マイクロソフトのセキュリティ強化への取り組み：Secure Future Initiativeの拡大とサイバー脅威への対応

マイクロソフトがセキュリティに対する取り組みを一層強化していることに焦点を当て、同社が推進する「Secure Future Initiative」の拡大を発表しました。
セキュリティを製品開発の最前面に据え、サイバー脅威に対応するために、「設計時」「デフォルト」「運用時」で、3つセキュリティ原則を掲げています。

また、責任あるセキュリティ対策として、6つの柱に基づく具体的な行動や、上級リーダーシップチームの報酬への反映を導入。
組織全体でのセキュリティ文化の醸成やガバナンスの強化も重要視しており、CISO主導の下でセキュリティガバナンスフレームワークを設置しています。

高まるサイバー脅威への迅速かつ効果的な対策を進めるマイクロソフトの姿勢は、世界のセキュリティ水準を向上させ、ユーザーの信頼を得ることに大きく貢献していくと期待されます。

マイクロソフト、セキュリティ強化のための取り組みを拡大

マイクロソフトは、セキュリティを最優先事項と位置づけ、製品やサービスの開発においてセキュリティを第一に考える「Secure Future Initiative（SFI）」の取り組みを拡大しています。

これは、昨年7月の「Storm-0558サイバー攻撃」や「今年1月に報告されたMidnight Blizzard攻撃」など、深刻な脅威に対応するためのものです。

SFIでは、「設計時のセキュリティ重視（Secure by design）」、「デフォルトでのセキュリティ（Secure by default）」、「運用のセキュリティ（Secure operations）」の3つの原則を掲げており、製品やサービスの設計段階からセキュリティ機能が組み込まれていることが求められます。

また、セキュリティ強化のための6つの柱があり、それに基づいた具体的な行動が取られています。
さらに、セキュリティに関する進捗は、会社の上級リーダーシップチームの報酬にも影響を与えることとし、セキュリティへの取り組みに責任を持って対応しています。

「セキュアな未来に向けた多層的セキュリティ戦略」

マイクロソフトのセキュリティ強化に向けた6つの柱

マイクロソフトは6つのセキュリティ強化の柱に沿って、さまざまな具体的な行動を計画しています。

1. 「アイデンティティと秘密情報の保護」
   不正アクセスのリスクを減らすための基準を適用し、ユーザーやアプリケーションの認証を強化しています。
   
   
2. 「テナントとプロダクションシステムの保護」
   セキュリティのベストプラクティスに基づき、Microsoftの全てのテナントとプロダクション環境を保護しています。
   
   
3. 「ネットワークの保護」
   Microsoftのプロダクションネットワークの隔離と改善を進めており、顧客がクラウド内でリソースを安全に利用できるようにしています。
   
   
4. 「エンジニアリングシステムの保護」
   ソフトウェア資産とコードのセキュリティを常に向上させています。
   
   
5. 「脅威の監視と検出」
   Microsoftのインフラとサービスに対する脅威を包括的にカバーし、自動的に検出しています。
   
   
6. 「対応と修復の加速」
   外部および内部から発見された脆弱性の悪用を防ぐため、迅速な修復に取り組んでいます。

マイクロソフトにおけるセキュリティ文化の醸成とガバナンスの強化

マイクロソフトでは、セキュリティ文化の醸成とガバナンスの強化にも力を入れています。

セキュリティは組織の垣根を越えたチームスポーツであり、日々の行動を通じて文化を強化する必要があります。
このため、マイクロソフトでは、組織全体でセキュリティを考慮した問題解決に取り組むための定期的な運用会議を実施しています。

また、新しいセキュリティガバナンスフレームワークをChief Information Security Officer（CISO）が主導し、新たに設けられたDeputy CISOがSFIの監督、リスク管理、進捗の報告を担当します。

この取り組みは、企業の上級リーダーシップチームや取締役会で定期的にレビューされます。最後に、脅威インテリジェンスの重要性を踏まえ、国家レベルのアクターや脅威ハンティングの能力をCISO組織に統合しています。

マイクロソフトは、世界を安全に保つために自らの役割を果たし、信頼を獲得し維持することを約束しています。

出典:Microsoft