マイクロソフト セキュリティ サポート
マイクロソフト 政府向けサポート
米国政府報告書、マイクロソフトのクラウドセキュリティ抜本的見直しを提言。
CSRB、マイクロソフトを非難しクラウドセキュリティ改革を要求
米国政府の最近の報告書は、中国政府が支援するハッカーによる大規模な侵害を受けて、マイクロソフトのクラウドセキュリティ対応に関する重大な懸念を明らかにした。
米国サイバー安全審査委員会(CSRB)が発表した報告書は、マイクロソフトの一連の運用上の失敗と戦略的判断が、ハッカーによる米政府高官の電子メールアカウントへの侵入を可能にしたと指摘している。同報告書はマイクロソフトを批判しただけでなく、クラウドセキュリティ分野全体にわたる広範な改革を求めている。
違反とその影響
経営陣はサイバーセキュリティ侵害に苦慮している。
2023年7月に初めて報告されたこのセキュリティ侵害は、中国政府との関連が疑われるハッカー集団「Storm-0588」によるものだった。この集団はマイクロソフト社エンジニアの企業アカウントを侵害することに成功し、その後、機密性の高い米国政府システムへのアクセスを可能にした。
報告書はこの事件を「防げたはずのもの」と表現し、マイクロソフトのセキュリティプロトコルにおける一連の誤りを指摘している。
ハッカーは22の組織と500人以上の個人(米国駐中国大使などの著名人を含む)の電子メールにアクセスした。さらに米国務省から約6万通の電子メールがダウンロードされた。
この侵害は、マイクロソフトが世界の技術エコシステムにおいて果たす重要な役割と、顧客が自社のデータと業務を保護するために同社に寄せている信頼の度合いを浮き彫りにしている。
米国サイバー安全審査委員会の調査結果
CSRB報告書はマイクロソフトのクラウドセキュリティ対策について明確な批判を示した。同報告書はマイクロソフトが不十分だった複数の領域を指摘している:
- 不十分なIDセキュリティ対策:報告書は 、マイクロソフトが他のクラウドサービスプロバイダーでは標準的なIDセキュリティ対策を欠いていると指摘した。
- 時代遅れの暗号化手法:ハッカーは 2016年の暗号鍵を悪用して不正アクセスを実現し、鍵更新の慣行が時代遅れであることを示唆している。
- 組織統制とガバナンスの失敗:報告書は マイクロソフトがセキュリティを優先しなかったことを批判し、組織内の文化変革の必要性を示唆した。
CSRBは、マイクロソフトの経営陣に対し、同社の製品およびサービス全体において、セキュリティに焦点を当てた根本的な改革を実施するための計画を策定し、実行するよう勧告した。
また、クラウドサービスプロバイダーは、侵入の検知と防止に不可欠なセキュリティログについて、顧客への課金停止を検討すべきであると提案した。
CSRB報告書からの主な調査結果
| 発見 | 説明 |
|---|---|
| 脆弱なIDセキュリティ | マイクロソフトは共通のIDセキュリティ管理機能を備えていなかった。 |
| 時代遅れの暗号技術 | ハッカーは2016年の古い暗号鍵を使用した。 |
| 脆弱なセキュリティガバナンス | マイクロソフトはセキュリティへの取り組みを強化する必要がある。 |
マイクロソフトの対応と取り組み
CSRBの調査結果を受け、マイクロソフトは自社のセキュリティ上の欠陥に対処することを目的とした「セキュア・フューチャー・イニシアチブ」を開始した。同社は委員会の提言を実施することを約束しており、既に標準的なクラウドサービスパッケージの一部として一部のセキュリティログを公開している。
マイクロソフトの副会長兼社長であるブラッド・スミスは、下院国土安全保障委員会で証言し、同社のサイバーセキュリティ態勢の強化への取り組みを強調した。
米国政府報告書、マイクロソフトのクラウドセキュリティ抜本的見直しを推奨。
マイクロソフトは、CSRB(サイバーセキュリティリスク委員会)から提示された同社に適用される全16項目の提言を実施することを約束した。これには、身元情報や機密情報の保護、ネットワークセキュリティの強化、脅威検知・対応能力の向上に向けた具体的な措置が含まれる。本取り組みでは、以下の3つの核心的なセキュリティ原則を重視している:設計段階からのセキュリティ確保(Secure by Design)、デフォルト設定によるセキュリティ確保(Secure by Default)、安全な運用(Secure Operations)。
これらの原則は、マイクロソフトの製品およびサービスの開発と展開を導き、セキュリティが最初から組み込まれ、進化する脅威に対応するために継続的に改善されることを保証します。
マイクロソフトのCSRB勧告への対応
| イニシアチブ | 詳細 |
|---|---|
| 安全な未来計画 | セキュリティ上の問題の修正を目的としており、ログの改善や身元保護の強化などが含まれます。 |
| 16の主要な行動 | ネットワークセキュリティの強化と脅威検知の改善。 |
| 中核的なセキュリティ原則 | 「設計によるセキュリティ」「デフォルトによるセキュリティ」「安全な運用」 |
サイバーセキュリティと利益のバランスを取る。
これらの技術的対策に加え、マイクロソフトはセキュリティ最優先の姿勢を強化するため、文化的・組織的変革にも注力している。これにはセキュリティ目標を経営陣の報酬に連動させる施策が含まれ、責任の所在を明確化するとともに、企業の目標とセキュリティへの取り組みを一致させるものである。
マイクロソフトはまた、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)を本社に招き、CSRBの提言実施に関する詳細な技術説明会を開催した。これは透明性を示し、セキュリティ対策強化のために政府機関と協力する意思があることを示すものである。
課題と批判
マイクロソフトの努力にもかかわらず、同社は信頼回復と強固なセキュリティの確保において重大な課題に直面している:
利益 vs. 安全
プロパブリカの調査により、マイクロソフトが過去に利益をセキュリティより優先させ、政府契約を獲得するため重大な欠陥に関する警告を無視していたと報じられた。これにより、同社のセキュリティへの取り組みに対する懐疑的な見方が広がっている。
継続的な脆弱性
CSRB報告書およびその後の調査により、マイクロソフトのクラウドサービスにおける継続的な脆弱性が浮き彫りとなり、継続的な改善と警戒が必要であることが明らかになった。
業界全体への影響
CSRBの報告書はクラウドコンピューティング業界全体に広範な影響を与え、マイクロソフトだけでなく全てのクラウドサービスプロバイダーにおけるセキュリティ慣行の再評価を求めている。同報告書は、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が主導して、クラウドサービスにおける監査ログ記録の最低基準を定義・採用する取り組みを進めるよう推奨している。
これにより、顧客は追加費用を負担することなく重要なセキュリティログにアクセスできるようになり、セキュリティインシデントをより効果的に検知・対応できるようになります。
この勧告は、クラウドコンピューティング業界における透明性と説明責任の必要性を強調している。標準化されたセキュリティ慣行を確立することで、クラウドサービスプロバイダーは顧客の信頼を高め、侵害リスクを低減できる。
報告書はまた、これらの基準を開発・施行し、業界全体で統一されたサイバーセキュリティ対策を確保するためには、政府機関と民間企業との連携が重要であることを強調している。
今後の道筋
マイクロソフトにとって、今後の道筋は差し迫ったセキュリティ上の懸念に対処するだけでなく、事業運営のあらゆる側面に浸透するセキュリティ文化を育むことにも及ぶ。これには以下が含まれる:
- セキュリティ文化の強化:マイクロソフトは 、製品設計から運用慣行に至るまで、あらゆるレベルでセキュリティを優先すべきである。
- ベストプラクティスの導入:企業は 、多要素認証や最小権限アクセスモデルなど、業界最高水準のセキュリティ基準を全サービスに導入しなければならない。
透明性と説明責任の強化: セキュリティ目標を経営陣の報酬と連動させることで 、マイクロソフトはセキュリティ施策における説明責任と透明性の確保を目指しています。
最上級の選択
クラウドコンピューティングの環境が急速に進化していることは明らかです。こうした状況において、US Cloudは他社プロバイダーとは一線を画す選択肢として浮上しています。当社は、最も厳しい規制要件への準拠を確保しつつ、貴社の特定のニーズに合わせてソリューションをカスタマイズします。
透明性のある価格設定、隠れた費用の排除、24時間体制の専任サポートチームにより、US Cloudは顧客満足への揺るぎない取り組みを実践しています。独自の課題を理解し、セキュリティニーズを最優先するクラウドプロバイダーを求める組織にとって、US Cloudは単なる選択肢ではなく、クラウドサービス市場における優れた選択肢です。
クラウドコンピューティングとサイバーセキュリティの複雑な世界を進む中で、US Cloudとの提携は、今日のデジタル環境で成功するために必要な安心感とカスタマイズされたソリューションを提供します。
