Airpods

マイクロソフトは、上級役員報酬の一部をセキュリティ関連とし、製品グループに副CISOを追加する予定

マイクロソフトは、上級役員報酬の一部をセキュリティ関連とし、製品グループに副CISOを追加する予定

トッド・ビショップ

マイクロソフトのセキュリティ担当エグゼクティブバイスプレジデント、チャーリー・ベル氏が2022年のGeekWireサミットで講演。(GeekWire Photo / Dan DeLong)

マイクロソフトは、政府指導者や大手顧客からの圧力が高まる中、一連の重大なセキュリティ侵害に対処するため、セキュリティ対策、組織構造、役員報酬を変更している。

同社は金曜朝、上級役員の報酬の一部をセキュリティ目標の進捗状況に基づいて決定し、各製品グループに副最高情報セキュリティ責任者(CISO)を設置し、主要プラットフォームと製品チームのチームを「エンジニアリングウェーブ」で結集してセキュリティを全面的に見直すと発表した。

「私たちはセキュリティインシデントから学んだことをセキュリティ標準にフィードバックし、それを大規模な安全な設計と運用を可能にする『舗装された道』として運用化します」と、マイクロソフトセキュリティ担当エグゼクティブバイスプレジデントのチャーリー・ベル氏は、変更点を概説したブログ記事に記した。

ベル氏は、これらの変更は昨年秋に導入されたセキュア・フューチャー・イニシアチブ(SFI)に基づいていると述べた。

「結局のところ、マイクロソフトは信頼の上に成り立っており、この信頼は獲得し、維持しなければなりません」と彼は述べた。「ソフトウェア、インフラ、そしてクラウドサービスのグローバルプロバイダーとして、私たちは世界の安全と安心を守るために自らの役割を果たすという深い責任を感じています。」

この変更は、マイクロソフトのセキュリティ文化を「不十分」と評し、セキュリティを最優先にするよう求めたサイバーセーフティレビュー委員会(CSRB)の批判的な報告書を受けてのものであり、マイクロソフトの共同創業者であるビル・ゲイツ氏が2002年に導入した信頼できるコンピューティングイニシアチブの精神を実質的に復活させるものとなる。

報告書は、セキュリティ対策はマイクロソフトのCEOと取締役会によって「直接かつ綿密に監督」されるべきだと求め、「すべての上級管理職は、すべての必要な変更を最大限の緊急性を持って実施する責任を負うべきだ」と述べた。

CSRB報告書の発表後、オレゴン州のロン・ワイデン上院議員は、マイクロソフト社の「混乱したサイバーセキュリティ慣行」を理由に、米国政府のマイクロソフトソフトウェアへの依存を減らすことを目的とした法案を提出した。

ベル氏は、マイクロソフトは金曜日に発表した変更の一環として、注目を集めたサイバー攻撃から学んだ教訓に加えて、「CSRB からの最近の勧告を取り入れている」と書いている。

金曜日に発表された報酬変更は、マイクロソフトのシニアリーダーシップチーム、つまりCEOサティア・ナデラに報告する最高幹部に適用される。同社は、彼らの報酬のうちセキュリティ関連の報酬がどの程度になるかは明らかにしていない。

ナデラ氏は先週、同社の四半期決算発表でこれらの変更について示唆し、「他のすべての機能や投資よりも、セキュリティを何よりも優先する」と述べた。

GeekWireが入手した金曜朝の社内メモの中で、ナデラ氏はベル氏の公開ブログ投稿で概説されたテーマを拡張し、従業員に指示を与えた。

「セキュリティと他の優先事項の間でトレードオフに直面した場合、答えは明白です。セキュリティを優先してください」と、マイクロソフトのCEOは従業員に語りました。「場合によっては、新機能のリリースやレガシーシステムの継続的なサポートなど、他の業務よりもセキュリティを優先することになるかもしれません。」

ベル氏は投稿の中で、同社の新たな「セキュリティガバナンスフレームワーク」は、12月の役員人事を受けてマイクロソフトのCISOに就任したイゴール・ツィガンスキー氏が率いるマイクロソフトの最高情報セキュリティ責任者(CISO)によって監督されるだろうと記した。

同社によると、製品チームの副CISOはツィガンスキー氏に直接報告することになる。この組織および報告体制の変更は、ブルームバーグ・ニュースが木曜日に初めて報じた。

「このフレームワークは、エンジニアリングチームと新たに設置された副CISOとのパートナーシップを導入し、SFIの監督、リスク管理、そして進捗状況をシニアリーダーシップチームに直接報告する共同責任を負います」とベル氏は記している。「進捗状況は、このエグゼクティブフォーラムで毎週、取締役会で四半期ごとにレビューされます。」

マイクロソフトは今年1月、ロシア政府が支援する「Nobelium」または「Midnight Blizzard」として知られる攻撃者が同社の社内システムと幹部のメールアカウントにアクセスしたことを明らかにしました。さらに最近では、同じ攻撃者がソースコードリポジトリと社内システムの一部にアクセスできたと発表しました。

2023年5月と6月に発生したもう一つの注目された事件では、Storm-0558として知られる中国のハッキンググループが、米国政府高官を含む世界中の500人以上と22の組織のMicrosoft Exchange Onlineメールボックスを侵害したと考えられています。