サイバー安全審査委員会はマイクロソフトのセキュリティ文化が「不十分」であると判断、説明責任を求める
トッド・ビショップ著
マイクロソフトは、2021年に米国国土安全保障長官によって設置され、主要なサイバーセキュリティインシデントを審査する組織であるサイバーセーフティレビュー委員会(CSRB)が火曜日に発表した34ページの報告書で、厳しい調査と厳しい批判にさらされている。
この報告書は、2023年5月と6月に発生した注目を集めた事件に焦点を当てており、この事件では、Storm-0558として知られる中国のハッカー集団が、米国政府高官を含む世界中の500人以上と22の組織のMicrosoft Exchange Onlineメールボックスに侵入したと考えられています。
CSRBの報告書は、マイクロソフトのセキュリティ文化を「不十分」と批判し、「特に同社のテクノロジーエコシステムにおける中心的役割と、顧客が自社のデータと業務の保護に関して同社に寄せる信頼のレベルを考慮すると、抜本的な見直しが必要だ」と述べている。
報告書はまた、マイクロソフトの広報活動についても批判しており、取締役会からの度重なる質問を受けて、同社が侵害の根本原因に関する2023年9月のブログ投稿の訂正を先月まで待っていたと指摘している。
報告書によると、CSRBの調査終了時点で、マイクロソフトは、2023年の侵入で使用された重要な2016年のMicrosoftサービスアカウント(MSA)署名キーをStorm-0558がどのようにして入手したのかをまだ正確には把握していなかったという。
報告書では、マイクロソフトのリーダーたちは、製品開発の焦点を再び定め、新しい製品機能よりもセキュリティ機能を優先することを検討し、マイクロソフトの共同創業者であるビル・ゲイツ氏が2002年に導入したことで有名な「信頼できるコンピューティング」イニシアチブの精神を効果的に復活させる必要があると述べている。
CSRB の報告書には、次のように一部書かれています。
取締役会は、マイクロソフトがこの精神から逸脱しており、これを企業の最優先事項として直ちに回復する必要があると結論付けました。取締役会は、マイクロソフトのセキュリティリーダーシップに関する最近の変更と、2023年11月に発表された「セキュア・フューチャー・イニシアチブ」を認識しています。取締役会は、これらを含むセキュリティ関連の取り組みは、マイクロソフトのCEOと取締役会によって直接かつ綿密に監督されるべきであり、すべての上級リーダーは、必要なすべての変更を最大限の緊急性を持って実施する責任を負うべきであると考えています。
この報道についてコメントを求められたマイクロソフトの広報担当者は、次のように述べた。
十分な資金力を持ち、実質的な抑止力もなく継続的に活動する国家主導の脅威アクターの影響を調査するCSRBの取り組みに感謝します。「Secure Future Initiative」で発表したように、最近の出来事は、私たち自身のネットワークにおいて、エンジニアリングによるセキュリティ強化という新たな文化を導入する必要があることを示しました。豊富な資金力を持つ敵対者によるサイバー攻撃から逃れられる組織は存在しませんが、私たちはエンジニアリングチームを動員し、レガシーインフラの特定と緩和、プロセスの改善、そしてセキュリティベンチマークの適用に取り組んでいます。私たちのセキュリティエンジニアは、すべてのシステムを攻撃から守り、より堅牢なセンサーとログを実装し続けることで、敵対者のサイバー攻撃を検知・撃退できるよう尽力しています。
声明では、マイクロソフトは「最終報告書を検討し、追加の勧告を得る予定だ」と付け加えた。
レポート全文はここでお読みください。
