Microsoft を 16 年間安全に保った男に会いましょう

• マイク ハワードは、マイクロソフトの最高セキュリティ責任者 (CSO) を 16 年間務めました。
• 彼は、会社の経営陣、90,000 人の従業員、および 100 か国に広がる会社の 700 の施設の約 90,000 人の請負業者を含む、約 200,000 人のグローバル チームのセキュリティを担当していました。
• 彼は、セキュリティをすべての従業員トレーニング プログラムに組み込み、セキュリティを企業文化の不可欠な要素にするなど、業界標準を設定しました。
• この記事は、Microsoft のセキュリティ プロトコルを 10 年以上にわたって管理してきたトップ CSO から学びたいビジネス オーナーおよびセキュリティ プロフェッショナルを対象としています。

マイク ハワードは、2002 年から 2018 年 8 月 31 日の退職まで、最高セキュリティ責任者 (CSO) としてマイクロソフトのグローバル セキュリティ オペレーションを率いた 22 年の経験を持つ元 CIA オペレーション オフィサーです。あらゆる種類の物理的またはサイバーセキュリティの脅威に対して機能するように調整されたプロトコル。これらのプロトコルは、攻撃の前と最中だけでなく、従業員に影響を与えた後も会社をサポートすることを目的としています。

伝統に根ざしたプロトコル

Microsoft はテクノロジ業界のパイオニアの 1 つと見なされていますが、Howard はかつて、Microsoft によって課せられたセキュリティ プロトコルのすべてではないにしても、その多くが、多くの企業でセキュリティを確保するための従来の方法に基づいていると述べています。

ハワード氏は以前のインタビューで、「社会としてのグローバル化が進み、企業の足跡が拡大し、すべてがデジタル化されているため、サイバーセキュリティは誰もが考える大きな問題です。「しかし、盗難、従業員に対する暴力、テロ、自然災害などの伝統的なセキュリティ問題は、企業にとって大きなセキュリティ上の課題であるという点で、依然として最も重要です。」

Howard は、テクノロジーが日々急速に進歩している一方で、Microsoft のような大企業は、数十年前に作成された青写真に基づいてセキュリティ プロトコルを構築する必要があると考えています。セキュリティの基礎は、Microsoft のような大企業を管理するための鍵ですが、小規模な組織にも当てはまります。

Microsoft のように世界 100 か国に 700 を超えるオフィスが分散している場合でも、サイバーセキュリティの向上を目指している中小企業の場合でも、すべての管理レベルで発生する共通のセキュリティ問題に焦点を当てる必要があります。

Microsoft がセキュリティを処理する方法

Microsoft は、自社のデータとクライアントのデータを確実に保護するために、年間合計 10 億ドルを投資していることは注目に値します。ただし、これは会社が投資するセキュリティの唯一の側面ではありません。また、ワークスペースの隅々で最大限のセキュリティが維持されるようにします。Microsoft のセキュリティ インシデント管理は、セキュリティ リスクを軽減するための基本的なプロセス (準備、検出と分析、封じ込め、根絶と回復、インシデント後の活動) に依存しています。

Microsoft はセキュリティに多額の費用を費やしていますが、例外的なセキュリティ プロトコルを導入した結果、攻撃の影響を防止および緩和することで得られる節約額は、費やした額を上回っています。

たとえば、適切なセキュリティ プロトコルがなければ、「知的財産が危険にさらされ、会社のブランドの評判に影響を与えたり、訴訟に発展したりする可能性があります」と Howard 氏は言います。どちらも会社にとって大きな損失をもたらす可能性があります。セキュリティは投資であるため、会社にとって追加費用ではありません。

これは、ハワードが Microsoft を去る直前に欧州連合 (EU) が一般データ保護規則 (GDPR) を採用したときに始まったデータ プライバシー法の台頭とともに特に重要です。GDPR により、データ侵害によって EU 内のユーザーの個人を特定できる情報が侵害された場合、企業は金銭的責任を負うことになります。カリフォルニア州消費者プライバシー法 (CCPA) などの同様の法律も GDPR の影響を受けて出現しており、企業はセキュリティ プロトコルを綿密に計画する必要があります。

Microsoft のセキュリティ プラクティスの例

同社のセキュリティ プロトコルの一環として、Microsoft は 2006 年から 6 か月ごとに Microsoft セキュリティ インテリジェンス レポートをリリースしています。その他の考えられる問題。

Microsoft が採用しているもう 1 つのセキュリティ機能は、Microsoft Defender Threat Intelligence プラットフォームです。これを使用して、セキュリティ アナリストは、最高レベルの注意が必要なシグナルまたは脅威を分析して優先順位を付けることができます。

これは、サイバーセキュリティ用に設計された AI のように機能し、脅威が発生するたびに Microsoft がユーザーにパーソナライズされた電子メールを送信できるようにします。これらの通信は、クリックしてはならない特定のリンク、疑わしいと思われる電子メール、および脅威としてフラグが立てられる可能性のあるその他のサイバースペース アクションについてユーザーにアドバイスします。

セキュリティ エバンジェリストとしてのマイク ハワードの役割

ユーザーとクライアントのデータを保護するために彼がマイクロソフトで制定した開発を超えて、会社の優れたセキュリティ対策の背後にいる人物としてのハワードの区別の多くは、他の人のためのエバンジェリストとしての彼の役割に起因しています. ハワードは、最下層の管理職から役員や株主に至るまで、社内の全員が、物理的な世界とサイバースペースの両方の世界におけるセキュリティの重要性を理解できるようにしました。

「[Microsoft のセキュリティへの取り組み] の多くは、過去 10 年間にさまざまな面でセキュリティを広めてきたことに関係しています」と Howard 氏は述べています。「私の IT セキュリティ部門の担当者と私は、有力者や意思決定者にセキュリティを理解してもらい、セキュリティへの取り組みをサポートしてもらい、そのメッセージを企業全体に広めるために熱心に取り組んできました。」

これらのプロトコルの重要性を Microsoft のすべての従業員の心に浸透させることは、継続的なプロセスです。これらの労働者は、会社で日常の活動を行う人です。そのため、職務を遂行する際には、ビジネスのセキュリティを念頭に置いておく必要があります。

マイクロソフトのマーケティング活動に関する計画を立てるときでさえ、ハワードは、従業員の完全性や会社の貴重な情報の完全性を損なうことなく、従業員が責任を果たすのに役立つ情報を提供するようにしました. ハワードが会社を去った今、そのセキュリティ伝道の文化はハワードの遺産です。

セキュリティを確保する方法としての従業員の支援

Howard は、Microsoft でのセキュリティを最大化するテクノロジの役割は別として、従業員は最大限の警戒と適切なセキュリティ ガイドラインの遵守を確実に行うための鍵であると考えています。

「トレーニング プログラムを実施することは、セキュリティ プログラムにとって不可欠です」と Howard 氏は言います。「それがなければ、包括的なセキュリティ プログラムはありません。Microsoft には、世界中の Microsoft をカバーするために、一定数のフルタイムの従業員とベンダーがいます。何を探すべきかを人々に教える啓発プログラムを作成し、作成しなければ、世界を適切にカバーすることはできませんでした。」

セキュリティ リスクについて従業員を教育することには、特定のセキュリティ上の利点があります。

• 従業員は自分自身のセキュリティ担当者になります。彼らはチームの福祉に責任を感じ、起こりうる脅威に注意を払います。
• 彼らは、セキュリティを最適化する際に通常は考慮されない要因を考慮して、セキュリティ プロトコルをより包括的かつ効果的にするために、独自の経験をもたらします。
• 従業員は、コンピューターの前と周囲の両方で警戒するように訓練されており、全体的なセキュリティが確保されています。

人事部門がセキュリティにとって最も重要な理由

ビジネスの不可欠な部分であるにもかかわらず、HR は、セキュリティを最適化する方法を議論する際に見過ごされがちです。多くの場合、企業のセキュリティ システムの抜け穴は、それまでは無関係と見なされていた領域で発見され、さまざまな種類の脅威の温床となります。

「不況、家庭内の問題、病気の親族との関係でさえ、職場でのセキュリティ強化の引き金となる可能性があり、これらの問題の解決を支援するチームを配置することで、暴力や暴力の発生を防ぐことができます。窃盗です」とマイクは言いました。

これは、セキュリティの問題を単独で処理するにはテクノロジーだけでは不十分であることを示しています。脅威が発生した場合に軽減ソリューションを準備する際には、Microsoft で最も単純なタスクを実行する人員を考慮する必要があります。人事部門からのこの種のリスクを評価できる専門家チームが、Microsoft を他社と一線を画すものにしています。これは、他の企業が注目すべき教訓です。

SMB が Microsoft の実践から学ぶ方法

SMB が Microsoft のサイバーセキュリティの慣行について持っている最大の誤解は、会社の情報を保護するためにどれだけの費用を費やすかの問題だということです。しかし、Microsoft の成功の背後にある真実は、財源の委任だけではありません。

Microsoft の成功したセキュリティ プラクティスの背後にある現実は、会社をゼロから構築する人々の適切な方向付けにあります。従業員がどの部門で働いていても、セキュリティ プロトコルの重要性を確実に理解し、作業中に遭遇する可能性のあるリスクを軽減するためのトレーニングを行うことが重要です。従業員に注意を払い、セキュリティ リスクを軽減するために必要な情報を積極的に更新することは、企業のサイバー セキュリティを管理する効果的な方法です。

セキュリティを偶然に任せないでください

元 CIA セキュリティ担当官としてのマイク ハワードの歴史は、Microsoft の最高セキュリティ責任者としての彼の役割への足がかりであり、セキュリティに関する彼の哲学は、適切なプロトコルが整っている限り、すべての脅威を軽減できるという事実に根ざしています。

Microsoft での Howard の時間は、サイバーセキュリティ システムと対応計画の実装、個々のチーム メンバーのトレーニング、または警戒を維持するために必要なリソースの提供を意味するかどうかに関係なく、セキュリティの技術的保護とプロトコル保護の両方の重要性を強調しています。会社のセキュリティは全員の仕事であり、その仕事を成し遂げるには 24 時間年中無休の献身が必要です。