Iphone

情報漏洩に悩まされるマイクロソフトは、「セキュリティを何よりも優先する」とCEOサティア・ナデラ氏は誓う

情報漏洩に悩まされるマイクロソフトは、「セキュリティを何よりも優先する」とCEOサティア・ナデラ氏は誓う

トッド・ビショップ

サティア・ナデラ氏は2019年5月に開催されたMicrosoft Buildのステージを去った。(GeekWireファイル写真/トッド・ビショップ)

サティア・ナデラ氏は、マイクロソフトの決算説明会で、セキュリティ技術事業の収益成長を誇示するのが常套手段だった。しかし今回は違った。

マイクロソフトのCEOは異なるアプローチを取り、同社が昨年秋に立ち上げたSecure Future Initiativeについて話し、その後誓約した。

「当社は、他のすべての機能や投資よりもセキュリティを最優先にし、この非常に重要な取り組みに注力しています」とナデラ氏は、同社の第3四半期決算報告後の木曜午後に語った。

これは、その日の大きな話題から少し逸れた話だった。ナデラ氏とCFOのエイミー・フッド氏は、電話会議の大半を、同社の成長を牽引するAI需要と、その成長に必要な設備投資に関する質問に答えることに費やした。

しかし、これはセキュリティに関する姿勢の注目すべき変化であり、一連の注目を集めたハッキン​​グ事件や政府機関および大口顧客からの懸念の高まりの中で、同社への圧力が高まっていることの表れでもある。

ナデラ氏がセキュリティを「何よりも優先する」と誓ったのは、サイバーセーフティレビュー委員会(CSRB)の報告書を受けてのものだ。同報告書ではマイクロソフトのセキュリティ文化は「不十分」と評され、同社に対しセキュリティを最優先課題とするよう求められた。

2021年に米国国土安全保障長官によって主要なサイバーセキュリティインシデントを調査するために設置されたこのグループは、マイクロソフトのアプローチは「特に同社の技術エコシステムにおける中心的役割と、顧客が自社のデータと業務の保護に関して同社に寄せる信頼のレベルを考慮すると、全面的な見直しが必要だ」と述べた。

CSRBの報告書はナデラ氏の発言を直接引用し、同社のセキュリティ改革は「マイクロソフトのCEOと取締役会が直接、綿密に監督する必要があり、すべての上級管理職は、すべての必要な変更を最大限の緊急性を持って実施する責任を負うべきである」と述べた。

この報告書は、2023年5月と6月に発生した注目を集めた事件に焦点を当てており、この事件では、Storm-0558として知られる中国のハッカー集団が、米国政府高官を含む世界中の500人以上と22の組織のMicrosoft Exchange Onlineメールボックスに侵入したと考えられている。

マイクロソフトは今年1月、ロシア政府が支援する「Nobelium」と呼ばれる組織が社内システムと幹部のメールアカウントにアクセスしたことを公表しました。さらに最近では、同じ攻撃者がソースコードリポジトリと社内システムの一部にアクセスしたと発表しました。

マイクロソフトのエンジニアリングおよびセキュリティチームは、このグループからの攻撃に対応し、防御を強化するために「奔走している」と、The Vergeのトム・ウォーレン氏が木曜日に匿名の情報源を引用して報じた。

同社は20年以上前にも同じような状況に陥ったことがある。マイクロソフトは社内ソフトウェア開発を一時停止し、ビル・ゲイツが2002年に立ち上げた「信頼できるコンピューティング」イニシアチブの下、セキュリティを最優先事項とした。

「理想的な世界では、マイクロソフトは再びセキュリティを真剣に受け止めるだろう」と、Directions on Microsoftのメアリー・ジョー・フォーリー氏は今週、この問題に関する記事の中で述べている。「侵害について透明性が確保されるだろう。マイクロソフトは、顧客どころか自社の従業員さえも、ますます頻繁に発生するインシデントから守ることができていない現状で、幹部たちはセキュリティサービスの売上増加を自慢するのをやめるだろう。そして、必須のセキュリティ機能をアドオンとして販売するのではなく、既存のサブスクリプションの一部として組み込むだろう。」

ナデラ氏の新たなアプローチは、こうした大きな変革を求める声への部分的な回答と言えるでしょう。以下は、決算説明会で彼がセキュア・フューチャー・イニシアチブに言及しながら語った内容の続きです。

「私たちは、テナントの保護と本番システムの分離、IDと秘密の保護、ネットワークの保護、エンジニアリングシステムの保護、脅威の監視と検出、そして対応と修復の加速という、この取り組みの6つの柱にわたって継続的な進歩を遂げることに注力しています。」

私たちは、お客様と学び、ツール、そしてイノベーションを共有することに引き続き尽力しています。その好例が、今月初めに一般提供を開始したCopilot for Securityです。これは、脅威インテリジェンスと毎日78兆件ものセキュリティシグナルに基づいて、ドメイン固有のスキルを持つLLM(法務・法務・マネジメント)を結集し、セキュリティチームに実用的なインサイトを提供します。

電話会議に参加したウォール街のアナリストのうち、セキュリティについて質問した者は一人もいなかった。