世界

Microsoft Secure Future Initiative (SFI) 2024 年 9 月のアップデート – Microsoft Canada ニュース センター

9月 23, 2024 / nipponese

1727112354
2024-09-23 15:48:19

執筆者: チャーリー・ベル、マイクロソフト セキュリティ担当エグゼクティブバイスプレジデント

2023年11月、 私たちは立ち上げました 安全な未来のための取り組み (IAS) マイクロソフト、お客様、そして業界のためにサイバーセキュリティ保護を強化するために、2024年5月にこの取り組みを拡大し、業界のフィードバックと独自の洞察を取り入れて、6つの主要なセキュリティの柱に焦点を当てました。この取り組みが始まって以来、私たちは 34,000 IAS の専任エンジニアが、史上最大のサイバーセキュリティ エンジニアリングの取り組みを始めました。本日は、最初の IAS 進捗レポートから重要な最新情報とマイルストーンをご紹介します。

[Lire l’intégralité du rapport d’avancement de l’IAS ici]

何よりも安全を重視

マイクロソフトでは、お客様とコミュニティの未来を守るという独自の責任を認識しています。その結果、マイクロソフトの全員が「 何よりも安全を優先する 「当社は、安全重視の文化を推進する上で大きな進歩を遂げました。主な更新内容は次のとおりです。

  • ガバナンスを改善するために、私たちは今日、 新しいサイバーセキュリティガバナンス協議会 そして 副最高情報セキュリティ責任者(DSI)の任命 主要なセキュリティ機能とすべてのエンジニアリング部門を担当します。CISO の Igor Tsyganskiy が率いる副 CISO は、サイバーセキュリティ ガバナンス カウンシルを構成し、会社の全体的なサイバー リスク、防御、コンプライアンスに責任を負います。
  • セキュリティは、Microsoft の全従業員にとって最優先事項となり、パフォーマンス レビューにも組み込まれます。これにより、すべての従業員と管理者がセキュリティを優先することにコミットし、責任を負うことができるようになり、従業員の IAS への貢献を体系化し、その影響を称える手段にもなります。
  • 我々は持っています 立ち上げた セキュリティスキルアカデミー世界中のすべての従業員向けに厳選された、セキュリティに特化したトレーニングのパーソナライズされた学習体験。アカデミーでは、役割に関係なく、従業員が日常業務でセキュリティを優先し、Microsoft のセキュリティ保護における自分の直接的な役割を認識できるようにします。
  • また、最高レベルの説明責任と透明性を確保するために、マイクロソフトのリーダーシップチームはIASの進捗状況を毎週レビューし、四半期ごとにマイクロソフトの取締役会に最新情報を提供しています。さらに、マイクロソフトのリーダーシップチームは 安全パフォーマンスが報酬に直接結びつくようになった

[Explorez plus en détails les mises à jour sur la culture et la gouvernance dans le rapport complet]

柱のハイライト: サイバーセキュリティへの包括的なアプローチ

また、サイバーセキュリティの重点分野を代表する 6 つの主要な柱すべてで進歩を遂げました。これらの柱は、マイクロソフト全体のセキュリティ水準を引き上げ、セキュリティ環境の進化する要求を満たすための継続的な取り組みの指針となっています。以下は、これらの分野における最新の更新情報です。

  • 個人情報と秘密の保護: 米国政府およびパブリック クラウドの Microsoft Entra ID と Microsoft サービス アカウントを更新し、Azure マネージド ハードウェア セキュリティ モジュール (HSM) サービスを使用してアクセス トークン署名キーを自動的に生成、保存、ローテーションできるようにしました。セキュリティ トークンの一貫した検証を提供する標準の Identity SDK の広範な採用を継続的に推進しました。この標準化された検証は、Microsoft 所有のアプリケーション用に Microsoft Entra ID によって発行されたトークンの 73% 以上をカバーしています。標準の Identity SDK で標準化されたセキュリティ トークンのログ記録を拡張して脅威の追跡と検出をサポートし、広範な採用に先立っていくつかの重要なサービスでそれらを有効化しました。運用環境でのフィッシング耐性のある資格情報の使用の強制を完了し、生産性環境の Microsoft 社内ユーザーの 95% に対してビデオ ユーザー検証を実装して、セットアップ/回復中のパスワード共有を排除しました。
  • 守る テナントを分離し、本番システムを分離します。 すべての本番環境および生産性テナントでアプリケーション ライフサイクル管理の完全な反復を実行し、730,000 個の未使用アプリケーションを削除しました。575 万個の非アクティブなテナントを削除し、潜在的な攻撃対象領域を大幅に削減しました。安全なデフォルトと厳格なライフタイム管理を適用した、テストおよび実験テナントの作成を効率化する新しいシステムを実装しました。過去 3 か月間で、15,000 台を超える本番環境対応のロックダウンされた新しいデバイスを導入しました。
  • ネットワークを保護する: 運用ネットワーク上の物理資産の 99% 以上が中央インベントリ システムに登録されており、所有権とファームウェア コンプライアンスの追跡によって資産インベントリが強化されています。バックエンド接続を備えた仮想ネットワークは、Microsoft の企業ネットワークから分離されており、包括的なセキュリティ レビューを受けて横方向の移動が削減されています。お客様が独自の展開を安全に行えるように、管理ポリシーなどのプラットフォーム機能を拡張し、Platform-as-a-Service リソースのネットワーク分離を容易にしています (パース) 、ストレージ、SQL、Cosmos DB、Key Vault など。
  • エンジニアリングシステムの保護: 現在、商用クラウドの運用アクセスの 85% で集中管理されたアクセス モデルが使用されているため、展開の一貫性、効率性、信頼性が向上しています。個人アクセス トークンの有効期間を 7 日間に短縮し、すべての Microsoft 社内エンジニアリング リポジトリへの SSH アクセスを無効にし、エンジニアリング システムにアクセスできる昇格されたロールの数を大幅に削減しました。また、ソフトウェア開発コード フローの重要なボトルネックに対して、存在証明チェックを実装しました。
  • 脅威を監視および検出します。 マイクロソフトのすべての運用インフラストラクチャとサービスがセキュリティ監査ログの標準ライブラリを採用し、関連するテレメトリが確実に出力され、ログが少なくとも 2 年間保持されるようにする取り組みにおいて、大きな進歩を遂げました。たとえば、現在の署名キーのライフサイクル全体にわたるすべてのセキュリティ監査イベントを網羅する ID インフラストラクチャ セキュリティ監査ログの集中管理と 2 年間の保持期間を確立しました。同様に、ネットワーク デバイスの 99% 以上で、集中的なセキュリティ ログの収集と保持が有効になっています。
  • 応答と修正を高速化: マイクロソフト全体のプロセスを更新し、重大なクラウドの脆弱性を軽減する時間を短縮しました。透明性を高めるため、顧客の対応が不要であっても、重大なクラウドの脆弱性を Common Vulnerabilities and Exposures (CVE) として公開し始めました。セキュリティ インシデントに関するパブリック メッセージングと顧客エンゲージメントを改善するため、Customer Security Management Office (CSMO) を作成しました。

    • [Pour lire plus détails sur les six piliers dans le rapport complet]

    セキュリティへの取り組みを再確認

    セキュリティにおいては、継続的な進歩が「完璧」よりも重要であり、これは IAS の目標達成に私たちが投入しているリソースの深さに反映されています。継続的に保護を強化し、レガシー資産や非準拠資産を排除し、監視対象の残りのシステムを特定するために私たちが行っている共同作業は、私たちの成功の決定的な尺度です。将来を見据えて、私たちは改善に全力を尽くします。IAS は進化を続け、新たな脅威に適応し、セキュリティ プラクティスを改良していきます。透明性と業界との連携に対する私たちの取り組みは揺るぎないものです。今年初め、マイクロソフトは米国サイバーセキュリティおよびインフラストラクチャ セキュリティ庁 (CISA) の Secure by Design コミットメントの主要な支持者になりました。 https://www.cisa.gov/resources-tools/resources/cisa-secure-design-pledge 当社の製品とサービスのあらゆる側面にセキュリティを組み込むという取り組みを強化します。さらに、サイバーセキュリティ レビュー ボード (CSRB) からの推奨事項を継続的に取り入れ、サイバーセキュリティへのアプローチを強化し、回復力を向上させます。

    これまで私たちが行ってきた取り組みは、ほんの始まりにすぎません。サイバー脅威は今後も進化し続けると私たちは認識しており、私たちもそれに合わせて進化していかなければなりません。継続的な学習と改善の文化を育むことで、セキュリティが単なる機能ではなく基盤となる未来を築いていきます。

    #Microsoft #Secure #Future #Initiative #SFI #年 #月のアップデート #Microsoft #Canada #ニュース #センター