Vision

社内メモ:マイクロソフトは従業員評価プロセスにおいてセキュリティを「中核優先事項」に

社内メモ:マイクロソフトは従業員評価プロセスにおいてセキュリティを「中核優先事項」に
マイクロソフトは、従業員評価にセキュリティに重点を置いた3つ目の「中核優先事項」を追加する。(GeekWire ファイル写真)

マイクロソフトは、業務の集中化と業績評価のプロセスの一環として、全社員にとってセキュリティを「中核的優先事項」に引き上げると、月曜日朝に送られた社内メールで明らかにした。

これは、同社が「セキュリティ第一」の考え方を実践するための最新の取り組みです。一連の大規模な情報漏洩事件は、規制当局や立法府の懸念を高め、主要顧客によるマイクロソフトの技術への広範な依存に関する長年の疑問を再び浮上させました。

マイクロソフトの最高人事責任者、キャスリーン・ホーガン氏が月曜日に送った電子メールによると、この変更は社内で「コネクト」と呼ばれている、優先順位の設定や業績評価の際に全従業員に適用される。

「セキュリティ・コア・プライオリティは、単にチェックボックスにチェックを入れるだけのコンプライアンス演習ではありません。これは、すべての従業員と管理職がセキュリティを最優先にすることにコミットし、責任を負うための手段であり、皆さんの貢献を体系化し、その影響力を評価するための手段でもあります」とホーガン氏は記しています。「私たちは皆、セキュリティ第一の精神で行動し、声を上げ、あらゆる活動においてセキュリティを確保するための機会を積極的に探さなければなりません。」

この移行により、多様性と包括性、および管理者に対する Microsoft の期待と原則に重点を置いた Connect プロセスの一部として、セキュリティが既存の 2 つの中核優先事項に加わることになります。

優先順位と業績評価は従業員のボーナスの要素となるが、同社は今回の変更が従業員の報酬にどの程度影響するかについて詳細を明らかにしていない。

Connect プロセスの実施時期は様々ですが、通常は年に 2 ~ 3 回実施されます。マイクロソフトは、7 月 1 日に開始された会計年度の最初の「Connect」から、従業員に対し、新たな中核的優先事項の実践を呼びかけています。

これとは別に、マイクロソフトは先週、最近終了した会計年度の年間ボーナスの10~25%相当額を追加で従業員に支給する特別一時金を支給すると発表した。

今回のセキュリティ変更は、昨年秋に導入されたマイクロソフトのSecure Future Initiative(SFI)に基づいています。これは、ビル・ゲイツが2002年に立ち上げた「Trustworthy Computing(信頼できるコンピューティング)」イニシアチブに遡る、セキュリティを最優先とするマイクロソフトの最新の取り組みです。

マイクロソフトは5月、上級役員の報酬の一部をセキュリティの優先事項の進捗に基づいて決定し、各製品グループに副最高情報セキュリティ責任者(CISO)を配置し、主要プラットフォームと製品チームのチームを「エンジニアリングウェーブ」で結集してセキュリティを全面的に見直すと発表した。

マイクロソフトCEOサティア・ナデラ氏。(GeekWireファイル写真)

当時の社内メモで、マイクロソフトのCEOであるサティア・ナデラ氏は、たとえセキュリティ強化のために難しい選択を迫られたとしても、セキュリティを最優先にするよう従業員に呼びかけた。

「セキュリティと他の優先事項の間でトレードオフに直面した場合、答えは明白です。 セキュリティを優先してください」と、マイクロソフトのCEOは従業員に語りました。「場合によっては、新機能のリリースやレガシーシステムの継続的なサポートなど、他の業務よりもセキュリティを優先することになるかもしれません。」

サイバーセーフティレビュー委員会(CSRB)が4月に発表した批判的な報告書は、マイクロソフトのセキュリティ文化を「不十分」と評しました。報告書は、セキュリティ対策をマイクロソフトのCEOと取締役会が「直接かつ綿密に監督」する必要があると求め、「すべての上級管理職は、必要なすべての変更を最大限の緊急性を持って実施する責任を負うべきである」と述べています。

CSRBの報告書は、2023年5月と6月に発生した注目を集めた事件に焦点を当てており、この事件では、Storm-0558として知られる中国のハッカー集団が、米国政府高官を含む世界中の500人以上と22の組織のMicrosoft Exchange Onlineメールボックスに侵入したと考えられています。

マイクロソフトは1月、ロシア政府が支援する「Nobelium」または「Midnight Blizzard」として知られる攻撃者が、同社の社内システムと幹部のメールアカウントにアクセスしたことを明らかにした。その後、同社は同じ攻撃者がソースコードリポジトリと社内システムの一部にアクセスできたと発表した。

マイクロソフトのブラッド・スミス社長は、6月に米国下院国土安全保障委員会で証言し、CSRBが指摘した問題については同社が責任を取ると述べ、セキュリティを優先する姿勢を改めて強調した。

以下はホーガン氏が月曜日の朝に従業員に送ったメモの全文だ。

日付: 2024年8月5日

件名: 全社セキュリティコアプライオリティのご紹介

マイクロソフトは、世界がより多くの成果を達成するために不可欠なミッションクリティカルなインフラストラクチャを提供しています。私たちへの信頼には、お客様、マイクロソフト、そして世界をサイバー脅威から守るという大きな責任が伴います。マイクロソフトの従業員として、私たち全員がこの責任を果たす役割を担っています。

サティアが5月3日のメールで、そして7月9日の2025年度キックオフでも言及したように、セキュリティは私たちの最優先事項であり、マイクロソフトの全員がセキュリティを中核的な優先事項と位置付けています。トレードオフに直面した時、答えは明確かつシンプルです。それは、何よりもセキュリティが優先されるということです。私たちのセキュリティへの取り組みは揺るぎないものです。新たな攻撃や斬新な攻撃に対しては、私たちは学び続け、革新し、防御していく必要があります。しかし、私たちは共に協力し、非線形的な改善を行い、常に警戒を怠らず、お客様の期待に応えていきます。お客様は私たちを頼りにしており、私たちの未来はお客様の信頼にかかっています。

新たな「セキュリティ・コア・プライオリティ」は、セキュリティへのコミットメントを強化し、安全な製品とサービスの構築に対する責任を私たちに課します。現在、ほとんどの従業員がConnectツールで利用でき、地域の人事チームと連携して、世界中の全従業員へのアクセスを拡大しています。「セキュリティ・コア・プライオリティ」は、単にチェックボックスにチェックを入れるだけのコンプライアンス対策ではありません。すべての従業員とマネージャーがセキュリティを最優先にすることにコミットし、責任を負うための手段であり、皆さんの貢献を体系化し、その影響力を評価する手段でもあります。私たちは皆、セキュリティを最優先に考え、声を上げ、あらゆる活動においてセキュリティを確保するための機会を積極的に模索する必要があります。

中核となる優先事項は 2 つの部分で構成されます。

  • すべての従業員に適用される中核的かつ共通的な要素
  • 従業員が自分の役割、チーム、組織などに基づいて、セキュリティ コア優先度をアクティブ化する方法をさらに指定するためのオプションのセクション。

全従業員は、2025年度最初のConnectの一環として、セキュリティの中核的優先事項を設定します。これは、定期的なConnectの会話の中で、セキュリティの中核的優先事項の進捗状況と影響について、上司と話し合うことを目的としています。このプロセスは、ダイバーシティ&インクルージョンとマネージャーに関する他の全社的な中核的優先事項と同じアプローチで行われます。…

創業50周年を迎えるにあたり、私たちが今なお、社会に深く関わり、重要な企業として、共に使命を追求し続けていることを、光栄に思い、また謙虚に感じています。地球上のすべての人々とすべての組織がより多くのことを達成できるよう支援することで、私たちは社会の最大の課題に立ち向かい、世界を力づけることができます。私たちの使命は大きく、大胆で、意義深いものですが、私たちは誰一人として、この使命を軽視してはなりません。私たちがここにいるのは、お客様の信頼があるからです。そして、私たちは日々、お客様の信頼を獲得し続けなければなりません。

Microsoft、お客様、パートナーを保護するためのセキュリティ コア プライオリティへのご尽力に感謝いたします。

キャスリーン

この変更は、マイクロソフトの2024年度が6月30日に終了したことを受けて行われた。同社は、第4四半期の利益が15%増の647億ドル、利益が10%増の220億ドルだったと報告し、ウォール街の予想を上回った。ただし、一部のアナリストは同社のクラウドの成長と、AI投資によるより大きな成果が見込まれる時期について失望した。