Microsoftがなければ、今日のようなパソコンとインターネットは存在しなかったでしょう。Microsoftは50年近くにわたってコンピューティングを推進し、製品を使う人や企業のエンパワーメントも行ってきました。学生やゲーマー、小企業から多国籍企業、非営利団体、政府機関に至るまで、Microsoftの顧客は生産性向上、コミュニケーション、コラボレーション、エンターテイメント、ビジネス変革に同社の製品やサービスを使い、依存するようになりました。
こうした変化を可能にしたMicrosoftは今や、世界で二番目に価値の高い企業になりました。あいにく、その成功がMicrosoftとその製品をサイバー攻撃の格好の標的にしています。
最近のフィッシングトレンド年次レポートでも報告した通り、攻撃者は数百に及ぶさまざまな企業になりすまします。なりすましの対象になるのは主として、私たちが信頼し、目標達成のために依存している事業者です。Microsoftは、その製品と万人から得た信頼のせいで最も頻繁になりすましの対象になっているブランドです。
Microsoftは主要な標的ですが、攻撃に対する防御者でもあり、ソフトウェアアプリケーションやオペレーティングシステムだけでなくサイバーセキュリティツールも提供しています。実際、Microsoft 365の収益の30%はサイバーセキュリティサービスから上がっています。
問題は、Microsoftのツールはそれだけでは脅威対策としてあまり有効でないという点です。
では、Microsoftは当社のサイバーセキュリティの考え方のどこに位置付けられるのでしょうか?私がお話したセキュリティ担当者の多くは、「Microsoftは、サイバー犯罪者が侵入しネットワークを攻撃できるようにするトロイの木馬なのか、あるいは、守りが堅そうに見えながら攻撃を許してしまうトロイなのか?」といった難しい質問をされます。そして、「Microsoftが予算にこんなにもしっかり組み込まれている状態で、誰がセキュリティ上の欠陥の説明責任を追及できるのか」とおっしゃるのです。
Microsoftの環境が頻繁に攻撃され、その攻撃で深刻な影響が出る可能性があることは間違いありません。今年7月には中国のハッカーが、米国政府機関が使用するMicrosoftベースのメールシステムへのアクセスに成功し、おそらく在中米国大使館も侵害されました。これは途方もない背信行為です。しかも、こういったことが起きたのはこれが初めてではないのです。
Microsoftは8月に、Windowsオペレーティングシステムと関連製品に見つかった70以上のセキュリティの穴を塞ぐためのソフトウェアアップデートを配布しました。欠陥の中にはゼロデイ脆弱性も複数あり、現在悪用されています。コードを書ける人なら誰しも、ソフトウェアは人間が開発するからこそ脆弱であること知っています。しかし、今回のPatch Tuesdayアップデートが大量だったため、どうしても疑問が湧きます。Windowsとその他のMicrosoft製品の普及率の高さとそれゆえの脆弱性を考えれば、講じるべき保護策はもっとあるのではないかという疑問です。
また、Microsoft製品の脆弱性にさらなるMicrosoft製品を当てることが果たして効果的な対策になるのかという疑問もあるでしょう。サイバー犯罪者がMicrosoft製品への攻撃に成功したのなら、どうして同じ会社のパッチやアップデートが将来の侵害を防げると確信できるでしょうか?
たいていの企業は、日常業務をMicrosoftのソフトウェアに依存しすぎているため、放棄するわけにいきません。Microsoftのセキュリティ製品が不十分だからといって、例えばMicrosoft Word、Excel、PowerPoint、Exchange、SharePointの使用を今すぐ止めることはできないのです。
そうは言っても、私たちの多くはMicrosoftベースのツールや環境を攻撃から保護するより良い手段を必要としています。攻撃が止むことはないのですから。
保護強化の第一歩は、セキュリティをMicrosoft製品に頼ったり任せたりしないことです。Microsoftは、スタックデプロイメントのタイプに応じて同社と顧客の責任分野を明確にした共同責任モデルを発表しています。私たちはセキュリティのプロとして、保護のギャップをなくすには多層防御のアプローチが不可欠であることを知っています。しかし、Microsoftのセキュリティ問題は、多層防御のアプローチには複数ツールだけでなく複数ベンダーも含めるべきことを示唆しています。もちろん、肝心なのは適切なベンダーの組み合わせを見極め、管理を複雑にしないことです。
ベンダーを検討する際は、責任追及が可能な会社を探す必要があります。つまり、製品ロードマップへの影響力を持つということです。代替ベンダ ーを見つける場合は、切り換えのコストが高すぎず、追加による重複がないことも要件になります。Microsoftは、必須製品を複数提供する巨大企業です。セキュリティパッチやツールが攻撃を阻止できなくても、Microsoftの説明責任を追及することは困難です。それらのパッチやツールを外して、問題が解決するまでExcelの使用を止めると脅すことができないからです。しかし、責任を別のベンダーにシフトすることはできます。
適切なベンダーはおそらくサイバーセキュリティのスペシャリストで、セキュリティ問題の解決に特化し、高位の役職者とやりとりして説明責任を問いやすい会社です。その会社のエンジニアと協力して、進化する脅威への対策を見出し、必要に応じて幹部の注意を要求し、それでも駄目なら、必須の生産性ツールを失うことなく製品を入れ替えることができます。
数百万の個人や企業がMicrosoftのアプリケーションやオペレーティングシステムに依存している限り、同社の製品は相変わらずサイバー攻撃の恰好の標的になるでしょう。攻撃に対する防御を強化するには、企業はMicrosoftへの依存を止め、専門のセキュリティ会社と組んでMicrosoftをめぐるジレンマ(自社を脆弱にせずMicrosoftの必須製品のメリットを享受することは可能か)を解消する必要があります。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一稿です。
MicrosoftおよびMicrosoft 365は、Microsoftグループ企業の商標です。
Oren J. Falkowitz — @orenfalkowitz
セキュリティオフィサー、Cloudflare
この記事では、以下のことがわかるようになります。
Microsoftツールがサイバー攻撃の標的の筆頭である理由
Microsoftツールの多層適用だけでは不十分な理由
説明責任を問えるセキュリティベンダーと組んで保護を強化する方法