsoft Exchange サーバーをゼロデイエクスプロイトで標的にし、電子メール アカウントにアクセスし、企業がホストするサーバーにマルウェアをインストールできるようにしました。 昨年、中国のハッカーが Microsoft Cloud の悪用により米国政府の電子メールを侵害しました。 この事件により、ハッカーらは 22 の組織のオンライン電子メール受信箱にアクセスすることができ、国家安全保障に携わる米国政府職員を含む 500 人以上に影響を与えました。

米国サイバー安全審査委員会によって「一連のセキュリティ障害」と形容された昨年の米国政府の電子メール攻撃は、同委員会によると「防止可能」だったという。 また、Microsoft 社内の多くの意思決定が「企業のセキュリティ投資と厳格なリスク管理の優先順位を下げる企業文化」に寄与していることも判明しました。 Microsoft は、中国のハッカーがトークンを偽造して機密性の高い電子メールの受信箱にアクセスできるようにするためのキーがどのように盗まれたのかをまだ 100% 確信していません。

これらの攻撃に対する Microsoft の主な対応策は、ソフトウェアとサービスの設計、構築、テスト、運用方法の徹底的な見直しである新しい Secure Future Initiative (SFI) です。 ロシアの電子メールスパイ行為が明らかになる前の 11 月に発表された SFI は、Microsoft が 2004 年にセキュリティ開発ライフサイクル (SDL) を開始して以来、同社のセキュリティへの取り組みに対する最大の変更となるはずです。SDL 自体は、クラッシュした壊滅的な Blaster ワームへの対応でした。 2003 年に Windows XP マシンが登場し、同社はセキュリティにさらに重点を置くようになりました。

公には、この新しい Secure Future Initiative の成果はほとんど明らかになっていませんが、舞台裏では Microsoft は顧客の信頼を失うことを非常に懸念しています。 関係者によると、今月初めの社内リーダー会議で、Microsoft CEOのサティア・ナデラ氏と社長のブラッド・スミス氏は、何よりもセキュリティを優先する必要性について語ったという。 Microsoft の最上級レベルが懸念しているのは、こうしたセキュリティ問題によって信頼が損なわれており、その結果として顧客の信頼を取り戻さなければならないことだ。

Microsoft のエンジニアリング リーダーは現在、新機能や製品の迅速な出荷よりもセキュリティを優先していると聞いています。 これは、サイバー安全性審査委員会がマイクロソフトに対し「セキュリティが大幅に改善されるまで、社内のクラウド インフラストラクチャと製品スイート全体の機能開発の優先順位を下げる」べきだと述べてからわずか数週間後のことだ。

現在、Microsoft 社内では AI とセキュリティの両方が 2 つの最大の焦点となっていると聞いています。特に、同社の AI テクノロジの急速な展開により、潜在的なセキュリティの問題がさらに増大しているためです。 Microsoft の顧客がクラウドに移行し AI を採用することが増えるにつれ、セキュリティの必要性が高まっています。 Microsoft はこのクラウド移行の結果、200 億ドルのセキュリティ ビジネスを構築しましたが、その主な基盤は既存のサブスクリプションに加えてセキュリティをアップセルすることにあります。

長年マイクロソフトの記者を務めているメアリー・ジョー・フォーリー氏は今週初め、マイクロソフトに対し「プレミアム製品としてのセキュリティの販売をやめる」よう求めた。 Foley 氏は、特定のセキュリティ ツールが Microsoft 365 サブスクリプションのアドオンとしてのみ利用可能であること、一部の顧客はこれまで、結果としてインシデントを検出できる可能性のある重要なログ情報を確認できなかったことを強調しています。

これは、元ホワイトハウスサイバー政策上級部長、AJ・グロット氏も同様の意見だ。 「数年前のSolarWindsのエピソードに戻ると… [Microsoft] 本質的には連邦政府機関にログ記録機能をアップセルするものだった」とグロット氏はインタビューで語った。 登録簿 最近。 「その結果、政府機関がSolarWinds侵害の危険にさらされていることを特定するのは非常に困難でした。」

Microsoft はログ情報に関する苦情に対応し、昨年ログの利用可能期間を 90 日から 180 日に延長しましたが、組織が Microsoft のセキュリティおよびコンプライアンス機能のほとんどを必要とする場合は、依然として高価な Microsoft 365 E5 サブスクリプションを選択する必要があります。

Microsoftは最近、ロシアのハッカーがソースコードを盗んだことを明らかにしなければならなかったにもかかわらず、その数日後、同社はCopilot for Securityの販売を従量課金制で開始すると発表した。 生成型 AI チャットボットは、サイバーセキュリティ専門家が脅威から保護できるように設計されていますが、企業が Microsoft のセキュリティ固有の AI モデルを使用したい場合は、1 時間あたり 4 ドルを支払う必要があります。

このアップセルと組織が Microsoft のソフトウェアに大きく依存していることは、議員たちも気づかないわけではありません。 米国政府はマイクロソフトのソフトウェアに大きく依存しており、電子メール侵害によりその関係がさらに注目されるようになった。 「米国政府のマイクロソフトへの依存は、米国の国家安全保障に重大な脅威をもたらしている」とロン・ワイデン上院議員（民主党、オレゴン州）は声明で述べた。 有線。 ワイデン氏はマイクロソフトのサイバーセキュリティへの取り組みを長年批判してきたが、 呼びかける 昨年の米国政府の電子メール侵害後の連邦政府の調査。

今後数カ月間、セキュリティ慣行に対する批判の高まりに Microsoft がどのように対応するかが明らかになるだろう。 サイバー安全審査委員会は Microsoft のセキュリティ文化が壊れていると考えていますが、Microsoft はこれに同意しません。 「私たちはこの特徴付けにはまったく同意しません」とマイクロソフトの連邦セキュリティ事業の最高技術責任者であるスティーブ・フェール氏は声明で述べた。 有線。 「しかし、私たちはまだ完璧ではなく、やるべきことがあるということには同意します。」

ただし、Microsoft の行動が変わるのは、それが強制された場合のみであると、Grotto 氏は次のように主張しています。 登録簿 インタビュー。 「この精査によって、他のところに目を向けたいと考えている顧客の行動に変化が生じない限り、Microsoft が変化するインセンティブは本来あるべきほど強力にはならないだろう。」