Microsoft Issues CVE Numbers for Cloud Service Vulnerabilities
2024/06/30 SecurityOnline — セキュリティの向上と透明性の確保へ向けた動きとして、自社のクラウド・サービス内で発見/修正された重要な脆弱性について、CVE(Common Vulnerabilities and Exposures)番号を付与するという新しい慣行が、Microsoft により発表された。この転換は、ユーザーの介入なしに対処可能な脆弱性が必ずしも公開されていなかった、これまでの慣行とは一線を画すものである。
顧客による対処の有無によらず、クラウド・サービスの脆弱性に CVE 番号を発行するという決定は、現代のビジネスやインフラにとってクラウド・サービスが不可欠になるにつれて、Microsoft が透明性を重視するようになったことを反映している。顧客によるパッチ適用や緩和を必要としない脆弱性であっても、その情報を公に共有することで、すべてのパートナー企業と協調して、学習と改善のための環境を促進することを、Microsoft は目指している。
このような透明性の向上は、以下のようなメリットをもたらす:
- セキュリティの強化:脆弱性情報をオープンに共有することで、Microsoft とパートナーたちは、攻撃パターンの特定と防御の強化を推進し、最終的に安全なシステムを構築できる。
- 回復力の向上: 過去の脆弱性から学ぶことで、将来の脅威を的確に予測して対応することが業界全体として達成され、重要インフラの回復力が確保される。
- 顧客の信頼性向上: Microsoft が脆弱性を積極的に特定し、対処していることを知ることで、固有のユーザーに影響を与えない脆弱性であるにしても、クラウド・サービスに対する信頼と信用を高めることが可能となる。
Microsoft の Senior Program Manager である Lisa Olson は、「私たちの業界は成熟し、クラウドベースのサービスへの移行が進んでいる。したがって、クラウドで深刻なサイバー・セキュリティの脆弱性が発見/修正された場合には、透明性の確保が必要になる。発見/解決された脆弱性に関する情報をオープンに共有することで、Microsoft とパートナーは学習し、状況を改善していける。この協力的な取り組みは、重要インフラの安全性と回復力も貢献する」と述べている。
この新しい慣行の一例として、Microsoft Dataverse に影響を及ぼす脆弱性 CVE-2024-35260 に関するアドバイザリが発表された。
この変更は、顧客からのアクションを必要とするものではないが、より透明で安全なクラウド環境に向けた積極的な一歩になることを意味する。脆弱性に関するオープンなコミュニケーションに対する Microsoft のコミットメントは、クラウド・サービスにおける継続的な改善と、セキュリティに対するコントリビューションを示している。
スバラシイ! と、拍手大喝采してあげたい、Microsoft の英断です。これまで、セキュリティの専門家たちが、何度も繰り返して要求してきた、クラウドの CVE が、ついに実現されるようです。AWS も GCS も、ぜひ、追随して欲しいところです。2024/06/14 の「Microsoft が認めたセキュリティ施策の失敗:米政府委員会での Brad Smith 証言」にあるように、同社におけるセキュリティ態勢が変化していくなら、それは、とても素晴らしいことです。
IoT OT Security News 
You must be logged in to post a comment.