本ブログは、Anatomy of a Cloud-Service Security Update の抄訳版です。最新の情報は原文を参照してください。
世界中のマイクロソフトのセキュリティチームは、お客様の混乱を最小限に抑えながら、セキュリティ問題を可能な限り早く特定し、軽減することに注力しています。
従来のセキュリティ更新プログラムの課題の 1 つは、お客様が保護を迅速に適用できるようにすることです。これらの更新プログラムに含まれる作業については、最近、「セキュリティ更新プログラムのアナトミー 」で説明しました。クラウドサービスには、従来と比較してメリットがあります。クラウドの脆弱性に対処すると、すべてのユーザーに対して一度に修正が適用され、通常はお客様からのアクションは必要ありません。このブログでは、クラウドサービスに影響を与えるセキュリティの脆弱性に対処する更新プログラムを特定、軽減、ドキュメント化、および通知する方法に焦点を当てています。
クラウドの脆弱性の特定
クラウド内のセキュリティ リスクを見つけて軽減するための Microsoft のアプローチには、内部フォーカスと外部コラボレーションという 2 つの重要な側面があります。
内部フォーカス : 8,500 人以上のグローバルな Microsoft セキュリティ エキスパートが 24 時間体制で Azure とクラウド プラットフォーム全体の監視、強化、修正プログラム、保護に取り組んでいます。マイクロソフトは脅威アクターによる試行と無縁ではなく、近年、サイバー攻撃はより高度で広範囲に及んでいます。この脅威に対応するために、マイクロソフトのサイバー防御オペレーション センター (CDOC) は、社内のセキュリティ専門家を集めてリアルタイムでコラボレーションし、お客様に影響を与える前に問題を検出して軽減します。レッドとブルーのチームは、マイクロソフトの防御を継続的にテストし、弱点を探し、洞察と製品の改善を提供します。お客様への影響を検出した場合は、できるだけ早くお客様に通知し、お客様の環境を保護できるように支援します。
外部コラボレーション : 私たちの最大の強みの 1 つは、世界中の独立した研究者やセキュリティ業界のパートナーの多様なグループとのパートナーシップです。Microsoft バグ報奨金プログラムは、セキュリティを継続的に強化し、顧客のエクスペリエンスを向上させるために、影響の大きいセキュリティの脆弱性を見つけて秘密裏に報告するよう研究者にインセンティブを与える賞を授与しています。昨年、マイクロソフトはセキュリティ コミュニティに 1,300 万ドル以上を授与し、彼らの活動を支援しました。
また、私達は研究者に、問題が完全に解決され顧客が保護された後に、発見した情報について透明性を保つことをお勧めします。これは、すべての研究者がベースラインとして特定した手法を使用して脆弱性をさらに検出し、システムのセキュリティを強化するために行います。このアプローチは、お客様が影響を受ける前に問題を特定し、その道のりを共有してセキュリティコミュニティが学び、よりよく一緒になれるようにするという、セキュリティパートナーシップの強みも示しています。
脆弱性の軽減
クラウドでは、リアルタイムで作業します。マイクロソフトのクラウドサービスは、攻撃に対して強化するために継続的に更新されており、これらの軽減策は火曜日の更新サイクルに従っていません。これらは軽微な変更である場合もあれば、潜在的な問題のクラス全体に対処するものもあり、潜在的なシナリオの範囲に影響を与える可能性のある根本的な問題を修正します。
クラウドでは、更新プログラムの準備が完了してテストされるとすぐに、サービスにリリースされます。通常、お客様の操作は必要ありません。
セキュリティインシデント対応
セキュリティの脆弱性が発見された後、マイクロソフトの対応にはいくつかの段階があります。
- 検出: 問題は社内のセキュリティ専門家または外部パートナーによって報告され、24 時間 365 日のセキュリティチームがそれに応じて対応し、評価を開始します。
- 軽減策: 問題が評価されると、チームは 24 時間体制で軽減策を特定してテストします。これには、バリアント分析と、可能であれば単一の脆弱性ではなく、問題のクラス全体を排除する機会の根本原因の調査が含まれます。また、互換性とデータの整合性を確保するために、修正を徹底的にテストします。
- デプロイ: 軽減策の準備が完了し、テストされたら、クラウド サービスにリアルタイムでデプロイします。これは火曜日の更新時間枠に縛られるものではなく、必要に応じて定期的に更新されます。
問題に対処した後、マイクロソフトのチームはインシデント後のレビューを実施して問題を特定し、プロセスを改善します。お客様やパートナーからのフィードバックを歓迎し、インシデント後のレビューでこの情報を確認して、継続的に改善できるようにしています。
一般的な脆弱性とエクスポージャー(CVE)に対する当社のアプローチ
CVE プログラムは、サイバーセキュリティのランドスケープの大幅な変化とともに変更できる一連のルールによって導かれます。2019 年には、クラウドベースの脆弱性に対応するためにルールが変更されました。 具体的には、ルール 7.4.4 が追加され、「脆弱性を解決するために顧客またはピアのアクションが必要な場合」に、クラウドの脆弱性への CVE 割り当てが許可されるようになりました。このルール変更が有効になって以来、マイクロソフトは、お客様またはエコシステムを保護するために業界によって、彼らに必要なアクションについてメッセージを送付したい場合に、CVE をクラウドベースの脆弱性に割り当てています。
マイクロソフトが CVE を発行する場合、ほとんどの場合、お客様が実行する必要があるアクションがあります。お客様の操作が必要な場合、マイクロソフトは、各お客様に更新プログラムを適用するための独自のプロセスと時間枠があることを理解しています。ただし、できるだけ早くすべての更新プログラムを適用することをお勧めします。
顧客へのターゲットを絞ったコミュニケーション
セキュリティまたはプライバシー インシデントの場合、マイクロソフトは確立された通信チャネルを通じて可能な限り適切なユーザーを対象に必要な情報をお客様に提供しています。 通知は、影響を受ける特定のリソースを対象とし、インシデントに関する必要なアクションや認識に関する情報を顧客に提供します。 顧客通知に関する当社の主な原則は次のとおりです。
- 顧客の信頼 : ターゲットを絞った通知の徹底、カスタマーオブセッション、そして常にエクスペリエンスを向上させることで、これを実現しています。
- 透明性: 影響を受ける可能性のあるお客様に、実行するべき正確な手順を通知します。お客様とプラットフォームのセキュリティとプライバシーを保護するため、通知は可能な限り対象を絞っています。
- 機密情報とプライバシーの保護 : セキュリティまたはプライバシー インシデントに関する機密性の高い詳細が広く伝達されないように、情報の拡散が制御され、脆弱性がより広く認識される前にお客様が行動を起こす時間を確保します。
クラウドの利点
セキュリティチームが 24 時間体制で問題を特定し、リアルタイムで更新プログラムを展開し、新しい脅威を検出するためにアラートを待機していることを知ることの組み合わせは、お客様にとってのクラウドサービスの利点のほんの一部です。
お客様は、環境をセキュリティで保護するためのベスト プラクティス (Microsoft セキュリティのベスト プラクティス) に従うことをお勧めします。
Aanchal Gupta
コーポレートバイスプレジデント |マイクロソフト セキュリティ レスポンス センター