オンラインの安全を守るために求められる協調的なアクション:先週のサイバー攻撃からの学び

Posted by: ブラッド スミス (Brad Smith) プレジデント兼最高法務責任者   先週金曜日の早朝、世界は大規模なサイバー攻撃を経験しました。 悪意のあるソフトウェア “WannaCrypt” が、英国とスペインから始まって急速に世界中に広まり、Bitcoin による身代金を支払わないユーザーのデータ利用を妨害しました。WannaCrypt が攻撃に悪用した脆弱性は、米国のNSA(National Security Agency:国家安全保障局)から漏洩した脆弱性情報に基づくものです。この漏洩事件については既に公表されていました。その1 カ月前の 3 月 14 日には、マイクロソフトはお客様をこの脆弱性の悪用から守るためのセキュリティ更新プログラムを公開していました。


クラウドのイノベーションを守るために

(米国で、2017年2月8日に公開されたブログの抄訳をベースにしています) Posted by:ブラッド スミス (Brad Smith) プレジデント兼最高法務責任者 クラウドコンピューティングの急速な進化により、新たな機能、洞察力、効率性を産み、規模を問わず、企業の製品やサービスの提供方法の変革が進んでいます。この変革が加速する中、事実上あらゆる業種のすべての企業がデジタルビジネスになりつつあります。また、これらの企業は、デジタルビジネスとして急成長するデジタルエコノミーに参加する新たな法的面課題に対応しなければなりません。


日本マイクロソフトは「サイバーセキュリティ月間」に賛同します!

Posted by:岡部 一志 日本マイクロソフト株式会社 コーポレートコミュニケーション本部 本部長 政府では、国民一人一人にサイバーセキュリティについての関心を高め、理解を深めるために、2 月 1 日から 3 月 18 日までを「サイバーセキュリティ月間」としています。この期間、政府機関はじめ、広く産学官民の各機関が、それぞれサイバーセキュリティに関する普及啓発活動を集中的に実施します。2009 年(平成 21 年度)に「情報セキュリティ月間」として新設されて以来、今年で 8 回目を迎えるこの取り組みには、開始当初から毎年日本マイクロソフトとしても賛同しており、「セキュリティで未来をアップグレード」をキーワードに、今年も当社から様々な情報発信を行っていきます。


“Windows Server 2003 を使用されているお客様にとって今が移行の時です”

     サーバープラットフォームビジネス本部長の佐藤です。   2003 年 6 月に発売した Windows Server 2003 のサポート終了が、あと約 5 ヶ月後に迫ってまいりました。当社でもキャンペーンや、全国各地での移行セミナーを展開するなど、安心安全な環境へ移行していただけるような取り組みを展開しています。   今般、この Windows Server 2003 のサポート終了について公開された、マイクロソフト本社でクラウドアンドエンタープライズマーケティング担当コーポレートバイスプレジデントの沼本 健によるブログの翻訳を以下のとおりご紹介します。 —–       Posted February 3, 2015 by  沼本 健 クラウドアンドエンタープライズマーケティング担当コーポレートバイスプレジデント マイクロソフトが Windows Server 2003 をリリースしてからもう 12 年が経っているとは信じがたいことです。2003 年を振り返ってみると、Windows Server 2003 は、Trustworthy Computing Initiative の発表後に提供された最初のサーバーオペレーティングシステムであり、サーバーロールという考え方を導入しました。当時利用可能になりはじめた新規ハードウェアを活用し、最小推奨プロセッサ速度は 550 MHz であり、32 ビット版によって最大 4GB の RAM がサポートされました。市場の評価は高く、当時としてはマイクロソフトのサーバービジネス史上最も普及した企業向け製品となりました。パートナーとしてマイクロソフトと Windows Server 2003…


サイバー空間の『交通安全』を実現するため、警視庁様との官民連携を強化します

   こんにちは、技術と開発を担当している加治佐です。  さて、さきほど弊社のプレスリリースでも正式に発表しましたが、このたび日本マイクロソフトは警視庁様と「Security Cooperation Agreement(セキュリティ協力に関する覚書)」を締結しました。ひとことで申し上げると、「サイバー空間の安心・安全を維持するために、マイクロソフトが技術の面からご協力します」というもので、この覚書に基づいて当社がご協力するのは主に以下の 3 点です。 技術情報の提供…毎月のセキュリティ更新プログラム公開と同時に、製品のセキュリティに関する情報を迅速に提供します。 緊急時の協力…大規模なサイバー攻撃発生時などにおいて警視庁様と連携し、状況の分析や技術的なアドバイスを提供します。 サイバーセキュリティ人材育成への貢献…警視庁の職員の方々に対し、当社製品に関する研修や、マイクロソフトが主催する国際カンファレンスへの参加などを通じた技術支援を提供します。   マイクロソフトでは、世界各国の公的なセキュリティ機関に対して「Security Cooperation Agreement」を提供しています。すでに JPCERT コーディネーションセンター様をはじめ、国内外 50 以上の公的セキュリティ機関と同様の覚書を締結しており、今回の警視庁様との取り組みも、その一環となります。  当社では 2002 年より『Trustworthy Computing(信頼できるコンピューティング)』の考え方に基づき、セキュリティを製品設計の最優先事項として位置づけ、自社製品のセキュリティ向上に努めています。しかしながら、たとえば、毎日の交通安全が自動車メーカーの努力だけでは実現しないように、『安心・安全なサイバー空間』の実現にも、多くの皆さんの連携がカギとなります。もちろん、クルマを運転するドライバー一人一人がドライブ前の点検を忘れず、また安全運転を心掛けること=コンピューターを使う皆さんが、ソフトウェアの更新や、ウィルス対策を怠らないことも、とても大切な要素のひとつです。  あらゆる人やモノがインターネットでつながるようになった昨今、残念ながら、技術を悪用しようとするサイバー犯罪は後を絶ちません。ちょうど街角で私たちを見守ってくださるお巡りさんのように、日々セキュリティの課題に取り組んでいる皆様に改めて敬意を表すとともに、当社も技術の側面から、安心・安全なサイバー空間の実現に貢献できればと考えます。  


Windows XP からの移行はもうお済みですか?~ データ引越しツール(無償)のダウンロード期限は 6 月 30 日までです。

        皆さん、こんにちは。Windows 本部の藤本です。  2014 年 4 月 9 日(日本時間)に Windows XP および Office 2003 のサポートを終了させていただいてからもうすぐ 3 か月が経とうとしています。Windows XP、Office 2003 からの移行はもうお済みでしょうか?  3 月から提供中の Windows XP 専用「ファイナルパソコンデータ引越し eXPress」(使用期限付き) の無償ダウンロード提供期限が 6 月 30 日に迫っています。最新の Windows PC には、データや Windows の設定の引越しを支援するソフトやツールがあらかじめ搭載されているモデルがありますが、本ツールはそのような移行ツールやソフトが付属されていない PC を購入されたお客様向けに提供しています。  「ファイナルパソコンデータ引越し eXPress」は、Windows XP 搭載 PC から Windows 8 / Windows 8.1 搭載 PC へ、データと設定の移行をお手伝いするツールです。ダウンロードおよび詳細情報については、製品紹介サイトを確認ください。  また、既にダウンロードいただいた方も、使用期限が 2014…


Microsoft アカウントのセキュリティを向上

  皆さん、こんにちは。 米国時間4月17日に、2段階認証機能などを含めた、Microsoftアカウントのセキュリティ向上に関する情報がThe Official Microsoft Blogにポストされました。以下はその翻訳です。      Microsoftアカウントのセキュリティを向上 http://blogs.technet.com/b/microsoft_blog/archive/2013/04/17/microsoft-account-gets-more-secure.aspx 17 Apr 2013 9:00 AM マイクロソフトでは、アカウントのセキュリティを向上するために2段階認証機能の提供を含めたMicrosoftアカウントのメジャーアップグレードを順次展開します。 マイクロソフトは、世界中の7億人以上の人々が使っているネットワーク接続されたデバイスやサービスの提供に注力してきました。Microsoftアカウントは、Windows PC、Windows Phone、Xbox、Outlook.com、SkyDrive、Skype、Office などの製品で、共通の体験を実現する上で不可欠のものです。 マイクロソフトは、Microsoftアカウントの重要性を考慮し、アカウントの保護に尽力しています。これが、アカウントの保護をさらに強化する2段階認証のオプションを今回さらに追加する理由です。ご利用のアカウント上に今後数日間のうちにこのオプションが表示されるようになります。この機能は、オプションの表示を待たなくでも、https://account.live.com/proofs/Manage において皆様ご自身でも有効にできます。   ひとつのアカウントでデジタルの世界につながる Microsoftアカウントはデバイスとサービスの体験をよりパーソナルで適切なものにします。Microsoftアカウントでどのデバイスからサービスにサインインしても、個人設定、連絡先などの情報が自動的に連携されます。つまり、どこに居てもFacebook, Twitter、LinkedInなどのサービスでの友人と常につながった状態でいられるのです。 Outlook.comの受信トレイとカレンダー、Skypeのビデオチャットで連絡する  Xbox Liveのゲーム、Xbox Music、Xbox Videoで楽しむ  SkyDriveを使ってすべての写真、動画、ドキュメントなどにアクセスする  Facebook、LinkedIn、Twitterなどのネットワーク上の連絡先を一元管理する  Officeで個人の生産性を最大化する    2段階認証のオプションでセキュリティを向上 このような可能性が提供される一方で、(あらゆる主要なアカウントシステムにおいて言えることですが)犯罪者がオンラインの顧客をターゲットにするケースが増えています。犯罪者の先手を取って、お客様の安全を守るために、マイクロソフトはサービスを常にアップデートしています。ほとんどの作業は外からは見えないところで行われており、マイクロソフトは、お客様に影響を与えることなく、連日、数百万件もの不正行為を食い止めています。しかし、さらに保護を強化できるツールを求めるお客様もいます。そこで、マイクロソフトは努力の結果、まさにそれを目的とした体験を作り出しました。 今回のリリースでは、Microsoftアカウント全体で2段階認証のオプションが利用可能になります。2段階認証により、アカウントにアクセスする際に2種類の情報が求められるようになります。たとえば、パスワードに加えて、セキュリティ情報として記録されている電話やメールで送られてきたコードの入力が必要になります。 1年以上前のことになりますが、マイクロソフトは、クレジットカード情報の編集、commerce.microsoft.comやxbox.comでのサブスクリプション、SkyDrive.comを通じた他のコンピューター上のファイルのアクセスなど、重要性がきわめて高い一部の作業向けに2段階認証の提供を始めました。これらのシナリオでは、作業の重要性から考えて、2段階認証が誰にとっても常に必要になります。 今回のリリースでは、Microsoftアカウントで使っているサービス(またはデバイス)にかかわらず、アカウント全体を2段階認証で保護するよう選択できるようになります。この機能を有効化するかどうかはお客様の選択になりますが、アカウントのセキュリティを強化したいお客様向けにマイクロソフトはきわめて容易に設定を行えるようにしています。 マイクロソフトは、少なくとも2つのセキュリティ情報が記録されていることを確認します(ひとつの情報を失ったときのために2番目の情報を用意しておくことは常に重要です)。スマートフォンを使っている場合には、認証アプリの設定をサポートします。これにより、オフライン状態でも2段階認証コードを取得可能になります(休暇中に海外に滞在している時など、メッセージ受信の料金の支払いを避けたい場合にはとても有用です)。この場合には、次にサインオンした時にコード入力を求められることになります。 図1: 2段階認証の設定 設定作業を開始するにはhttps://account.live.com/proofs/Manageにアクセスしてください。      Microsoftアカウントをどこで使っていても有効 2段階認証は、どこでMicrosoftアカウントを使っていても、つまり、Windows 8上でも、Webブラウザー上でも、さらには、iOSやAndroidデバイス上のマイクロソフトのアプリやサービスにおいても保護を提供します。 図2: ウェブブラウザー使用時の2段階認証のコード入力 図3: Windows…


マンデーメモ:”Trustworthy Computing Next” と “A New Age of Personal Computing”

   皆さん、こんにちは。  2 月 29 日にスペイン バルセロナで開催されていた MWC(Mobile World Congress)において Windows® 8 Consumer Previewを発表、公開しました。おかげさまで、既に全世界で 100 万ダウンロードを超えたという報告がされています。今週ドイツで開催される CeBIT においても、引き続き Windows 8 Consumer Preview に関する情報発信が行われますので、The Windows Blog や Building Windows 8(開発チームブログ:英語)などをチェックして下さい。  ところで、Windows 8 Consumer Preview の発表に注目が集まった先週、米国において、以下のような将来の Computing に向けた重要な取り組みを発表、紹介しています。 1. Trustworthy Computing(TWC)Next  2002 年に会長のビル ゲイツが「Trustworthy Computing(TWC)」(信頼されるコンピューティング)を提唱して今年で10年となります。先週米国サンフランシスコで開催された RSA Conference において、TWC 担当コーポレートバイスプレジデントのスコット チャーニーが、“TWC Next”(今後の TWC の方向性)について講演を行いました。  講演のサマリーを少し紹介します。  講演の中でチャーニーは、情報の利用と説明責任にフォーカスしたより効果的なプライバシー基準の構築、障害のモデル化と標準化によるクラウドサービスの総合的な信頼性の改善、そして、脅威対策の改善、検知と抑制への注力などのより包括的なセキュリティ戦略の採用を行うよう、産業界と政府に提言しています。 10 年前に TWC を提唱し、産業界の協力を呼びかけてきましたが、テクノロジと社会との関係性は年々非常に強くなってきて、世界の産業界と政府にとって、ビッグデータによるプライバシー保護への懸念、政府とインターネットの関係の変化、拡大する脅威モデルなどのあらゆる要素が、新しい課題となっています。  特に、多様なデバイスとクラウドサービスの普及が、グローバルな大量データの集積、すなわち、ビッグデータを生み出していて、社会に多くの潜在的メリットをもたらす一方で、特有の問題も引き起こすという懸念があります。セキュリティの観点から言えば、ビッグデータは攻撃者にとって格好のターゲットになり、クラウドや多様なデバイスと社会との融合が進むにつれ、データやサービスの信頼性と可用性への依存度も高まっていきます。この結果、収集、分析、配布の対象となるデータの量と属性の大幅な増加により、従来のルールではプライバシーを保護することが困難になっています。…


あなたの PC に愛を!2 月は「情報セキュリティ月間」です。

 皆さん、こんにちは。チーフセキュリティアドバイザーの高橋です。  私は日本マイクロソフトにおいて、コンピューターのセキュリティやプライバシーに関する理解促進や官民連携など、一般の利用者から企業、政府や自治体まで幅広い対象に「IT を安全に利用していただくための活動」を行っています。  2 月は日本政府の定めた「情報セキュリテイ月間」であることをご存知でしょうか。 本日、当社品川本社オフィスにて、アドビシステムズ様、日本アイ・ビー・エム様、ヤフー様などと共同で 2 月 1 日より展開しているセキュリティ啓発キャンペーン「LOVE PC 2012」の活動報告会を行いました。本キャンペーンは、当社をはじめとする業界各社で構成される団体「情報セキュリティ対策推進コミュニティ」が展開するものです。活動報告会では、このキャンペーンを後援いただいている内閣官房情報セキュリティセンターの花岡一央様、独立行政法人情報処理推進機構 (IPA) の大森雅司様にもゲストとして参加いただき、スピーチしていただきました。  (本日の活動報告会より)  なぜ、ふだんはビジネスの現場において競合でもある各社が、今日は一緒に活動報告会に臨んでいるのでしょうか?  それは、「安心、安全なコンピューティング」は、どこか 1 社の企業で実現できるものではないからです。  JPCERT コーディネーションセンターと IPA などが運営しているセキュリティ情報サイト「Japan Vulnerability Notes(JVN)」では、日々あらゆるソフトウェアやプラットフォームにおける脆弱性が報告されています。 脆弱性対応のプロセスが確立し、業界の連携が進んだおかげで、脆弱性の発見からそれを修正する更新プログラムのリリースまでの時間はどんどん短くなっていますが、このリストをご覧いただくだけでも、脆弱性の問題は、特定の製品や会社だけが抱えているのではないことがお分かりいただけると思います。  当社では、2002 年にビル ゲイツが提唱した「Trustworthy Computing(信頼できるコンピューティング)」の考え方に基づき、セキュリティを製品開発において最も重視されるべき要素のひとつとして位置づけました。これに基づき、安全な製品を開発するための「セキュリティ開発ライフサイクル (SDL)」が生まれ、当社の製品、サービスには、この開発サイクルが取り入れられています。こうして開発されたソフトウェアは、10 年前と比較して非常に堅牢なセキュリティを実現しています。  加えて 1999 年からは、正確な情報をいちはやく日本のお客様にお届けすることを目的に、米国で公開されたセキュリティ情報を、日本でも同時に提供する取り組みを続けています。英語以外の言語で、米国本社と同じタイミングでセキュリティ情報が提供されるのは、実は日本語だけです。これらの活動が評価され、昨年、当社のセキュリティレスポンスチームは日本ネットワーク セキュリティ協会より特別賞をいただきました。  ただ、これらの活動でカバーできるのは、あくまでも当社製品のこと。 IT が生活に浸透した現代において、ソフトウェアに求められるセキュリティも様変わりしています。デバイスやサービスが多様化する現在、お客様の安心・安全なコンピューティング環境を実現するためには、IT 業界の「横」の連携のみならず、政府や大学などの公的機関とも連携した取り組みが不可欠です。そのため当社では 2007 年より「情報セキュリティ対策推進コミュニティ」に積極的に参加し、関係省庁や各社様と連携して啓発を続けています。今回の「LOVE PC 2012」キャンペーンも、そのような官民挙げた取り組みの一環となります。  当社の調査では、システムの更新を適切に行うだけで、ウィルス等からの攻撃のおよそ 99% から身を守ることができます。高度なサイバー攻撃や、スパイ映画さながらのシステムへの侵入を心配するよりも、まずは、 Windows と主要なアプリケーションの自動更新を有効にする。 類推されにくいパスワードを使い、定期的に変更する。 ウィルス対策ソフトを使用し、最新に維持する。 といった基本的な対策を、いまいちど見直されることをお勧めします。  「LOVE PC2012」の Facebook ページでは、あなたのPCの安全度を楽しく診断できる…


果てしなく続くセキュリティへの取り組み

  みなさん、こんにちは、技術と開発を担当している加治佐です。 前回のブログでは、マイクロソフトのソフトウェア開発について書きました。 マイクロソフトでは、一般消費者向けから企業向けまで、幅広いソフトウェア開発をしていますが、今回のブログでは、そのすべてに共通で重要な課題であるセキュリティについて紹介します。セキュリティというと、セキュリティ更新プログラムを連想される方は多いかと思います。セキュリティ更新プログラムは、毎月2日以降の二度目の水曜日(つまり、米国時間では毎月第二火曜日)に、定期的に全世界で同時配布を行っています。このブログは、2月9日(水)に投稿しますが、同じ日に月例の配布が行われます。ソフトウェアの脆弱性(ぜいじゃくせい)を狙った攻撃は、悪意のあるユーザーがソフトウェアの弱いところを巧みに探し出して攻撃を仕掛けます。地域や国によってセキュリティ更新プログラムの配布するタイミングを遅らせることは、お客様の利用されているPCやサーバー、ITシステムに大きな影響を与えかねないので、一気に世界同時に配布を行います。 では、ソフトウェアの脆弱性を減らすために、どのような取り組みをしているのでしょうか。1990年代半ば以降の爆発的なインターネットの普及ともに、コンピューターウイルスの蔓延(まんえん)しやすい環境となりました。マイクロソフトでは、脆弱性を発見するための特殊部隊を編成して、様々な解析と攻撃を重ねながら製品開発を行いました。製品出荷後は、脆弱性が見つかったら、緊急性に応じた対策を遅延なく行い、更新プログラムを迅速に配布してきました。その一方、悪意の攻撃者が、攻撃の高度化とスピードを加速したことから、見つかった脆弱性に迅速に対処するという従来の方針では明らかに不十分な状態となりました。具体的には、2001年に、”Codered”、 “Nimda”といったワームが蔓延し、多くのコンピューターが感染するという全世界的に大きな混乱を引き起こしました。更に、2001年9月11日の悲惨な「同時多発テロ」により、物理的、電子的な「セキュリティ」の確保が、全世界的に社会的な大きな課題になりました。このような背景の中、マイクロソフトでは、2002年に「Trustworthy Computing(信頼できるコンピューティング)」の実現を目指すというメモ(英語)をビル ゲイツが社内外に向けて発信しました。そして、セキュリティを製品の設計段階から一貫した、特別部隊ではなく開発者すべてがセキュリティを最重要視した「セキュリティ開発ライフサイクル (SDL)」という新しい開発手法への大転換を行いました。それ以降、ソフトウェアの脆弱性を減らし、安全性を高める上での大きな成果を上げています。 その一方で、依然としてセキュリティに対する不安が存在しています。昨年行われたユーザー動向調査によると、新しい潮流であるクラウドコンピューティングの利用を検討する上で、半数以上の方がセキュリティを不安要因としてあげています。他方、既に利用を始めたユーザーの6割は、セキュリティに関して満足しています。新しい技術に対しての信頼を築きながら、不安を和らげる必要がありますが、クラウドのセキュリティは、いくら技術的に十分な考慮がされていても、運用経験の蓄積や心理的要素も含めると、多少の時間が必要であるとの状況も理解できます。マイクロソフトは、セキュリティを高めるための取り組みを、今後も重点的に続けますが、マイクロソフトだけでは解決できない多くの問題が存在します。セキュリティ問題やサイバー犯罪の軽減に向けて、業界各社の取り組み、業界による連携、政府関係機関との連携、国際連携などが非常に重要です。日本での取り組みとしては、内閣官房が2月と定めた「情報セキュリティ月間」にあわせて、内閣官房、警察庁、総務省、文部科学省、経済産業省、民間企業と連携しながら、情報セキュリティに関する普及啓発活動を官民連携の下に推進しています。 マイクロソフトは、これらの取り組みや連携に加えて、絵を交えたできるだけわかりやすい説明などを続けますが、利用者のみなさまにもセキュリティに対する理解を深めていただくことを、お願いしなければなりません。適切な知識のもとに、ITを上手く活用していきましょう。よろしくお願いします。  図 – ボット(BOT)感染率の世界地図 (データ元)(解説:日本は、サイバー犯罪者による悪意あるプログラムで乗っ取られたコンピューターの割合が最も低い国ですが、他の国や地域からの攻撃がなくなるわけではありません。)