Microsoftの“セキュリティ重要宣言”をどう見る？　ユーザーが持つべき視点

　セキュリティにおけるベンダーの評価は、「信頼度」というあやふやなものになりがちです。どうしても主観的になりがちで、自分自身がその信頼度を測らなければならないという点でセキュリティベンダーの選定は非常に困難です。

「Google I/O」で公開された、AIによる詐欺電話ブロック機能のデモ（出典：Google I/Oのイベント動画で1時間28分あたりから抜粋）

　たった一度の失敗でその評価は変わってしまいますし、その失敗も見方によってはプラスになるケースもあります。例えば一大インシデントを起こした企業だったとしても、事後レポートの内容次第では大きく評価が変わるはずです。ただ、どちらにせよ正しいことをしているベンダーは大企業であれベンチャーであれ、しっかりと評価しなければならないと思っています。

　その視点で、今回はある大企業の“宣言”をチェックしていきましょう。

“セキュリティは最優先事項”　Microsoftが出した注目の“宣言”の中身

　注目の宣言をした大企業とはあの「Microsoft」です。Microsoftというと「Windows」の製造元であり、「Microsoft Azure」を提供するクラウドベンダーであり、多くの企業が利用している「Microsoft Defender」や「Microsoft Entra ID」（旧「Active Directory」）を提供するセキュリティベンダーでもあります。筆者はこれまでたくさんのセキュリティベンダーを追いかけてきましたが、個人的には世界でも有数のセキュリティに投資してきたベンダーだと思います。

　先日、Microsoftのサティア・ナデラCEOが同社の従業員に向けて発表したメッセージが大きな話題になりました。そのタイトルは「Prioritizing security above all else」（セキュリティを何よりも最優先する）です。日本語訳も公開されています。

　Microsoftはこの宣言の中で、「設計としての安全性」「規定設定での安全性」「安全な運用」という3つの基本原則を“全社を挙げて取り組む”としています。もともとは社内メッセージだったものを外部に向けてもアピールするという姿勢は、信頼度を高める良い広報戦略だと思います。OSのシェアが高い企業ですので、この宣言は多くの組織にとってもプラスになるでしょう。

　そして個人的にこのメッセージで最も重要なのは下記の一文でしょう。

セキュリティと他の優先事項のトレードオフに直面した場合、答えは明確です。セキュリティを優先してください。これは、場合によっては、新機能のリリースやレガシーシステムの継続的サポートなど、私たちが行う他のことよりもセキュリティを優先することを意味します。

（Microsoft「Prioritizing security above all else」から抜粋）

　これはMicrosoftだけでなく、サービスや製品を提供する全ての企業が考えなければならないことではないでしょうか。PSIRT（Product Security Incident Response Team）的な考え方は今後も忘れてはなりません。ぜひ、いま一度上記の宣言をジブンゴト化して考えてみてはいかがでしょうか。

各社で進むセキュリティの取り組み　今後ユーザーに求められる視点

　話は少し変わりますが、2024年5月に開催されたGoogleのイベント「Google I/O」でAIにまつわる興味深い新機能が発表されました。それは、「Android」端末内で動いているAIモデル「Gemini」が、通話内容をデバイス内で解析、認識し、詐欺電話と思われるキーワードや会話が含まれていた場合、利用者に警告し、通話をブロックするというものです。サポート詐欺が問題視されている現状を打破する待望の新機能だといえます。

　この他、日本では、携帯端末の開発などを手掛けるFCNTが新たに提供するスマートフォン「arrows We2」にも還付金詐欺に関する特定のキーワードを抽出し、けん制メッセージを発信する機能が搭載されることが明らかにされています。パスワードマネジャー／パスワード自動生成機能もあるようで、高齢者などを標的にした詐欺への対策に大きく役立てられそうです。

　最近は広告経由で詐欺サイトに誘導してサポート詐欺を実行するケースが深刻化しているため、AIが気付きを与えて人間の行動を抑止してくれるのは非常に有用でしょう。ただ、残念なことに詐欺のきっかけとなる「広告」そのものについては、多くの報道にもあるように対策に向けた積極的な動きは見えてきません。そもそもの不正な意図を持った広告を止めなければ、“対症療法”にしかならないでしょう。

　広告ビジネスを手掛けるGoogleやMeta Platformsが、こうした対策を講じるかというと、後手に回るような気もします。しばらくの間は「広告ブロッカー」を組織でもどう取り扱うか、考えなくてはならないでしょう。

　ITの世界は、さまざまな新機能を提供するベンダーの動きを評価しつつ、現在進行形で起きているインシデントへの対応も見る必要があります。そして私たちはそれらの行動による信頼度を基に、さらなる選択をしていかなければなりません。立派な宣言も“口先だけ”かもしれませんし、重大なインシデントを起こしても、そのリカバリーの手腕を評価する必要があります。

　ここでは信頼せよ、されど確認せよの考え方でのぞむのが良いと思います。Microsoftの宣言やAIを活用したスマートフォンの新機能には大拍手を送りつつ、その後どう実践されていくのか、そして広告詐欺の現状はどうベンダーとして改善が成されていくのか、それを見届けるのが私たちの役割なのではないでしょうか。