セキュリティを何よりも最優先する（2024/05/13、ニュースリリース）

※米マイクロソフトからブログ更新のお知らせがニュースリリースで来ました！

+++++
セキュリティを何よりも最優先する
+++++

※本ブログは、米国時間 5 月 3 日に公開された
"Prioritizing security above all else"の抄訳を基に掲載しています。
https://blogs.microsoft.com/blog/2024/05/03/prioritizing-security-above-all-else/

マイクロソフト CEO のサティア ナデラ (Satya Nadella) は、従業員に向けて以下のメッセージを伝えました。
この発表が注目を集め、多くの議論を呼んだことを受け、公式記録として公開しました。

本日は、マイクロソフトの将来にとって極めて重要なこと、つまり何よりもセキュリティを優先するということについてお話ししたいと思います。

マイクロソフトという企業は信頼の上に成り立っており、私たちの成功は信頼の獲得と維持にかかっています。
私たちには、世界がイノベーションを起こすための最も安全で信頼できるプラットフォームを構築するという、独自の機会とそれに伴う責任があります。

2023 年夏に発生した Storm-0558 サイバー攻撃に関する国土安全保障省 (Department of Homeland Security) のサイバー安全審査委員会 (CSRB: Cyber Safety Review Board) による最近の調査結果は、
マイクロソフトとお客様が直面している脅威の深刻さ、そして、ますます巧妙化する脅威アクターからの保護に関するマイクロソフトの責任を示しています。

昨年 11 月、マイクロソフトはこの責任を念頭に置いて Secure Future Initiative (SFI) を立ち上げ、全社のあらゆる力を集結し、新製品と既存のインフラストラクチャの両面におけるサイバーセキュリティ保護を推進しました。
私はこの取り組みを誇りに思っており、それを実施するための努力に感謝しています。
しかし、私たちはこの取り組みをより加速し、実際に行動に移さなければなりません。

今後、マイクロソフトは以下の 3 つの基本原則に基づいたアプローチでこのイニシアチブをさらに強化し、全組織を挙げて取り組んでいきます:

• Secure by Design (設計としての安全性):
製品やサービスの設計では、セキュリティが最優先されます。

• Secure by Default (既定設定での安全性):
セキュリティ保護はデフォルトで有効かつ強制され、追加の努力は要さず、オプションではありません。

• Secure Operations (安全な運用):
セキュリティの管理と監視は、現在および将来の脅威に対応するために継続的に改善されます。

これらの原則は私たちが以下のことを行う際に、SFI 全ての柱に適用されます:

アイデンティティと秘密情報の保護、テナントの保護と本番システムの隔離、ネットワークの保護、エンジニアリングシステムの保護、脅威の監視と検出、レスポンスと修復の迅速化。

CSRB の報告書で推奨されたものも含め、それぞれの柱に関連する具体的な全社的行動を共有しましたので、こちらをご参照ください。
https://aka.ms/SFIUpdate-May2024
マイクロソフト全体として、これらの基準、ガイドライン、要件の実施と運用化を推進していきます。
また、これらは採用や報酬の決定にも反映されます。
さらに、シニアリーダーシップチームの報酬の一部を、セキュリティ計画やマイルストーンの達成状況に基づいて決定することで、アカウンタビリティを浸透させていきます。

私たちは、技術面でも運用面でも厳格に、そして継続的な改善に重点を置いてこの課題に取り組まなければなりません。
コードの 1 行からお客様やパートナーのプロセスまで、私たちが行うすべての作業は、私たち自身とエコシステム全体のセキュリティ強化に役立つ機会です。
これには、Midnight Blizzard のケースで行ったように、敵対勢力とその能力の高度化から学ぶことも含まれます。
そして、マイクロソフトが常にモニターしている何兆件ものユニークなシグナルから学び、全体的な姿勢を強化することも含まれます。
さらに、官民の枠を超え、より強力で体系的な協力体制を構築していくことも含まれます。

セキュリティはチームスポーツです。SFI を推進することは、セキュリティチームにとっての第一の仕事というだけではありません。
それはすべての人の最優先事項であり、お客様の最大のニーズでもあります。

セキュリティと他の優先事項のトレードオフに直面した場合、答えは明確です。
セキュリティを優先してください。
これは、場合によっては、新機能のリリースやレガシーシステムの継続的サポートなど、私たちが行う他のことよりもセキュリティを優先することを意味します。
これこそが、お客様のデジタル資産を保護し、すべての人にとってより安全な世界を構築できるよう、プラットフォームの品質と能力を向上させていくための鍵です。

サティア

●本ブログの詳細につきましては、日本マイクロソフト広報資料サイトをご覧ください。
https://news.microsoft.com/ja-jp/2024/05/13/240513-prioritizing-security-above-all-else/