マイクロソフトは、近年増加する高度なサイバー攻撃に対抗するため、「セキュア・フューチャー・イニシアティブ」(SFI)を11月11日に発表した。この新たな取り組みは、ソフトウェア開発と脆弱性対策の改善をはじめ、セキュリティリスクへの対応を強化することを目的としている。

マイクロソフト社長のブラッド・スミスによると、国家主導のグループによる攻撃や、重要インフラへの攻撃、身元を偽装した攻撃など、ますます高度化するサイバー攻撃には新たな防衛策が必要であるという。AI技術の台頭により、攻撃者と防御者双方が利用することで、脅威はさらに拡大している。

新たな脅威に立ち向かうマイクロソフトの決意

マイクロソフトは、サイバー攻撃の高度化に対抗するための新しい取り組みとして「セキュア・フューチャー・イニシアティブ」を発表した。このイニシアティブは、ソフトウェア開発の改善、脆弱性の緩和、その他のセキュリティリスクへの対応を強化することを目的としている。特に、過去数年間にわたり多くのハイプロファイルなインシデントで攻撃者に利用されたソフトウェアと脆弱性の問題に焦点を当てる。

ブラッド・スミス社長は、国家によるサイバー攻撃、重要インフラへの攻撃、身元に基づく攻撃など、新たな防衛策が必要であると強調している。AI技術の進歩により、攻撃者と防御者の両方が利用することで、脅威はさらに増大しているという。

セキュア・フューチャー・イニシアティブの三大柱

マイクロソフトが打ち出した「セキュア・フューチャー・イニシアティブ」は、AIに基づくサイバー防御の強化、ソフトウェアエンジニアリングの改善、そして「市民を守るための国際規範のより強力な適用を推進する」という三つの柱に焦点を当てている。これらの取り組みは、マイクロソフトのセキュリティ開発ライフサイクルを拡張し、自動化とAIを活用したソフトウェア開発に注力する。

内部メモによると、マイクロソフトは脅威モデリングを加速し、GitHubのCodeQLを使用して製品とサービスのセキュリティリスクと脆弱性を特定する。さらに、メモリ安全な言語の使用を拡大し、言語レベルでのセキュリティを構築し、従来のソフトウェア脆弱性の全クラスを排除する方針である。

ソフトウェア開発の自動化とAIの活用

マイクロソフトは、セキュア・フューチャー・イニシアティブの一環として、ソフトウェア開発プロセスの自動化とAIの導入に力を入れている。2004年に確立されたセキュリティとプライバシーの基準であるセキュリティ開発ライフサイクルを拡張し、多要素認証のデフォルト設定の見直しを含むプロセスの一部を改善する。これにより、より広範な顧客サービスへの支援が可能となる。

内部メモには、脅威モデリングの加速化、コード分析のためのCodeQLの全商用製品への適用、メモリ安全な言語(C#、Python、Java、Rustなど)の使用拡大が記されている。これらの言語を使用することで、言語レベルでセキュリティを組み込み、従来のソフトウェア脆弱性を根本から排除することを目指す。

クラウド脆弱性対応の加速

セキュア・フューチャー・イニシアティブの最終的な要素として、マイクロソフトはクラウドの脆弱性に対する対応とセキュリティアップデートの改善を提案している。特に、クラウド脆弱性の緩和にかかる時間を50%削減するという大きな約束をしている。セキュリティ研究者は、マイクロソフトがクラウドサービスで発見された脆弱性を静かに修正し、その重要性を軽視していると批判してきた。

ブラッド・スミスは、技術セクター全体での報告をより透明にし、一貫した方法で行うよう促進すると述べている。自動化、オーケストレーション、インテリジェンス駆動型ツールへの投資により、クラウド脆弱性の緩和を改善する第三の進歩を達成する見込みである。

マイクロソフトの盾、サイバーの矢を防ぐか

マイクロソフトが新たに打ち出したセキュア・フューチャー・イニシアティブは、サイバー空間の荒波に立ち向かうための盾となるかもしれない。しかし、この盾がどれほどの矢を防げるのかは、今後の攻防が試金石となるだろう。サイバー攻撃は日進月歩で進化し、今日の盾が明日も有効であるとは限らない。マイクロソフトは、AIと自動化を駆使してソフトウェア開発の質を高め、脆弱性対応のスピードを上げることで、攻撃者の一歩先を行くことを目指している。

しかし、過去にはMicrosoft Exchangeの「Proxy」脆弱性のように、攻撃者に繰り返し突かれた痛い点があった。これは、マイクロソフトの盾に未だ隙があることを示している。セキュリティの世界では、一度の失敗が致命的な結果を招くこともある。だからこそ、マイクロソフトの盾がどれほど堅牢であるか、その真価が問われるのである。

セキュア・フューチャー・イニシアティブが成功するかどうかは、マイクロソフトがこれまでの失敗から学び、それをいかに次の一手に活かすかにかかっている。サイバー攻撃という矢が雨のように降り注ぐ中、マイクロソフトの盾が持ち得る真の力が試される時が来ているのだ。

Reinforz Insight
ニュースレター登録フォーム

最先端のビジネス情報をお届け
詳しくはこちら

プライバシーポリシーに同意のうえ