社内メモ:マイクロソフトCEOサティア・ナデラがセキュリティに関する新たな指示を発表
トッド・ビショップ著
これは、マイクロソフトのCEOであるサティア・ナデラ氏が5月3日金曜日に従業員に送った同社の新しいセキュリティ対策に関する社内メモの本文であり、このトピックに関するマイクロソフトのセキュリティリーダーであるチャーリー・ベル氏の公開ブログ投稿を拡張したものである。
GeekWireは独自にこのメモを入手しました。関連記事もご覧ください。
本日は、当社の将来にとって極めて重要なこと、つまり、何よりもセキュリティを優先することについてお話ししたいと思います。
マイクロソフトは信頼の上に成り立っており、私たちの成功は信頼を獲得し維持することにかかっています。私たちは、世界がイノベーションを起こすための、最も安全で信頼できるプラットフォームを構築するという、またとない機会と責任を担っています。
2023 年夏の Storm-0558 サイバー攻撃に関する米国国土安全保障省サイバー安全審査委員会 (CSRB) の最近の調査結果は、当社とお客様が直面している脅威の深刻さと、ますます巧妙化する脅威の主体から防御する当社の責任を強調しています。
昨年11月、私たちはこの責任を念頭に、Secure Future Initiative(SFI)を立ち上げました。このイニシアチブは、新製品と既存インフラの両方におけるサイバーセキュリティ保護の強化に向けて、社内のあらゆる部門を結集するものです。私はこのイニシアチブを誇りに思うとともに、その実現に尽力してきた皆様に感謝の意を表します。しかし、私たちは更なる努力を重ねなければなりません。
今後、当社は組織全体をSFIにコミットさせ、次の3つの基本原則に基づいたアプローチでこの取り組みを強化していきます。
- 設計によるセキュリティ:あらゆる製品やサービスを設計する際には、セキュリティが最優先されます。
- デフォルトで安全:セキュリティ保護はデフォルトで有効化され、強制されるため、追加の作業は必要なく、オプションではありません。
- 安全な運用:セキュリティ制御と監視は、現在および将来の脅威に対応するために継続的に改善されます。
これらの原則は、アイデンティティとシークレットの保護、テナントの保護と運用システムの分離、ネットワークの保護、エンジニアリング システムの保護、脅威の監視と検出、対応と修復の迅速化という、SFI の柱のあらゆる側面に適用されます。CSRB のレポートで推奨されているものも含め、これらの柱のそれぞれに必要な具体的な全社的なアクションを共有しました。詳細については、こちら [内部リンク省略] をご覧ください。マイクロソフト全体で、これらの標準、ガイドライン、要件を実装および運用化するために動員し、採用と報酬の決定に新たな側面を加えます。さらに、セキュリティ計画とマイルストーンの達成に向けた進捗状況に基づいて上級管理職チームの報酬の一部を決定し、説明責任を徹底します。
この課題には、技術的にも運用的にも厳格に取り組み、継続的な改善に重点を置かなければなりません。コード1行から顧客やパートナーのプロセスに至るまで、私たちが取り組むあらゆるタスクは、私たち自身のセキュリティとエコシステム全体のセキュリティを強化する機会となります。これには、ミッドナイトブリザードの事例のように、敵対者やその能力の高度化から学ぶことも含まれます。また、常に監視している数兆もの固有のシグナルから学び、全体的な態勢を強化することも重要です。さらに、官民両セクターにおける、より強固で組織的な連携も重要です。
セキュリティはチームスポーツであり、SFI の加速は当社のセキュリティ チームの最優先事項であるだけでなく、全員にとっての最優先事項であり、お客様の最大のニーズでもあります。
セキュリティと他の優先事項のトレードオフに直面した場合、答えは明確です。セキュリティを優先することです。場合によっては、新機能のリリースやレガシーシステムの継続的なサポートなど、他の業務よりもセキュリティを優先することになります。これは、プラットフォームの品質と機能の両方を向上させ、お客様のデジタル資産を保護し、すべての人にとってより安全な世界を構築するための鍵となります。
サティア
