SFI 進行状況レポート 2025 年 11 月 | Microsoft トラストセンター

3 回目の進捗レポートでは、すべての分野およびエンジニアリングの柱ごとの最新情報を共有し、お客様が認められた業界フレームワークを使用して進行状況を理解しやすいように NIST Cybersecurity Framework へのマッピングを紹介し、お客様に提供された新しいセキュリティ機能をハイライトします。また、お客様がリスクを軽減しやすいように、ゼロトラスト原則に沿ったベストプラクティスと実装ガイダンスも共有します。

Microsoft は、組織全体でセキュリティを最優先する文化を引き続き育んでいます。

2025 年 7 月に割り当てられた、Microsoft で最も評価の高いコースの 1 つである「AI を活用した攻撃からの防御」に関する最新のセキュリティトレーニングを、従業員の 95% がすでに完了しています。
セキュリティに関するエンジニアリングの意識は、2024 年 2 月以降 9 ポイント上昇しました。
職場と家庭でセキュリティを最優先する意識を高めるために、Microsoft は、従業員向けのリソースを育成し、セキュリティ意識を向上させるためにお客様に初めて提供しました。

実践的なガイダンスを入手し、Microsoft の業務にセキュリティが組み込まれている仕組み、Microsoft のリーダーシップ、影響の測定方法を全文レポートで詳しくお読みください。

"Microsoft では、セキュリティチームだけでなく、すべての従業員にとってセキュリティを最重要課題にしています。”

Vasu Jakkal
CVP, Microsoft Security

Microsoft は、進化する脅威の状況と増大する規制の複雑さに対応するためにガバナンスモデルを拡張し続けています。

サイバーセキュリティガバナンスカウンシルの範囲を拡大し、副 CISO の機能を 3 つ追加しました。
- サプライチェーンとサードパーティ
- ビジネス機能、マーケティング、ファイナンス
- EU のサイバーセキュリティ法令の遵守
パートナーシップを深め、欧州の政府に脅威の状況をより適切に伝えるために、Microsoft 欧州セキュリティプログラムを作成しました。欧州連合のサイバーレジリエンス法の専門家グループへの積極的な関与を継続しました。
業界パートナーと積極的に協力し、既存および将来のサイバーセキュリティ規制との整合性を高め、グローバルサウスの地域別のサイバーセキュリティ推進イニシアティブを通じてサイバーセキュリティ機能を構築しました。

実践的なガイダンスを入手し、進化する脅威の状況と増大する規制の複雑さに対応するために Microsoft がガバナンスモデルを拡張し続ける方法に関する詳細を全文レポートでお読みださい。

"私たちは、文化に沿っていなければ持続可能なプログラムは成り立たず、ガバナンスに沿っていなければ測定可能なプログラムは確実に成り立たないと本当に信じています。”

Ann Johnson
CVP & Deputy CISO, Customer Security Management Office

セキュリティの原則

設計に組み込まれたセキュリティ、既定で安全、安全な運用

設計に組み込まれたセキュリティ、既定で安全、安全な運用という 3 つのセキュリティの原則に従って、Microsoft 社内の全チームが、お客様と Microsoft を保護するのに役立つイノベーションを引き続き提供しています。

クラウドのセキュリティの向上を支援するために、必須のセキュリティの既定値群を導入し、ハードウェアベースの信頼を拡大し、セキュリティベンチマークを更新しました。

全文レポートで Azure について詳しく読む
すべての Azure ユーザーに対して MFA が必須となったため、パスワード関連の攻撃のリスクが低減しました。さらに、Azure Bastion Developer は、35 のリージョンで仮想マシンへの既定で安全接続を提供するようになりました。
Microsoft クラウドセキュリティベンチマーク (MCSB) のバージョン 2 は、Microsoft Defender for Cloud を使用して実装できる最新のセキュリティベースラインガイダンスをお客様に提供します。
Azure Local は、セキュリティの既定の設定の数を 25% (400 件の設定) 増加しました。これにより、お客様が業界標準に準拠しやすくなり、ファイルレスマルウェアなどの別の脅威から Azure Local ノードの保護が強化されます。
全文レポートで Azure について詳しく読む
Microsoft は、お客様がリスクを軽減しやすいように、ゼロトラスト原則に沿ったベストプラクティスと実装ガイダンスを共有します。

実用的なガイダンスへのリンクを取得する

エンジニアリングの柱

6 つの SFI の柱には、セキュリティに対するアプローチを定義する目標とアクションが含まれます

28 個の目標のうち、5 個は完了間近、12 個は大きな進展を遂げており、残りに対しても引き続き進捗を図っています。SFI の結果として、プラットフォームとサービスのセキュリティが向上し、脅威を検出して対応する能力も強化されました。

Microsoft のサービスとお客様のために ID セキュリティを向上させました。
Microsoft Entra ID の署名 VM の 95% を Azure Confidential Compute に移行しました。
Microsoft Entra ID のセキュリティトークン検証の 94.3% を標準の ID ソフトウェア開発キット (SDK) に移行しました。
Microsoft の従業員とデバイスの 99.6% に対してフィッシングに強い MFA を強制しました。

実用的なガイダンスへのリンクを含む詳細情報については、全文レポートをお読みください。
分離を強化し、横移動のリスクを軽減し続けます。
生産性環境での Active Directory フェデレーションサービス (ADFS) の使用を中止しました。
Azure Service Manager (ASM) によって管理されているクラウド資産の 98% を Azure Resource Manager (ARM) に移行しました。
Microsoft の生産性環境と生産性環境で 560,000 の追加の未使用のテナントと古いテナントおよび 83,000 の未使用の Entra ID アプリを廃棄しました。

実用的なガイダンスへのリンクを含む詳細情報については、全文レポートをお読みください。
実現された向上により、ネットワークセキュリティが改善され、お客様に新しい機能が提供されました。
ネットワークデバイスの完全なインベントリと成熟した資産ライフサイクル管理を達成しました。
分離と保護制御の強化により、セキュリティを強化しました。
学習モードの 110 万以上のリソースと強制モードの約 50 万のリソースを使用してネットワークセキュリティ境界 (NSP) の導入を加速しました。

実用的なガイダンスへのリンクを含む詳細情報については、全文レポートをお読みください。
コードを構築、テスト、展開するために使用するシステムのセキュリティを改善しました。

コード署名はほぼ完全に本番用の ID に限定され、コード内で検出されたシークレットは継続的に修復されるようになりました。
ほぼ完全なソフトウェア資産インベントリにより、迅速なインシデント応答とユニバーサルポリシー適用が可能になります。
ガバナンス対象テンプレートを使用したほぼすべての生産ビルドと 94% のリリースパイプラインにより、既定で安全なパイプラインとネットワークの分離を拡大しました。

実用的なガイダンスへのリンクを含む詳細情報については、全文レポートをお読みください。
脅威の追求、迅速なインシデント応答、統合されたセキュリティ制御を推進しています。
生産インフラストラクチャの 98% は一元的に追跡され、ログは 2 年間保持されます。
Microsoft インフラストラクチャ全体で 50 以上の新しい検出を展開し、優先度の高い戦術、手法、手順 (TTP) を対象としています。該当する検出は Microsoft Defender に統合されます。
AI 統合により、識別から効果の検証までの検出のライフサイクル改善を加速しています。

実用的なガイダンスへのリンクを含む詳細情報については、全文レポートをお読みください。
脆弱性の識別、トリアージ、解決の速度を上げています。
AI ベースの脆弱性トリアージにより、ボリュームとスコープが継続的に増加しているにもかかわらず、脆弱性を軽減する時間を短縮しながら、脆弱性への対処の成功率が 72% に達しました。
展開プロセスの迅速化により、脆弱性の軽減が加速しました。
Microsoft は、53 件の対応不要のクラウド CVE を含む 1,096 件の CVE を公開し、1,700 万米国ドルの報奨金を支払い、透明性と外部連携を強化しました。

実用的なガイダンスへのリンクを含む詳細情報については、全文レポートをお読みください。