私たちのデジタル世界は変化しており、より執拗で洗練されたサイバー犯罪者が増えています。 リスクが増大し、脅威が複合化する中で、信頼性はこれまで以上に重要となっています。お客様は、自分が投資するテクノロジ プラットフォームを信頼して、自分の組織を構築して運営できるようになることを求めています。Microsoft は最大級のクラウド サービス プロバイダーの 1 社として、お客様がセキュリティを最初から確保できるようにし、ビルトインで組み込まれ、すぐに使える Microsoft のクラウド プラットフォームのセキュリティを利用してより多くのことを行えるようにすることで、信頼を築いています。

Microsoft Azure のセキュリティ アプローチでは、多層防御に重点が置かれており、プラットフォームとテクノロジの設計、開発、デプロイのすべてのフェーズを通して保護が多層化されます。また、Microsoft は透明性を重視しており、今日のサイバー脅威を軽減し、明日のサイバー脅威に備えるために、Microsoft が常に学習し、オファリングの改善に取り組んでいることをお客様に理解していただけるように努めています。

このブログでは、過去から現在、そして未来に向けた Microsoft の広範なセキュリティへの取り組みを紹介するとともに、今後も学習と成長の機会があると思われる点について解説します。この記事は、Azure Built-In Security シリーズ (全 4 回) の始まりとなるもので、Microsoft が最近のクラウドの脆弱性から学んだ教訓と、その教訓をどのように適用して Microsoft のテクノロジとプロセスをお客様にとって安全なものとしているかを共有することを目的としています。 Microsoft の学習と変化を透明性をもって共有することは、お客様との信頼関係を構築するための Microsoft のコミットメントの一部です。また、他のクラウド プロバイダーの皆様にも同じようにしていただけることを願っています。

セキュリティ コミットメントの過去、現在、将来 

Microsoft は何十年もの間、お客様のセキュリティとプラットフォームのセキュリティの向上に深く関わってきました。また、これからもそうあり続けます。このコミットメントは、オンプレミスやソフトウェア時代から今日のクラウドファースト環境まで、セキュリティのベスト プラクティスを先導してきた Microsoft の長い歴史に表れています。その輝かしい例として、Microsoft は 2004 年にセキュリティ開発ライフサイクル (SDL) を開発しました。これは、アプリケーションとサービスに最初からセキュリティを組み込む方法のフレームワークで、その影響は広範囲に及んでいます。SDL は現在、国際的なアプリケーション セキュリティ標準 (ISO/IEC 27034-1) やホワイト ハウスのサイバー セキュリティに関する大統領令 ¹ などの主要なイニシアティブにおいて、セキュリティを組み込むための基礎として使用されています。

しかし、セキュリティのリーダーや実務者が理解しているように、セキュリティの仕事は決して終わりません。常に警戒を怠らないことが重要です。このため、Microsoft は現在、社内のセキュリティ研究と包括的なバグ報奨金プログラムに多額の投資を行っています。Microsoft 社内では、8,500 人以上のセキュリティ専門家が、脆弱性の発見、攻撃傾向の把握、セキュリティ問題のパターンへの対応に常に力を注ぐことに重点を置いてきました。Microsoft の世界最高水準のセキュリティ研究と脅威インテリジェンスにより、顧客、Microsoft、オープンソース ソフトウェア、そして業界パートナーも同様に保護されています。

Microsoft はまた、業界で最も積極的なバグ報奨金プログラムの 1 つに投資しています。2021 年だけでも、Microsoft は幅広い技術分野で 1,370 万ドルのバグ報奨金を授与しています。昨年からの新たな傾向として、Azure を含む複数のクラウド プロバイダーに影響を与える外部からの脆弱性報告が増加していることが挙げられます。業界全体で脆弱性は珍しいことではありませんが、Microsoft はクラウド プロバイダーのリーダーとして、またナンバーワンのセキュリティ ベンダーとして、研究者やセキュリティの競合他社にとってより大きな関心を引く存在となっています。この理由から、Microsoft の公開報奨金プログラムは、2014 年から初めてクラウド サービスを対象とするようになり、2021 年にはさらにプログラムを拡張して、クロステナントのバグ報告に対する報奨金を高く設定するようになりました。予想通り、これにより Azure に対する外部のセキュリティ研究者の関心はさらに高まり、複数のクロステナントのバグ報奨金が授与されるに至りました。理由はともかく、これらの結果は、特定の Azure サービスと私たちの顧客のセキュリティをさらに高めることに寄与しました。

最後に、Microsoft はセキュリティはチーム スポーツであると固く信じておいます。NIST Secure Software Development Framework (SSDF) ² への関与や、OpenSSF Alpha-Omega プロジェクトへの 500 万ドルの投資によるオープンソース ソフトウェア (OSS) のセキュリティ姿勢の改善など、セキュリティ エコシステムへの貢献が、Microsoft のコラボレーション重視の姿勢を証明しています ³。

数十年にわたる SDL のリーダーシップから、現在の脆弱性発見、バグ報奨金プログラム、共同研究への貢献、そしてサイバーセキュリティへの 5 年間で 200 億ドル以上の投資 ⁴ というコミットメントに見られるように、Microsoft のセキュリティに対する取り組みは揺るぎないものです。Microsoft では、セキュリティを最初から組み込むことは新しいことではありませんが、セキュリティの状況は絶えず変化し、進化しており、それに合わせて私たちの学びも変化していくものと理解しています。

Microsoft の文化の中核となる部分は、成長のマインドセットです。社内外のセキュリティ研究者から得られた知見は、Microsoft のすべてのプラットフォームと製品のセキュリティをさらに高めるために不可欠なものです。Microsoft は Azure の脆弱性が報告されるたびに、社内、社外を問わず、綿密な根本原因の分析とインシデント後のレビューを実施しています。これらのレビューは、組織のすべてのレベルにおいて、学んだ教訓を反映し適用するのに役立っており、Microsoft でセキュリティを常に進化させ構築するために最も重要なものです。

最近の Azure の脆弱性レポートから得た分析情報に基づき、Microsoft は 3 つの主要な側面で改善を進めていますこれらの開発により、対応プロセスの強化、内部セキュリティ研究の拡張、およびマルチテナント サービスのセキュリティ確保方法の継続的な改善がもたらされます。

1.統合された対応

この 1 年で得たいくつかの教訓から、Microsoft は対応の迅速化など、改善の必要性を認識している分野に集中して注意を向けました。Microsoft は、統合された対応プロセスを通じてこの問題に取り組み、社内と社外の対応メカニズムを統一しています。まず、セキュリティ ライブサイト レビューの頻度と範囲の両方を、役員レベル以下まで拡大しました。また、社外のセキュリティ ケース管理と社内のインシデント コミュニケーションおよび管理システムの統合を進めています。これらの変更により、報告された脆弱性に対処し、改善するまでの平均時間を短縮し、迅速な対応にさらに磨きをかけています。 

2.クラウド バリアント ハンティング

クラウド セキュリティの傾向に対応するため、Microsoft はグローバルかつ専用のクラウド バリアント ハンティング機能が含まれるよう、バリアント ハンティング プログラムを拡張しました。バリアント ハンティングでは、影響を受けるサービスにおける類似およびその他の脆弱性が特定されるだけでなく、他のサービス全体における類似の脆弱性が特定されるため、発見と対処をより徹底させることができます。また、脆弱性のパターンをより深く把握することで、総合的なリスク軽減と修正を促進することができます。クラウド バリアント ハンティングの取り組みのいくつかのハイライトを次に示します。

• Azure Automation では、バリアントを特定し、20 を超える固有の問題を修正しました。
• Azure Data Factory/Synapse では、サービスをさらに堅牢にし、バリアントに対処するための重要な設計上の改善を確認しました。また、Microsoft のサプライヤーや他のクラウド プロバイダーと協力し、リスクにより幅広く対応できるようにしました。
• Azure Open Management Infrastructure では、複数のバリアントを特定し、Microsoft の研究者が CVE-2022-29149 を発表しました。また、Microsoft はお客様の修正にかかる時間を短縮するために、Automatic Extension Upgrade 機能の作成を推進しました。Microsoft の自動拡張アップグレード機能は、既に Azure Log Analytics、Azure Diagnostics、Azure Desired State Configuration のお客様に恩恵をもたらしています。

さらに、クラウド バリアント ハンティングにより、すべてのサービスで潜在的な問題が事前に特定、修正されます。これには、多くの既知の脆弱性だけでなく、新しいクラスの脆弱性も含まれます。Microsoft は今後数か月の間に、お客様やコミュニティ全体に役立つような調査の詳細を共有する予定です。

3.セキュリティで保護されたマルチテナンシー

すべてのセキュリティ インテリジェンス ソースから得られた知見に基づき、Microsoft では、セキュリティで保護されたマルチテナンシーの要件と、潜在的なセキュリティ リスクの早期発見と是正のために使用されている自動化を継続的に進化させています。ここ数年、Azure やその他のクラウドのセキュリティ事例を分析する中で、Microsoft の社内外のセキュリティ研究者により、いくつかの分離障壁を突破するユニークな方法が発見されました。Microsoft は、このような事態を防ぐため、予防的なセキュリティ対策に多額の投資を行っています。そしてこれらの新しい発見により、最も一般的な原因を特定し、少数の高度に活用された変更を通じて、Azure 内でその原因に対処できるようになりました。

また、すべての Azure サービスにおいて、サードパーティや OSS のコンポーネントを利用する場合は特に、コンピューティング、ネットワーク、資格情報の分離に関するより厳しい基準を要求し適用することで、深層防護のアプローチをさらに強化しています。Microsoft は、マルチテナントのクラウド環境で非常に必要とされている機能に関して、PostgreSQL などの OSS コミュニティや他のクラウド プロバイダーとのコラボレーションを続けています。 

この作業により、既に何十もの明確な発見と修正がもたらされました。その大部分 (86%) は、コンピューティング、ネットワーク、資格情報の分離における具体的な改善に起因しています。Microsoft は自動化の機能強化の中で、社内の動的アプリケーション セキュリティ テスト (DAST) を拡張し、コンピューティングとネットワークの分離を検証するためのより多くのチェックを含めるとともに、新しいランタイム資格情報の分離チェック機能を追加しています。これと並行して、Microsoft のセキュリティ専門家は当社のクラウド サービスを精査し、それらが当社の基準を満たしていることを検証し、お客様と Microsoft の利益につながるよう新しい自動制御の革新を続けています。

クラウド セキュリティの責任共有モデルから、Microsoft のクラウド セキュリティ ベンチマークを使用して、お客様のクラウド セキュリティ態勢を改善することを推奨しています。Microsoft は、マルチテナンシー セキュリティのベスト プラクティスに焦点を当てた一連の新しい推奨事項を開発中で、次のリリースでそれを公開する予定です。

まとめると、Microsoft はセキュリティに対して長期的かつ継続的な取り組みを行っていますが、セキュリティ環境の進化や変化に伴い、Microsoft の学びも継続的に成長し進化しています。この継続的な学習の精神に基づき、Microsoft は、安全なマルチテナンシー基準の強化、クラウド バリアント ハンティング能力の拡大、および統合された対応メカニズムの開発によって、最近の Azure クラウドのセキュリティ問題に対処しています。Microsoft の強化されたセキュリティ対策とその規模は、セキュリティ プログラムを継続的に改善し、業界全体のセキュリティの水準を高めるというリーダーシップと数十年にわたる Microsoft のコミットメントをさらに証明するものです。Microsoft は今後も、設計、開発、運用の各段階にセキュリティを組み込むことで、お客様や世界中の人々が安心して Microsoft のクラウドを利用できるよう取り組んでいきます。

• Microsoft Security Response Center のブログをフォローして、最新のセキュリティ調査結果についてご確認ください。
• Microsoft Azure がセキュリティ体制の強化にどのように役立つかについて詳しくご覧ください。
• クラウド セキュリティ更新プログラムへの対応の詳細については、ブログ「クラウド サービス セキュリティ更新プログラムの分析」と「セキュリティ更新プログラムの分析」をご覧ください。

 

---

ソース:

¹WhiteHouse.gov、国家サイバーセキュリティの改善に関する行政命令、2021 年 5 月 12 日。

²米国標準技術研究所、安全なソフトウェア開発フレームワーク (SSDF) プロジェクトの概要、2022 年 2 月 3 日更新。

³Open Source Security Foundation、OpenSSF は、10,000 の OSS プロジェクトのソフトウェア サプライ チェーン セキュリティを向上させる Alpha-Omega プロジェクトを発表、OpenSSF.org、2022 年 2 月 1 日。

⁴GeekWire.com、Microsoft はサイバーセキュリティ投資を 4 倍にし、5 年間で 20 億ドルを費やすTodd Bishop、2021 年 8 月 25 日。