Iphone

元アマゾン幹部がマイクロソフトの複雑なサイバーセキュリティの遺産を引き継ぎ、「現代の最大の課題の一つ」の解決を目指す

元アマゾン幹部がマイクロソフトの複雑なサイバーセキュリティの遺産を引き継ぎ、「現代の最大の課題の一つ」の解決を目指す
元アマゾン ウェブ サービス幹部のチャーリー・ベル氏が、現在マイクロソフトが新たに設立した 1 万人規模のセキュリティ エンジニアリング組織のリーダーに就任しています。(マイクロソフトの写真)

「あなたのコードは攻撃されるでしょう。」

今日では明白なこの警告は、20年前、マイクロソフトのセキュリティエンジニアリングリーダーであるマイケル・ハワード氏とデビッド・ルブラン氏による著書『 Writing Secure Code』を読んだ多くのソフトウェア開発者にとっては、率直な警鐘だった。

ビル・ゲイツもその一人だった。彼は477ページに及ぶ技術書を週末で読み終え、レドモンドに戻り、マイクロソフトのソフトウェア開発のあり方を変革しようと決意した。新機能よりもセキュリティと信頼性を優先するのだ。

「最終的には、当社のソフトウェアは根本的に非常に安全になり、顧客が心配する必要もなくなるはずです」とゲイツ氏は書いている。

20 年経った今、マイクロソフトの共同設立者の「信頼できるコンピューティング」メモのこの一文は、現実がそれほど恐ろしくなければ古風に思えるだろう。ランサムウェア、ソフトウェア サプライ チェーン攻撃、プライバシー侵害、国家によるハッキング、マルウェア、ワーム、敵対的機械学習などは、迫り来る脅威のほんの一部に過ぎない。

マイクロソフトのソフトウェアのセキュリティは、ゲイツ氏のビジョンをはるかに下回っている。先月、画期的なメモの1周年を記念して、マイクロソフトはWindowsをはじめとする製品の約120個のセキュリティホールを修正した。そのうち9つは重大なもので、1つは「ワーム化可能」で、人間の介入なしにコンピューター間で攻撃が拡散する可能性があるものだった。

チャーリー・ベルは、エンジニアリングにおける大きな挑戦を好むことで知られています。彼はまさに理想の仕事を見つけたようです。これ以上大きな仕事は想像しにくいでしょう。

元アマゾン ウェブ サービス幹部は、昨年秋にマイクロソフトに移籍し、シアトル地区のテクノロジー大手との間で数週間に及ぶ交渉の対象となったが、現在はマイクロソフトのエグゼクティブ バイスプレジデントとしての職務に就いてほぼ 4 カ月になり、新しいセキュリティ、コンプライアンス、アイデンティティ、および管理組織を率いている。

社内の既存グループを統合した新組織は、既存および空席を含めて1万人の人員を擁し、このテクノロジー大手の約20万人の従業員の5%以上を占める。

マイクロソフトCEOのサティア・ナデラ氏は、同社の新たなセキュリティ組織が「当社と業界にとっての新たな大きな挑戦」に取り組んでいると述べた。(GeekWireファイル写真)

その主な焦点は、製品チーム内のセキュリティ グループの管轄である同社の個々の製品の中核となるセキュリティではなく、セキュリティ製品とサービスの開発と提供になります。

しかし、マイクロソフトの内外の人々は、ベル氏が新鮮な視点とマイクロソフトCEOサティア・ナデラ氏の指示を受けて入社した尊敬されるリーダーとして、同社とサイバーセキュリティ全体に意味のある変化をもたらしてくれることを期待している。

「当社と業界にとっての次の大きな課題は、顧客の異機種混在環境におけるデジタル技術プラットフォーム、デバイス、そしてクラウドのセキュリティ確保です」と、ナデラ氏はベル氏の立場を発表する社内メモに記した。「これは私たちが目指す大胆な野心であり、チャーリー氏をマイクロソフトに惹きつけた理由でもあります。」

ベル氏は自身の新しい仕事についてリンクトインに投稿し、マイクロソフトに入社したきっかけは「現代の最も偉大な課題の一つに挑戦し、世界を「デジタル中世」から「デジタル文明」へと導こうとする」ことだったと書いている。

同氏は、マイクロソフトは「これを実現できる立場にある唯一の企業」だと書いている。

「顧客の不満が高まっている」

他の人々が指摘する理由の一つは、マイクロソフト自身がこの問題に関与していることだ。

「マイクロソフトは昨今、数多くの問題の根本原因となっている…そして人々は『これを修正しろ』と言っている。」

アレックス・グーナレス、ポリバース

「マイクロソフトは昨今、数多くの問題の根源にあります。顧客の不満は膨大で、『とにかくこれを直してくれ』という声が上がっています」と、ワシントン州ベルビューに拠点を置くセキュリティ技術企業Polyverseの創業者兼CEO、アレックス・グーナレス氏は語る。グーナレス氏は2003年から2006年までマイクロソフトでゲイツ氏の技術顧問を務めていた。

グナレス氏は、マイクロソフトはサイバーセキュリティにおける多くの主要な課題に対処するために必要な技術の多くを既に保有していると考えていると述べた。かつてゲイツ氏は、マイクロソフト全体の利益のために社内の様々な取り組みをまとめる推進役だったとグナレス氏は述べた。ベル氏は現在、同社のサイバーセキュリティに関する取り組みを統括する上で、同様の役割を果たすことができるだろう。

「チャーリーは、物事を成し遂げるタイプの人間としてよく知られています」とグナレス氏は述べた。「彼のような才能と地位を持つ人物を抜本的な改善の推進役として迎え入れるのは、マイクロソフトにとって本当に良い決断だと思います。」

しかし、ビル・ゲイツの時代とは大きく異なります。同社はもはや、単に安全なコードを書こうとしているだけではありません。セキュリティ上の脅威ははるかに大きくなっており、それに対処するためのマイクロソフトの熱意も高まっています。同社は、顧客がいつ、誰のソフトウェアやサービスを利用しているかに関わらず、顧客を守るためのセキュリティとソフトウェアを提供することで、幅広い事業を構築したいと考えています。

実際、この事業はすでに活況を呈しています。先週発表された記録的な業績報告の中で、同社は過去12ヶ月間のセキュリティ製品の売上高が150億ドルを超え、前年比45%増となったと発表しました。

これは、その期間のマイクロソフトの総収益の 8% を超え、市場価値で最大の公開独立 IT セキュリティ企業である Palo Alto Networks の年間収益の 3 倍に相当します。

多くのデバイス、プラットフォーム、クラウドにわたってセキュリティを提供するというこの探求は、マイクロソフトの新しいセキュリティ エンジニアリング組織を率いるベル氏の仕事の焦点です。

収益と責任

しかし、同社のより大きな計画の中で、この取り組みは当然の疑問を提起する。マイクロソフトは、自社のソフトウェアの重大な欠陥を定期的に修正しているにもかかわらず、セキュリティでこれほどの利益を上げることをどのように正当化できるのか?

ドイツ銀行のアナリスト、ブラッド・ゼルニック氏はマイクロソフトの決算説明会でこの問題を取り上げ、ナデラ氏に「マイクロソフトがサイバーセキュリティを自社の責任とみなす範囲と、継続的に収益化できる商業的機会とみなす範囲」について説明するよう求めた。

「我々は自らの責任を非常に重く意識するつもりだ。」

マイクロソフトCEOサティア・ナデラ

ナデラ氏は、マイクロソフトの「基本的な責任」の一つは製品にセキュリティを組み込むことだと認め、「当社は責任を非常に重く認識していく」と述べた。

「同時に、顧客の異機種混在のデジタル資産全体を保護できることで、セキュリティ上のチャンスが得られると考えています」と同氏は付け加えた。

「私たちの収益化は、現実世界が均質なマイクロソフトのインフラストラクチャの世界ではないことを真に認識することです。それはマルチクラウド、マルチプラットフォームの世界です」とナデラ氏は述べた。「そして、私たちは最善のソリューション、スイート、そしてオファリングを提供しているこれらの側面を確実に収益化していきます。」

マイクロソフトには直近の四半期時点で、同社のセキュリティソリューションを使用している法人顧客が 715,000 社以上あり、ナデラ氏は、複数のベンダーのソリューションを実装している企業と比べて 60% のコスト削減が可能であると述べた。

同社はベル氏へのインタビューを拒否した。マイクロソフトのセキュリティチームは、GeekWireの質問に詳細に回答し、顧客向けセキュリティ対策への支出を今後5年間で200億ドルに増額するという約束を含め、技術、ツール、そして人材への幅広い投資について概説した。

マイクロソフトのシステムは、ランサムウェア攻撃の着実な増加を検出しました。(マイクロソフト デジタル ディフェンス レポート、2021 年 10 月より)

マイクロソフトは「前例のない時代に非対称の戦い」を戦っていると述べている。

同社によると、2020年後半に初めて発生したSolarWindsのソフトウェアサプライチェーン攻撃に加え、昨年はランサムウェアが150%、フィッシングが600%以上増加し、パスワード攻撃は1秒あたり579件の割合で発生したという。

「攻撃の状況は非常に巧妙化しており、頻繁に発生しています。私たちにはやるべきことが山積しています」と、マイクロソフトのセキュリティ、コンプライアンス、アイデンティティ、プライバシー担当コーポレートバイスプレジデント、ヴァス・ジャッカル氏は述べた。

同社は、セキュリティ対策の主要優先事項として以下を挙げています。

  • ソフトウェア、クラウド サービス、ファームウェア、ハードウェアを設計段階から安全にします。
  • あらゆるアクティビティが違反であると想定して、デフォルトで必要最小限のアクセスに設定され、ユーザーを明示的に検証する「ゼロ トラスト」アプローチを使用します。
  • 複数のクラウド、プラットフォーム、サードパーティ アプリにわたって顧客を保護します。
  • AI と自動化を使用して脅威を監視および分析し、毎日数兆もの信号を処理します。
  • サイバーセキュリティに関して他のセキュリティベンダーやパートナーと緊密に連携します。

マイクロソフトには、ボットネット、ランサムウェア攻撃グループ、その他のオンライン犯罪ネットワークを特定、追跡、そして撲滅してきた豊富な実績を持つデジタル犯罪対策ユニットがあります。また、同社は選挙の公正性確保にも取り組んでいます。

マイクロソフトはソフトウェアの脆弱性への対応において決して孤立しているわけではありませんが、同社のテクノロジーは長年にわたり多くの企業の基盤となってきました。同社はクラウドへの移行によってその役割を新たな時代へと拡大しました。PC市場の復活は、同社の存在意義をさらに高めています。

「マイクロソフトは放火犯、消防署、建築検査官のすべてを一つにまとめた存在だ。」

ライアン・カレンバー、プルーフポイント

マイクロソフトは、ソフトウェアとセキュリティ製品の両方を提供している点で独自性があると認識しています。競合他社の中には、この二重の役割は両方の立場を担うことに相当すると考える人もいます。

「同社は一方で脆弱性を流布し、マルウェアをホストし、他方で同じ脆弱性や脅威からユーザーを『保護』するために料金を請求している」と、全米サイバーセキュリティアライアンス(NCSA)の理事であり、エンタープライズセキュリティ分野でマイクロソフトと競合するProofpointのエグゼクティブバイスプレジデント、ライアン・カレンバー氏は述べている。「世界で最も広範なインシデント対応の実績も加えると、マイクロソフトは放火犯、消防署、建築検査官を全て一つにまとめたようなものだ」

もうひとつの問題は、マイクロソフトが高度なセキュリティ ソリューションを最も高価なエンタープライズ ライセンス層に組み込むという慣行です。

「セキュリティ機能を利用するには追加料金を支払わなければならないという状況になってしまいました。これは正直言って非常に残念なことです」と、独立系調査会社Directions on Microsoftのリサーチアナリスト、ウェス・ミラー氏は述べた。「そのため、セキュリティ機能のために追加料金を支払う意思がない、あるいは支払えない顧客は、取り残されてしまうのです。」

ゲイツ氏がメモを発表した当時、マイクロソフトでウィンドウズ・プログラム・マネージャーとして働いていたミラー氏は、同社の最近のセキュリティ関連収益の伸びを誇示する発表には矛盾があると述べた。

「現実的に言えば、より大きなセキュリティ問題を考えると、儲けを自慢するべきではない」と彼は述べた。「Windows 11に何が盛り込まれていようとも、マイクロソフトはランサムウェア対策に十分な対策を講じていない。実際、十分な対策を講じていない」

ランサムウェア問題における同社の役割は、元マイクロソフトのシニア脅威インテリジェンスアナリストであるケビン・ボーモント氏が昨年投稿した詳細な記事で明らかになっている。ボーモント氏は、ソフトウェアの脆弱性へのパッチ適用がIT部門にもたらす負担を過小評価している人が多いと指摘する。

ボーモント氏は、エンタープライズライセンスの問題も指摘した。

「マイクロソフト製品の基本的な安全な使用は、現在、ランサムウェア集団による世界的な犯罪ネットワークの活性化に寄与しているが、セキュリティの貧困ラインを設けるべきではない。まさにそれが、これらの集団が悪用している重要な要素なのだ」と彼は記した。

同氏はさらに、「マイクロソフトは、自社製品における製品変更を推進し、セキュリティ業界と世界の技術リスク環境の両方を真に変えることで、セキュリティ市場をリードしながらも利益を上げることができる」と付け加えた。

マイクロソフト社長のブラッド・スミス氏は、昨年秋にGeekWireとのインタビューで、同社のライセンス体系は、企業顧客にマイクロソフトのセキュリティソリューションと他社のセキュリティソリューションのどちらを利用するかの選択肢を提供したいという思いから生まれたものだと述べた。スミス氏は、レガシーITインフラの多様性が極めて高いことを考えると、これは特に企業のセキュリティにおいて重要だと述べた。

「ある程度の複雑さがあり、じっくり考えなければなりません」とスミス氏は述べた。「おそらく、その境界線は時間とともに変わっていくでしょう。…チャーリー・ベルがその解決策を見つけてくれると信じています。そして、それはマイクロソフトとお客様だけでなく、国と世界にとっても良いこととなるでしょう。」

安全ジャケットを着て仕事場へ歩いて行く

64歳のベル氏はカリフォルニア州アーバイン出身で、カリフォルニア州立大学フラートン校を卒業しています。キャリアの初期には、ボーイング社でスペースシャトルのフライトインターフェースエンジニアとして勤務していました。1998年、アマゾンがサーバーテクノロジーズグループを買収した際に同社に入社しました。サーバーテクノロジーズは、ベル氏が1996年にオラクル社を退社した後に設立したeコマースソフトウェア企業です。

彼は、2020 年の IEEE のコンピューター ビジョンとパターン認識に関するカンファレンスでのこの会話で、Amazon での自身の経歴と注力分野について語りました。

ベル氏はアマゾンで23年以上勤務し、そのうち15年間はAWSの幹部として勤務しました。長年AWSのCEOを務めたアンディ・ジャシー氏がアマゾンのCEOに就任する前は、ジャシー氏の直属でした。かつてAWSでジャシー氏の後継者候補と目されていたベル氏ですが、アマゾンがアダム・セリプスキー氏をTableauからAWSのCEOに復帰させた後、ベル氏はマイクロソフトのCEOに就任しました。

長年の同僚たちは、ベル氏を現実的な性格を持つ現実的なリーダーだと評しています。アマゾン在籍中、鮮やかな黄色の安全ジャケットを着て、自宅から街中をアマゾンのキャンパスまで歩いている彼の姿がよく見られました。

ベル氏は、かつてアマゾンの副社長であり、シアトルを拠点とするロボット駆動のアパレル新興企業ホインターの創業者兼CEOを務めた起業家、ナディア・シュラボラ氏の夫である。

完璧なエンジニアであるベル氏は、典型的なシアトル人でもあり、ピュージェット湾のJポッドに生息する絶滅危惧種の南部定住シャチについて語るのと同じくらい、多国籍企業を率いることにも抵抗がないタイプの人物だと、AWSの元同僚であるブライアン・ホール氏は語った。

「彼は問題や機会、そして解決策を考案する方法に興味を持っています」とホール氏は語った。

ジャッカル氏は、彼女とベル氏は、SFと量子物理学という共通の関心事、そしてエンタープライズ号の船長がブリッジから深宇宙を眺めるのと同じレベルのセキュリティ環境の可視性をマイクロソフトの顧客に提供するという、セキュリティエンジニアリンググループのビジョンを説明する「スタートレック」のアナロジーを通じて親交を深めたと語った。

「彼がそれを構築するのを助けてくれると確信している」とジャッカル氏は語った。

現在ベルに報告しているマイクロソフトの幹部とチームは次のとおりです。

  • 最高情報セキュリティ責任者の Bret Arsenault 氏は、以前は Cloud + AI 担当のエグゼクティブ バイスプレジデントである Scott Guthrie 氏に報告していました。
  • 以前はガスリー氏に報告していた、Microsoft Identity 担当のコーポレートバイスプレジデント、ジョイ・チック氏。
  • クラウド セキュリティ担当のコーポレート バイスプレジデントである Bharat Shah 氏も、以前は Guthrie 氏に報告していました。

ベル氏のLinkedIn投稿の文言は、ある意味でゲイツ氏のメモを彷彿とさせるものだった。

「デジタルサービスが私たちの生活に不可欠なものとなった今、セキュリティと安全を提供する能力は限界を超えています」と彼は書いている。「詐欺、盗難、ランサムウェア攻撃、個人情報の漏洩、さらには物理的なインフラへの攻撃など、日々目にするニュースの見出しでは常にそれが強調されています。」

同氏はさらに、「このことが私の頭を悩ませており、これを最も適切に表現する方法は『デジタル中世主義』だと考えられる。これは、組織や個人がそれぞれ城壁と住民の力に頼り、攻撃の戦利品を持って簡単に自分の城に撤退できる悪質な人物に対抗するものである」と付け加えた。

「私たちは皆、安全が不変であり、常に真実であり、それを常に証明できる世界を望んでいます」と彼は書いた。「私たちは皆、デジタル文明を望んでいます。」

更新情報: Microsoftのデジタル犯罪対策部門と関連活動に関する情報を追加しました。Bell氏の直属の部下であったHarv Bhela氏に関する記述を削除しました。Bell氏は最近NetAppの最高製品責任者に就任しました。