著者: チャーリー ベル (Charlie Bell) エグゼクティブ バイス プレジデント、マイクロソフト セキュリティ
※本ブログは、米国時間 2025 年 4 月 21日 (月) に公開された “Securing our future: April 2025 progress report on Microsoft’s Secure Future Initiative | Microsoft Security Blog” の抄訳を基に掲載しています。
マイクロソフトのセキュア フューチャー イニシアティブ (SFI) は、歴史上最大のサイバーセキュリティ エンジニアリング プロジェクトであり、マイクロソフトにおける同種の取り組みの中で最も広範なものです。開始以来、リスクを軽減し、最優先のセキュリティ タスクに取り組むために、34,000 人のエンジニアが 11 か月間フルタイムで働いたのと同等の時間を費やしてきました。現在、マイクロソフト、顧客、および業界全体のセキュリティ態勢を改善するための数年間の取り組みの進捗を強調する、2 回目の SFI 進捗レポートを共有しています。
私たちはすべての従業員にセキュリティ第一の考え方を促進し、企業全体のサイバーセキュリティ リスクに対処するための包括的なガバナンス構造に投資することで、文化とガバナンスの面で進展を遂げました。
顧客をより良く保護するために、会社全体のエンジニアリング チームは、20 の製品チームでテストし、22,000 人の従業員に展開し、公開した新しい Secure by Design UX Toolkit など、セキュリティ原則に沿ったイノベーションを提供しています。このツールキットは、製品開発にセキュリティのベスト プラクティスを組み込み、すでに成果を上げています。これには、ベスト プラクティス、会話カード、およびワークショップ ツールが含まれており、チームがセキュリティ能力を構築し、製品の脆弱性を特定し、重点を置くべき箇所を優先することに活用いただけます。
また、すべてのエンジニアリングの柱と目標において進展を遂げ、アイデンティティ セキュリティを継続的に強化し、ネットワークおよびテナント間の横方向の移動のリスクを軽減し、サイバー脅威を検出および対応する能力を向上させ、ゼロデイ攻撃から顧客を保護するために業界と協力しています。この進展から得られた洞察と学びは、顧客とマイクロソフトをより良く保護するための Microsoft Entra、Microsoft Defender、および Microsoft Purview などの Microsoft セキュリティ ポートフォリオにおける継続的なイノベーションに反映されています。
署名キーをより良く保護するために、2024 年 9 月に、Entra ID および Microsoft アカウント (MSA) アクセス トークン署名キーをハードウェアベースのセキュリティ モジュール (HSM) と Windows の仮想化ベースのセキュリティに移行し、自動ローテーションの導入を発表しました。それ以来、レッドチームによる調査と評価に基づき、新たな多層防御策を適用し、MSA 署名サービスを Azure 機密 VM に移行し、Entra ID 署名サービスも同様に移行しています。これらの改善のそれぞれが、2023 年の Storm-0558 攻撃で攻撃者が使用したと推測される攻撃ベクトルを軽減するのに役立ちます。
また、サイバー脅威を検出および対応する能力を向上させ、主要な戦術、技術、および手順 (TTP) に対する 200 以上の追加検出を追加し、適用可能な場合は Microsoft Defender に統合します。セキュリティ研究コミュニティと提携して、クラウドおよび AI の高い影響のある領域で 180 の脆弱性を積極的に発見し、より多くの製品、環境、および低い重大度をカバーするために、脆弱性に対処するプログラムを拡張し、軽減までの時間を短縮しました。
SFI 進捗レポートの主なハイライトは以下のとおりです:
設計、デフォルト、および運用におけるセキュリティ
このレポートでは、セキュリティ原則に沿って、最初から保護を組み込む方法の例を紹介しています。
- 新しい Secure by Design UX Toolkit は、20 の製品チームによってテストされ、22,000 人の従業員に展開され、公開バージョンも提供されており、チームがより安全でユーザー中心の体験を構築するのに役立っています。
- Microsoft Azure、Microsoft 365、Windows、および Microsoft Security にわたる 11 の新しいイノベーションの導入により、デフォルトでセキュリティが向上します。
- AI 開発プロセスには、人工生成インテリジェンス安全性およびセキュリティ組織によって主導される専用のセキュリティおよび安全性レビューが含まれるようになりました。
- 責任ある AI 透明性レポートに記載されているように、AI システム全体にわたって安全な運用プラクティスを適用しています。
- 新しいポリシー、行動ベースの検出モデル、および調査方法により、40 億ドルの詐欺未遂を阻止しました。
これらの進歩は、顧客とマイクロソフトを保護するのに役立ちます。
会社全体でセキュリティ第一の考え方
セキュリティは人から始まります。この1年間で、私たちは エンジニアリング、運用、カスタマーサポートを含む企業のあらゆる領域で、セキュリティファーストの文化を浸透させました。
- すべてのマイクロソフト従業員は、業績評価に直接結び付けられたセキュリティ コア プライオリティを持っています。
- 50,000 人の従業員が Microsoft Security Academy に参加してセキュリティ スキルを向上させました。
- 従業員の 99% がセキュリティ基礎および信頼コード コースを修了しました。
この変化はコンプライアンスではなく、従業員の力を引き出すことを目的としています。マイクロソフトのすべての人が顧客を安全に保つ役割を理解し、その責任を果たすためのツールを持つことを望んでいます。
企業全体のリスクを管理するための強力なガバナンス
2024 年 5 月に、リスクの可視性と説明責任を向上させるための新しいガバナンス構造を導入しました。それ以来、投資を深めています。
- ビジネス アプリケーションの副最高情報セキュリティ責任者 (CISO) を任命し、Microsoft 365 とエクスペリエンスおよびデバイスの責任を統合しました。
- マイクロソフト全体の 14 人の副 CISO がリスクの棚卸しと優先順位付けを完了し、企業全体のセキュリティリスクに関する共通認識 を構築しました。
このような構造は、規模の拡大に不可欠であり、セキュリティを単に中央集権型にするのではなく、組織全体に組み込むことを可能にします。
すべての柱にわたる測定可能な進展を推進
私たちは各柱と目標において着実に進展を続けています。28 の目標のうち、5 つは完了間近であり、11 の目標は大幅に進展しました。残りの目標に対しても進展を続けています。その結果、SFI によりプラットフォームとサービスのセキュリティが向上し、サイバー脅威を検出および対応する能力が向上しました。
1.アイデンティティと秘密の保護: マイクロソフトのサービスと顧客のアイデンティティ
- セキュリティを向上させました ハードウェアベースのセキュリティ モジュールに既に保存されている Microsoft Entra ID および Microsoft アカウント (MSA) トークン署名キーの新しいディフェンス イン デプス保護。Microsoft アカウント (MSA) 署名サービスは Azure 機密 VM に移行されました。
- Microsoft アプリ用の Microsoft Entra ID からのアイデンティティ トークンの 90% は、一貫して強化されたアイデンティティ ソフトウェア開発キット (SDK) によって検証されています。
- 高度なサイバー攻撃のリスクを軽減するために、従業員の生産性アカウントの 92% がフィッシング耐性の多要素認証 (MFA) を使用しています。
2.テナントの保護と生産システムの分離: レガシーおよび未使用のリソースを削除し、分離を強化して横方向の移動のリスクを軽減し続けています
- 88% 以上のリソースを Azure Resource Manager に移行し、合計 630 万のテナント (9 月以降にさらに 55 万) を削除し、すべての新しいテナントは現在、セキュリティ緊急対応システムに自動的に登録されています。
- 運用環境内のすべての Microsoft Entra ID アプリケーションに対して、自動化されたライフサイクル管理ソリューションを使用しています。
- 運用環境で管理されている 440 万のアイデンティティへの認証は、特定のネットワーク ロケーションに制限されており、これらの重要な資産をさらに保護しています。
3.ネットワークの保護: すべての目標に対する進展により、ネットワークのセキュリティが向上し、顧客がネットワークを保護するのに役立つ新しいイノベーションが提供されました
- ネットワーク資産の 99% 以上がインベントリされ、強化されたセキュリティ標準を使用しています。
- 私たちは、ネットワークの分離とセグメント化を適用することで、防御の多層化をさらに強化し続けています。
- 顧客のネットワークをより安全に保護するために、Network Security Perimeter (NSP)、DNS Security Extensions (DNSSEC)、Azure Bastion Premium、プライベートサブネット機能の 4つの新しいセキュリティ機能 を導入しました。
4.エンジニアリング システムの保護: コードの構築、テスト、および展開に使用するシステムのセキュリティを向上させました
- パイプラインの 99.2% が完全なインベントリを持ち、作成時に強制され、24 時間以内に検証されます。
- MFA は、存在証明チェックを通じて運用コード ブランチの 81% を保護します。
- 中央フィードサービスの活用が広がり、開発者が管理されたオープンソースのフィードを利用できるようになりました。
5.脅威の監視と検出: サイバー脅威の調査および対応能力を向上させるために
- 運用インフラ資産の 97% を中央で追跡しています。
- エンジニアリング チームは、2 年間の最低保持ポリシーを含むセキュリティ ロギング標準を採用し続けています。
- 主要な戦術、技術、および手順 (TTP) に対する 200 以上の追加検出を追加しました。適用可能な検出は Microsoft Defender に統合されます。
6.対応と修復の加速: より迅速に、より多くの脆弱性に対処し、セキュリティ関連の顧客コミュニケーションを改善し続けています
- クラウドの脆弱性に対処する成功率は 73% で、プログラムの範囲が大幅に拡大しました。
- Zero Day Quest の一環として、研究者はクラウドおよび AI の高影響領域で 180 の新しい脆弱性を特定し、積極的に対処できるようにしました。
- 私たちは、新しいプロセスと手順書を導入し、セキュリティインシデントに関する顧客への情報提供を改善しました。。
安全なイノベーションの未来
サイバーセキュリティの進展は決して直線的ではありません。サイバー脅威は進化し、技術は変化し、新たなリスクが出現します。しかし、プラットフォームのセキュリティを確保するための一歩一歩が、マイクロソフト、顧客、そしてエコシステム全体の安全な未来への投資です。
SFI はその挑戦に立ち向かう方法です。ゼロトラストの原則を適用し、エンジニアリングの中心からセキュリティを推進し、学んだことを共有しています。まだまだやるべきことはありますが、その旅にコミットしています。
また、セキュリティはチームスポーツであることも認識しています。顧客、パートナー、そして広範な業界全体との協力が必要です。広範なエコシステムへのコミットメントの一環として、CISA Secure by Design 誓約のようなイニシアティブを引き続きサポートすることを誇りに思い、セキュリティが信頼の基盤であるという信念を強化しています。
信頼とパートナーシップに感謝します。共に安全な未来を築き続けましょう。
Microsoft Security で詳細をご覧ください Microsoft Security ソリューションとマイクロソフトのセキュア フューチャー イニシアティブについて詳しくは、ウェブサイトをご覧ください。セキュリティに関する専門的なカバレッジをフォローするには、セキュリティブログをブックマークしてください。また、最新のニュースとサイバーセキュリティに関する更新情報については、LinkedIn (Microsoft Security) と X (@MSFTSecurity) をフォローしてください。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
