Microsoftは11月2日(米国時間)、「Announcing Microsoft Secure Future Initiative to advance security engineering|Microsoft Security Blog」において、Microsoft製品とプラットフォームに組み込まれたセキュリティを継続的に改善する取り組みに「Secure Future Initiative」を追加すると発表した。
Secure Future Initiativeは次の3点で構成される。
- ソフトウェア開発の変革
- 新しいアイデンティティ保護の実装
- 脆弱性への迅速な対応
「ソフトウェア開発の変革」とは、自動化と人工知能(AI: Artificial Intelligence)を使用してソフトウェア開発を変革することを指す。具体的には、設計、デフォルト、展開、運用において安全なソフトウェアを提供するために最善を尽くし、従来のセキュリティ開発ライフサイクル(SDL)を「ダイナミックSDL(dSDL: dynamic Security Development Lifecycle)」に進化させる。また、脅威モデリングを加速、自動化してコード解析のCodeQLを商用製品のすべてに導入し、メモリセーフ言語(C#、Python、Java、Rustなど)の使用を引き続き拡大する。さらに言語レベルでセキュリティを構築し、従来のソフトウェアの脆弱なクラスを排除するとしている。
「新しいアイデンティティ保護の実装」とは、すべての製品とプラットフォームにわたって、ユーザー、デバイス、サービスのアイデンティティとアクセス権を管理および検証する統一的で一貫した方法を提供することを指す。具体的にはトークンバインディング、継続的アクセス評価、高度なアプリケーション攻撃の検知、追加のアイデンティティログサポートなど、高度なアイデンティティ防御を実装するライブラリの使用をMicrosoft全体で強制するとしている。
「脆弱性への迅速な対応」とは、クラウドプラットフォームの脆弱性への対応と、セキュリティアップデートの限界に挑戦することを指す。Microsoftは具体例として、クラウドの脆弱性を軽減するのにかかる時間を50%短縮する予定としている。
これらSecure Future Initiativeを構成する3点は孤立したものではなく相互に依存しており、これらの取り組みにより現在および将来のサイバー脅威に対処できる総合的かつ包括的なセキュリティインフラストラクチャを構築するという。また、Microsoftは今後、数カ月から1年をかけて実現に向けたマイルストーンを発表する計画。