マイクロソフト、内部告発者が「セキュリティより利益を優先した」と主張

マイクロソフト、セキュリティより利益を選び、米政府をロシアのハッキングに脆弱にしたと内部告発者が主張

元従業員の警告を無視

• 主な内容: 元マイクロソフト社員のアンドリュー・ハリスは、同社が重大なセキュリティ欠陥を無視したと主張している。この欠陥は、ロシアのハッカーが米国家核安全保障局（NNSA）を含む複数の機関に侵入するために使われたという。
• ハリスの発見: ハリスは、ユーザーがクラウドベースのプログラムにログインできるようにするマイクロソフトのクラウドアプリケーションで、深刻な欠陥を発見した。この欠陥により、ハッカーは正規の従業員になりすまして重要なデータを盗むことが可能になっていた。
• 会社の反応: ハリスはこの欠陥を同僚に知らせたが、会社は政府案件を失うことを懸念してこれを無視したという。マイクロソフトは長期的な代替策を用意するとしたが、その間もクラウドサービスは脆弱なままだった。

SolarWindsハッキング事件

• ハッキング事件の発生: ハリスが会社を去った後、ロシアのハッカーはSolarWindsハッキング事件を通じて複数の連邦機関から機密データを盗んだ。この攻撃は、米国史上最大級のサイバー攻撃の1つとして記録されている。
• ハッキングの方法: ハッカーはハリスが発見した欠陥を利用して複数の連邦機関のデータを盗み、これは長期的な情報収集を目的としたスパイ活動だと説明されている。

マイクロソフトの対応

• 公式見解: マイクロソフトは、顧客保護が最優先であり、あらゆるセキュリティ問題を徹底的に検討していると述べている。しかしハリスは、同社が顧客より利益を優先したと批判している。
• セキュリティ文化: マイクロソフトはセキュリティ文化の欠如を批判されており、社内でもセキュリティより利益を優先する文化が問題として指摘されている。

GN⁺の見解

• セキュリティと利益のバランス: 企業がセキュリティより利益を優先すると、長期的には顧客の信頼を失う可能性がある。これは最終的に企業の評判と収益に悪影響を及ぼしかねない。
• 政府との関係: 政府との契約を維持するためにセキュリティ問題を無視することは、短期的には利益になるかもしれないが、長期的には国家安全保障に対する大きな脅威になり得る。
• セキュリティ文化の改善が必要: マイクロソフトのような大企業は、セキュリティ文化を改善し、セキュリティ問題を迅速に解決する仕組みを構築する必要がある。これは顧客の信頼を維持し、長期的な成功を確保するうえで重要だ。
• 競合製品: Oktaのような競合製品も存在し、これらの製品はセキュリティにより重点を置いている。企業はさまざまな選択肢を検討し、最適なセキュリティソリューションを選ぶべきだ。
• 技術導入時の考慮事項: 新しい技術を導入する際には、セキュリティ問題を徹底的に検討し、潜在的な脆弱性をあらかじめ把握して対応策を用意する必要がある。これはハッキングのようなサイバー攻撃を防ぐうえで重要だ.