マイクロソフト、34,000人のエンジニアを投入しサイバーセキュリティを強化

マイクロソフトは最近のサイバーセキュリティ脅威の増加を受け、34,000人ものエンジニアを動員してセキュリティ体制の抜本的な強化に取り組んでいる。これは同社の歴史上最大規模のセキュリティ対策プロジェクトであり、セキュリティを社内の文化やガバナンスに深く根付かせるための包括的な取り組みだ。

具体的には、CEOのサティア・ナデラの主導のもと、「ゼロトラスト」モデルの導入やAIの活用、社員のパフォーマンス評価へのセキュリティ要素の組み込みといった方針転換を実施している。また、顧客にもセキュリティ強化のベストプラクティスを共有し、共に脅威に立ち向かう姿勢を示している。

これらの取り組みによって、マイクロソフトは自社のみならず顧客のシステム全体のセキュリティ強化を目指し、増大するサイバー攻撃への対抗策を強化している。

社内文化とガバナンスの改革：CEOの主導によるセキュリティ最優先戦略
「ゼロトラスト」モデルの導入：早期検知と迅速な対応を目指す
AIの活用と顧客へのセキュリティ強化策の提供
ソフトウェア開発ライフサイクルの強化と攻撃対象領域の縮小
Reinforz Insightニュースレター登録フォーム

社内文化とガバナンスの改革：CEOの主導によるセキュリティ最優先戦略

マイクロソフトは、社内文化とガバナンスの改革により、セキュリティを最優先事項として位置づけた。この背景には、サイバーセキュリティ審査委員会からの批判を受けたことがある。同委員会は、マイクロソフトの「企業文化が企業のセキュリティ投資を軽視してきた」と指摘していた。これを受け、CEOのサティア・ナデラはセキュリティと品質を最優先とすることを明確に打ち出し、34,000人のエンジニアを投入してセキュリティ対策の強化を進めている。

これにより、毎週のエンジニアリングアップデートが行われ、トップ経営陣においてもセキュリティに関する透明性と責任が確保されている。特に、旧システムの非セキュリティ設定を廃止するなど、顧客に影響を及ぼす可能性がある問題にも積極的に取り組んでいる。これにより、エンジニアリングチーム全体が「セキュリティ第一」の姿勢にシフトしつつある。

また、セキュリティガバナンスの強化により、サイバーセキュリティに関する方針が全社員に浸透し、組織全体でセキュリティ意識が高まっている。特に、エンジニアのパフォーマンス評価や報酬にセキュリティ対応が含まれるようになり、セキュリティ対策が全社的に推進されているのだ。

「ゼロトラスト」モデルの導入：早期検知と迅速な対応を目指す

マイクロソフトは、「ゼロトラスト」モデルをセキュリティの基盤として採用し、システム侵入を前提にした防御戦略を強化している。このモデルでは、侵害が発生することを前提にし、システム内での早期検知と迅速な対応を重視する。このため、マイクロソフトは異常検知と応答速度を向上させるための仕組みを強化している。

「ゼロトラスト」モデルにおいては、脅威の兆候を迅速に検出し、攻撃が発生した際にすばやく対応することが重要である。特に、システム内部での不正な動きを抑制するための横方向への移動制限を徹底している。また、他の企業との情報共有を促進し、業界全体で脅威に対処するための取り組みを強化している。

さらに、社内の各プロダクトラインごとにセキュリティ責任者を配置することで、各プロダクトのリスク評価と対応が迅速に行えるようにしている。これにより、製品のセキュリティリスクを包括的に把握し、必要な対策を優先的に実施することが可能となっている。

AIの活用と顧客へのセキュリティ強化策の提供

マイクロソフトはAI技術を積極的に活用し、サイバー攻撃への対応能力を強化している。特に、AIを活用した脅威検出システムの導入により、脅威の検出精度と対応速度を飛躍的に向上させている。これにより、マイクロソフト自身のシステムだけでなく、顧客の環境に対するセキュリティも強化している。

また、AIを通じて集めた脅威情報を基に、顧客に対するセキュリティ対策のベストプラクティスを提供している。これにより、顧客は最新の脅威動向に基づいた対策を実施できるようになり、より効果的な防御体制を構築できる。さらに、AIを活用したセキュリティ診断により、潜在的な脅威を早期に特定し、対処することが可能となっている。

AIの導入は単に脅威検知にとどまらず、セキュリティ対応の効率化にも寄与している。マイクロソフトは、セキュリティ対応の際に必要な手順を自動化し、迅速な対応を可能にすることで、サイバー攻撃に対する防御力を強化している。

ソフトウェア開発ライフサイクルの強化と攻撃対象領域の縮小

マイクロソフトは、ソフトウェア開発ライフサイクル全体においてセキュリティを強化するための取り組みを進めている。特に、セキュリティガバナンスの強化とエンジニアリングシステムへのセキュリティ要件の組み込みにより、開発段階からセキュリティ対策を徹底している。

同社は開発プロセスにおいて、セキュリティのベストプラクティスを導入し、脆弱性対応の迅速化と透明性を向上させている。また、ソフトウェアコードの品質向上と脆弱性の早期発見を可能にするため、セキュリティレビューを強化している。さらに、セキュリティ上のリスクが高い部分へのアクセスを制限することで、攻撃者の侵入を防ぐ体制を構築している。

さらに、攻撃対象領域を縮小するため、未使用のアプリケーションや無効化されたテナントを削除するなど、セキュリティリスクの低減を図っている。実際、マイクロソフトは730,000以上の未使用アプリケーションと570万の非アクティブテナントを削除し、攻撃対象領域を大幅に縮小した。これにより、セキュリティの強化と顧客環境の保護を実現している。