2019年のマイクロソフトのセキュリティ

マイクロソフトは今週のIgniteカンファレンスでさまざまなセキュリティ製品を発表しましたが、際立っていたことの1つは、セキュリティ運用の実行方法が実行する製品と同じくらい重要であるという彼らの固い信念でした。

Microsoftの最高情報セキュリティ責任者であるBret Arsenault（トップ）は、Microsoft自身のセキュリティ環境と、それ自体とその顧客のセキュリティを管理するためのアプローチについて説明することを強調しました。 彼は、同社が1日あたり200億件もの巨大なセキュリティイベントを解決していると語った。

「ユーザーは私の最前線であり最後の防衛線でもあります」とArsenault氏は述べ、Microsoftには125, 000人の従業員と70, 000人の「バッジ」パートナーがいることを指摘しました。 彼は、使用中のオペレーティングシステムの32バージョン、500, 000 Linux環境、どこでも2番目に大きいMacintoshインストールベース（Appleが最初）、次に「N + 1」を含む、このような大きく多様な環境を管理することの大きな課題を強調しましたWindowsのバージョン。 彼は、彼の主な目標は、マイクロソフト製品を使用するのではなく、会社を保護することだと言いました。

Arsenaultは「機会とリスク」に多くの時間を費やし、常時アクセス、大量のデータセット、クラウドベースのストレージ、および最新のエンジニアリングが多くの機会と重大なセキュリティ課題をどのように生み出すかを説明しました。 たとえば、会社には596の場所があるため、データの主権は大きな問題であり、Arsenaultは国境を越える可能性のあるデータを考慮する必要があります。 彼は、サイバー犯罪から得られたお金が違法薬物取引で得られたお金を上回っていると述べました。 また、サプライチェーンとそれを保護する企業の能力についても心配しています。

Arsenaultは、クラウドコンピューティングへの移行は、ネットワークセキュリティが依然として重要であるが、それだけでは不十分であり、「アイデンティティは新しい境界」であると述べました。

Arsenaultは、目標を簡素化することが重要であると述べて、彼自身のリーダーシップの原則を共有しました。 彼の3つの主なポイント：リーダーは、明快さを生み出し、エネルギーを生成し、成功をもたらす必要があります。 明確にするために、彼は「エンジニアリングペンシルを下ろしてクレヨンを手に入れる」ことが重要だと言いました。言い換えれば、エンドユーザーにとって物事をシンプルにすることです。 Arsenault氏は、エンジニアリング集団に役立つメッセージと一般ユーザーに役立つメッセージを混同しないことが重要であると強調しました。

そのために、彼は自分の戦略を3本足のスツールとして説明しました。ID管理、データとテレメトリ、デバイスの正常性です。

言い換えれば、Arsenault氏によると、いずれかのサービスに接続するには、多要素認証によって検証された強力なIDが必要です。 優れたIDを持っている場合、接続元のデバイスが安全であることを確認する必要があります。 1日に200億のイベントがあるため、システムを追跡し、システムを改善し、保護するために優れたデータテレメトリーが必要です。

アルセノーは、一般的なものからよりきめ細かいものに移り、リスク管理、アイデンティティ管理、デバイスの健全性、データとテレメトリ、情報保護といった今年の投資分野として5つの主要な柱または原則を特定し、これらの柱の中で重点を置いたと述べました27のコアサービス。 彼はまた、完了、失敗、または将来のコアサービスとなる11の「エピックス」（基本的に18〜24か月続く短期プロジェクト）をリストしました。 彼は、9〜10人の比較的小さなチームで、新しいテクノロジーを見て、会社のセキュリティニーズに何が役立つかを調べています。 8年前にCISOの役割を引き継いだとき、Microsoftには80のセキュリティベンダーがありました、とArsenaultは付け加えました。

過去数年にわたる重要な取り組みの1つは、ワークロードをAzureに移行することです。 Arsenault氏によると、同社はワークロードの95％を移動しました。 プロセスに関しては、まずアプリケーションを検討し、アプリケーションがまだ必要かどうかを判断します。 約2, 000の基幹業務アプリケーションのうち、ArsenaultはMicrosoftが30％を単純に削除できると判断したと述べました。 次に行うことは、Software-as-a-Serviceソリューションに変換できるアプリケーションを見つけることです。 これは、Microsoftのアプリケーションの約15％で機能しました。 残ったものについては、次のステップは、すべてのアプリケーションを仮想化し、新規または単純なアプリケーションを取得して、それらをPlatform-as-a-Serviceに移動し、Infrastructure-as-a-Serviceサービスへの「リフトアンドシフト」を行うことでした他のほとんど。

このプロセスで、彼が考えていたよりも多くのアプリケーションがクラウドに移動し（MicrosoftのSAPシステムを含む）、彼は企業が計画よりも早くPaaSに移行することを提案しました。

プロジェクトの途中でプロジェクトの進行が停止することがよくあるため、このような努力の間は動き続けることが重要であり、プロジェクトの周りにエネルギーを作り続けることが重要です。 多くの場合、クラウドに移動しないワークロードの5％を、他の95％を実行しない言い訳として使用します。また、移動を実行するには緊急感を作成する必要があると言いました（日付の設定など）データセンターを閉鎖するため）。

彼のチームが作成したものの1つは、さまざまなアプリケーションの250のコントロールを監視して、すべてが機能していることを確認するように設計されたDevOps Toolkit for Azureでした。 Arsenaultは、彼のグループがこれをオープンソース経由で利用可能にし、エンタープライズ管理のこれらの原則が約18か月でAzureに組み込まれると考えています。

Arsenaultは、システムへのアクセスが最も多い管理者の保護に焦点を当てました。 彼は常任管理者の数を減らすことについて話しました。 別のIDシステムを使用して、権限を少なくします。 また、「安全な管理ワークステーション」でのみセキュリティタスクを実行します。これは、マシンを頻繁にフラット化および再構築し、安全なサプライチェーンを使用して作成される特別なイメージを持つ「スーパーセキュアデバイス」と呼ばれます。 これらのマシンはサイトコードのみを実行し、高度にロックダウンされ、何にどこに接続できるかを決定するホワイトリストがあります。 他のサービスへの接続の場合、管理者は仮想マシンに接続できます。

Arsenaultは、パスワードを削除することの重要性についても話しました。 彼はかなり前から同社のオーセンティケーターアプリを使用しており、「完璧なものを善の敵にしない」ことが重要だと述べています。 これは本当にプロンプ​​トをなくすことであり、このアプリのユーザーにはパスワードが表示されていなくても、表面に隠れたままです（数年後には代わりに証明書に置き換えられる可能性があります）。 彼は、企業内のセキュリティプロフェッショナルがMFAについて話すのをやめ、代わりにパスワードの削除について話し始めることを提案しました。目標は、これを追加のレイヤーとしてではなく、ユーザーのアクセスを容易にするものとして見ることです。

• マイクロソフトは、Firefox / Chromeのインストールを中断しないことを決定しますマイクロソフトは、Firefox / Chromeのインストールを中断しないことを決定します
• Microsoft CEOがIgniteでオープンデータイニシアチブ、新しいセキュリティをプッシュMicrosoft CEOがIgniteでオープンデータイニシアチブ、新しいセキュリティをプッシュ
• Microsoft Tips New AI、Office for Security、Microsoft 365 Microsoft Tips New AI、Office for Security、Microsoft 365

Arsenaultの講演で私が本当に目立ったのは、ツールの簡素化、意味のあるもののクラウドへの移行、IDに焦点を当て、管理会計の管理、従来のパスワードを超えた移行など、彼のアイデアの大部分が新しくも議論の余地もないことです。 代わりに、最大の課題は、実際にこれらのことを、ITフットプリントの残りの部分に干渉しない方法で実装し、エンドユーザーに受け入れられる（または望ましい）ようにすることです。 かつてないほどセキュリティの脅威にさらされている世界では、前進し続けることが重要です。