Vision

「赤を受け入れろ」:マイクロソフト、クラウドとAIのバグ対策にさらに400万ドルを投入、セキュリティ強化へ

「赤を受け入れろ」:マイクロソフト、クラウドとAIのバグ対策にさらに400万ドルを投入、セキュリティ強化へ
マイクロソフトのCEO、サティア・ナデラ氏は、同社の毎週開催されるセキュア・フューチャー・イニシアチブの会議で、同社のセキュリティチームに対し、AIとクラウドのバグに対する報奨金プログラムの強化を指示した。(GeekWire ファイル写真)

セキュリティが本当に他のすべてよりも重要であるならば、それは基調講演で取り上げられるでしょうか?

マイクロソフトは、自社のシステムと顧客をサイバー攻撃からより良く保護するよう強い圧力を受けており、シカゴで開催されるIT専門家向けの年次会議「Ignite」の火曜朝、自社の最高セキュリティ幹部に壇上の特等席を与えることで、この疑問に答える予定だ。

発表内容の 1 つは、新たな 400 万ドルのバグ報奨金プログラムです。これは、Microsoft のクラウドおよび AI システムのセキュリティホールを発見したセキュリティ研究者の間で共有される追加の資金プールを意味します。

これは、マイクロソフトが「ゼロデイクエスト」と名付けた、2025年にレドモンドで予定されているハッキングイベントと新たな取り組みの一環です。マイクロソフトによると、この取り組みは本日、AIのセキュリティ上の欠陥を発見した際の報奨金を倍増するという誓約とともに開始される予定です。

この賞金は、マイクロソフトがバグ報奨金プログラムを通じて毎年支払っている既存の1,600万ドルに加えて支払われるものである。

「ここでゲームのレベルを上げることで、大きなインセンティブが生まれると思います」と、マイクロソフトセキュリティ担当エグゼクティブバイスプレジデントのチャーリー・ベル氏は、Igniteカンファレンスに先立つインタビューで述べた。ベル氏は、マイクロソフトCEOサティア・ナデラ氏の基調講演に、マイクロソフトセキュリティ担当コーポレートバイスプレジデントのヴァス・ジャッカル氏とともに登壇する予定だ。

計画の起源: Microsoft の上級リーダーシップ チームは、Secure Future Initiative の一環として、セキュリティを確認し対処するために Nadella と毎週会議を行っています。

SFI会議が始まったとき、ナデラ氏はグループに「赤字を受け入れる」よう指示したとベル氏は語った。つまり、マイクロソフトのCEOは上級幹部から好意的な報告を求めていたのではなく、彼らに自ら問題を持ち込んでほしいと考えていたのだ。

「そして実際、その場にいた全員にとって、解放感があった」とベル氏は語った。

同氏によると、ナデラ氏はこれらの会議の1つでバグ報奨金の増額を指示したという。

マイクロソフトは、既存のバグ報奨金プログラムを業界最大規模としており、追加の400万ドルは業界のハッキング事件の中で最高額の報奨金となる可能性があると述べた。

しかし、セキュリティがそれほど重要なら、なぜもっと資金を出さないのでしょうか? マイクロソフトは銀行に数十億ドル(最新の計算では785億ドル)の資金を保有しており、セキュリティ研究の経済効果をさらに高めるための資金力を持っています。

ベル氏はこの質問に対し、「1兆ドルを支払えるとしても、それ以上の金額が得られるでしょうか?それは分かりません。…人々に正しい行動を促さなければなりません。それがまさに私たちがここでやろうとしていることです」と答えた。

マイクロソフトはまた、ハッカーのように脆弱性を見つける社内の専門家である「AIレッドチーム」を提供し、社外のセキュリティ研究者にAI関連のバグの発見方法を訓練し、彼らがその知識をプログラムに参加する際に活用できるようにしている。

サイバー攻撃と脆弱性への取り組み: 元アマゾン ウェブ サービスの幹部であるベル氏は、3 年前にマイクロソフトに入社し、セキュリティ イニシアチブを指揮しました。

2022年のマイクロソフトセキュリティ担当副社長チャーリー・ベル氏。(GeekWireファイル写真/ダン・デロング)

マイクロソフトは、同年初めに中国のハッカー集団「Storm-0558」が米国政府高官を含む世界中の500人以上と22の組織のMicrosoft Exchange Onlineメールボックスを侵害したという注目を集めた事件を受けて、2023年11月にSecure Future Initiativeを立ち上げた。

同社は今年1月、ロシア政府が支援する「Nobelium」(別名Midnight Blizzard)と呼ばれる攻撃者が、同社の社内システムと幹部のメールアカウントにアクセスしたことを明らかにした。その後、同社は同じ攻撃者がソースコードリポジトリと社内システムの一部にアクセスできたと発表した。

サイバーセーフティレビュー委員会(CSRB)が3月にStorm-0558に焦点を当てた報告書で、マイクロソフトのセキュリティ文化は「不十分」であると述べ、「この侵入を成功させたのは、マイクロソフトの回避可能なエラーの連鎖だった」と指摘した。

CSRBの報告書は、マイクロソフトに対しセキュリティを最優先事項とするよう求めました。翌月、ナデラ氏はそれを宣言しました。

マイクロソフトは5月にセキュア・フューチャー・イニシアチブを拡大し、役員報酬の一部をセキュリティ関連に充て、各製品グループに副最高情報セキュリティ責任者を設置し、主要プラットフォームと製品チームのチームを「エンジニアリングウェーブ」に集めてセキュリティを徹底的に見直すことにした。

数十万もの時代遅れのアプリと数百万のクラウドテナントを廃止するだけでなく、同社はセキュリティ対策をより容易かつ標準化することに注力しています。ベル氏はこれを、従業員が独自のプロセスを構築するのではなく、セキュリティタスクを簡素化し自動化するための「舗装された道」と表現しました。

マイクロソフトによれば、セキュア・フューチャー・イニシアチブには34,000人相当のフルタイムエンジニアが携わっており、同プロジェクトを「史上最大のサイバーセキュリティ・エンジニアリング・プロジェクト」と呼んでいる。

セキュリティとビジネスの間の緊張:同社は、自社プログラムの脆弱性がサイバーセキュリティの問題の一因となっているにもかかわらず、セキュリティ製品から利益を得ていることに対して批判に直面し続けている。

最新情報:11月15日のProPublicaの報道では、マイクロソフトが2021年に米国政府にサイバーセキュリティ支援を申し出た件について、「数十億ドルの新たな収入をもたらし、有利な政府契約から競合他社を締め出し、連邦政府との取引を強めることを目的とした計算されたビジネス戦略」と評されている。

この記事に対し、マイクロソフトの広報担当者は声明で、「当社の唯一の目的は、国家主体によるサイバー脅威の進化と拡大に対抗する、最高クラスのサイバーセキュリティツールを競い合い、提供することです」と述べた。声明はさらに次のように続けている。

この期間のマイクロソフトの唯一の目標は、高度な国家レベルの脅威アクターの標的にされ続けている連邦政府機関のセキュリティ体制を強化するという、政権からの緊急の要請をサポートすることでした。当時、ホワイトハウスは、この重要な時期に国のサイバーセキュリティを向上させるためのコミットメントを提供するために、Google、Amazon、Apple、IBM、そしてマイクロソフトを含む幅広いテクノロジー業界のリーダーと連携し、各社はホワイトハウスの発表に含まれていました。政権の要請により、マイクロソフトは、セキュリティ ベースラインをレベルアップできるよう、可能な限り速やかに強化されたセキュリティ ツールを無償で各機関に提供しました。各機関がこれらのライセンスを購入するという保証はなく、各機関はセキュリティ ニーズをサポートするために他のベンダーと自由に連携することができました。 

ナデラ氏は以前、セキュリティ製品からの収益について投資家に報告することを習慣としており、昨年は200億ドルを超えました。しかしその後、同社はこの数字の開示をやめ、セキュア・フューチャー・イニシアチブと、企業文化および開発慣行の抜本的な改革に注力しています。

セキュリティ製品ニュース: Igniteでの発表には、企業向けAI製品であるMicrosoft 365 Copilot向けの新しいデータ損失防止機能が含まれています。これは、データ保護製品であるMicrosoft Purviewの一部です。Microsoft 365 Copilotは、企業が権限を適切に設定していない場合、不正なデータアクセスを許してしまうという批判を受けています。

マイクロソフト セキュリティ担当コーポレートバイスプレジデントのヴァス ジャカル氏。(Microsoft Photo)

もう一つの製品発表は、Microsoft Security Exposure Managementの一般提供開始です。このテクノロジーはグラフベースの技術を用いており、防御側が攻撃者の視点から潜在的な攻撃経路を把握するのに役立ちます。

マイクロソフトのセキュリティ担当副社長ジャッカル氏は、これはマイクロソフト自身の攻撃者に関する観察に基づいていると説明した。

「攻撃者はグラフで考えます」とジャッカル氏は述べた。「彼らはフィッシング関連の攻撃や個人情報の窃盗から始めます。しかし、一度システムに侵入したら、サイロに留まるつもりはありません。」

彼女はこう説明した。「彼らはあなたのデバイスに侵入し、マルウェアをインストールし、IPアドレスへのアクセスを待つかもしれません。あるいは、横方向に移動し、IDシステムに侵入し、権限を昇格させ、ネットワークに侵入し、クラウドやアプリに侵入するかもしれません。つまり、彼らは非常に巧妙に行動しているのです。」

ベル氏は、マイクロソフトはテクノロジーの開発者であり、セキュリティ製品のプロバイダーでもあるという二重の役割を担っており、セキュリティ分野において重要な視点を持っていると述べた。

「プロバイダーになると、何が起こっているかを見ることができます」とベル氏は述べた。「毎分ごとに見守ることができます。あらゆる出来事が起こっているのを目にします。悪者が様々な活動を行っているのも見ます。そして、良い行動の例も見ます。」

「まず、私たちは製品に組み込まれたあらゆる種類のものを提供しています」と彼は言った。「そして、セキュリティ製品の面では、膨大な作業と多額のコストを必要とする多くのことを行うことができます。」