Tutorials Brawte nfaq 0 Comments

Google、企業向けアプリのセキュリティ記録のまずさを理由にMicrosoftを批判

Table of Contents

Google、企業向けアプリのセキュリティ記録のまずさを理由にMicrosoftを批判

更新されたGoogle は、Microsoft システムへの注目を集めた侵入を受けて勝利を収め、企業は Exchange と OneDrive を捨てて Gmail と Google Drive に切り替えるべきだと述べています。

Google の主張は、本日公開された「より安全な代替手段」と題するホワイト ペーパー [PDF] に記載されており、この検索大手によると、Microsoft のセキュリティに対するアプローチのあらゆる問題点を 14 ページにわたって概説している。

これは主に、2023年6月のExchange Onlineへの攻撃に対するMicrosoftの対応を先月詳述した米国政府のサイバーセーフティレビュー委員会(CSRB)の調査結果に依存している。

CSRBはこれに不満を抱き、中国のStorm-0558攻撃者がレドモンドのExchange Onlineにホストされた電子メールサービスに侵入して人々の受信トレイを漁ることを可能にするセキュリティキーをいつどのように入手できたのか、また、2016年に作成されたキーが7年経った今でもなぜ有効であるのかについて、Windowsの巨人が知識が不足していると批判した。

Google はまた、11 月に Midnight Blizzard が実行した別の攻撃に関する米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) のレポートも提示している。

チームの失敗

Google Cloudの失策でオーストラリアの基金が1週間破綻

続きを読む

実際、広告業界はCSRBとCISAの発言をほぼそのままにし、2023年6月の侵害に関するCSRBの報告書を合計16回引用・言及した。今月初めにオーストラリアの年金基金のクラウドサブスクリプションを誤って削除したGoogleは、自らコメントする際には「Microsoftの継続的なセキュリティ問題」について言及し、「Microsoftは自社のシステム、ひいては顧客データを安全に保つことができていない」と述べ、手加減する必要を感じなかった。

Googleは、Storm-0558が攻撃に使用されたキーをどのように入手したかが不明なことに加え、キーが仮想のクラッシュダンプから取得されたという説(後にMicrosoft自身が3月に否定した)など、Microsoftのセキュリティの優先順位や不正確な公式声明も批判している。

ある企業の違反は別の企業の広告機会となる

もちろん、Googleはライバルをただ面白半分に蹴飛ばしているわけではなく、競合するエンタープライズソフトウェアを強化する機会を捉えている。論文の後半では、Googleの見解として、WorkspaceがMicrosoftのエコシステムよりも優れている点について詳しく説明している。

Googleは、Googleのサイバーセキュリティ対策を指摘したCSRBの報告書を、Microsoftがそもそもすべきだったことの例として取り上げました。CSRBは、Googleが鍵をローテーションさせ、有効期間を短縮した方法を称賛し、当然のことながら、検索大手はこの点について1ページを割きました。

ホワイトペーパーでは、2009年にGoogleがOperation Auroraの一環として経験した侵害も取り上げ、この技術大手がセキュリティ問題を解決するためにそれをどのように利用したかを説明しています。

パスワードセキュリティ

Google Workspace の脆弱性により、平文パスワードの盗難が可能に

続きを読む

ホワイトペーパーには、同じく本日公開された2つのブログ記事が付随しています。これらのブログ記事では、ありがたいことにMicrosoftの名前は出ていませんが、Workspaceのセキュリティが明らかに優れているという点については、依然として多くの議論が交わされています。

GoogleはThe Register紙の取材に対し、2021年には米国の公共部門の85%がMicrosoftの顧客だと指摘しており、Chromeの巨人であるMicrosoftは、その顧客の一部を獲得しようと新たなプロモーションを開始する。従業員500人以上の機関は、Workspace Enterprise Plusプランを割引価格で利用できるほか、3年契約を結ぶと1年間の延長が無料で受けられる。

現時点ではこれですべて問題ありませんが、Google が自社の優れたセキュリティを自慢していることは、同社もサイバー攻撃の被害に遭った場合のリスクを高めることは間違いありません。®

追加更新

「当社のセキュア・フューチャー・イニシアチブ(SFI)は、マイクロソフトのあらゆる部門を結集し、当社のプラットフォームと製品全体にわたってサイバーセキュリティ保護を推進し、商業企業、政府機関、中小企業、個人を含む世界中の顧客に利益をもたらします」とレドモンドの広報担当者は語った。

「マイクロソフトは、最近発表した SFI のマイルストーンに加え、CISA の Secure by Design 誓約への署名や、高度な国家やサイバー犯罪者に関する脅威インテリジェンスのセキュリティ コミュニティへの共有など、サイバーセキュリティ コミュニティ全体の関係者と緊密に連携し続けています。」

Tutorials

Smart Recommendations

Discover More