PwC × Microsoft エンタープライズ・セキュリティの常識を書き換える「Secure-by-Default」への転換 – カスタム設計の終焉と、標準化・自動化の時代
2025年12月23日に公開されたインタビューで、PwCとMicrosoftが進める次世代エンタープライズ・セキュリティの実像が明らかになった。
PwCのサイバー/リスク領域を率いるPrakash Venkata氏は、企業セキュリティの前提そのものが変わりつつあると警鐘を鳴らす。
「危機が起きてから“キルスイッチ”を使うのでは遅い」
Microsoft「Baseline Security Mode(BSM)」の実証実験
PwCは、MicrosoftのBaseline Security Mode(BSM)を初めて実運用で検証したプロフェッショナルサービス企業となった。
BSMの目的は明確だ。
- テナントごとの設定ドリフト(構成のズレ)を排除
- **Secure-by-Default(初期状態から安全)**を前提とした標準化
- 人手依存のセキュリティ運用からの脱却
この取り組みは、俊敏性と安全性が衝突する**「ストレステスト」**でもあった。
PwCという“究極の検証環境”
PwCは、固定された境界を持つ企業とは異なる。
世界中に分散した監査人・コンサルタントが、数千のネットワークや顧客環境に常時接続する。
つまり、
- ここで耐えられるセキュリティ基盤は
→ どの企業でも通用する
BSMの導入は、エンタープライズ標準化の限界を測る“実戦テスト”だった。
浮き彫りになった「レガシーという負債」
パイロット導入で最初に露呈したのは、
**「すでに廃止したと思い込んでいた技術が、実は生き残っていた」**という現実だった。
例:
- Exchange Web Services(EWS)
- 古いファイル共有プロトコル
- 過去の顧客要件の名残で残存した設定
「見えていなかったから、排除できなかった」
これは単なる技術的負債ではなく、
**国家レベルの攻撃者にとって“眠った脆弱性”**である。
最大の障壁は「技術」ではなく「文化」
セキュリティ標準化で最も難しいのは、人と組織だった。
各国・各部門のIT管理者はこう主張した:
- 「今まで問題なかった」
- 「カスタム設定は業務に不可欠」
これはサバイバーシップ・バイアスに他ならない。
PwCは、セキュリティを“統制”としてではなく、
**「顧客データを守るための近代化」**として再定義することで合意形成を進めた。
見える化だけで終わらせない「自動修復」
多くのSOCが直面する問題はアラート疲れだ。
見えるが、直せない。
BSMの特徴は、
- 可視化 → 自動 remediation(修復)
- 恒久的な開放ポート → Just-in-Time アクセスへ移行
「必要な時だけ開く。常時開けておく理由はない」
これは、業務要件を否定せず、安全な形に再設計するアプローチだった。
「カスタムテナント時代」の終焉
Venkata氏は断言する。
- クラウド時代において
人間がハイパースケーラー以上のセキュリティ設計はできない - カスタマイズは、もはや誇りではなくリスク
Microsoftの姿勢は明確だ:
- 脆弱性は即時共有
- 無効化・低減のためのツールを提供
- 単一の可視化基盤(Single Pane of Glass)
これにより、CISOは
設定論争ではなく、事業リスクの議論に集中できる。
エンタープライズITリーダーへの結論
PwCの事例が示した教訓は明快だ。
これからのセキュリティ原則
- 標準を受け入れる(Accept)
- キルスイッチを訓練する(Practice)
- 徹底的に説明し続ける(Communicate)
「受け入れなさい。抵抗しないでください。
これは良いツールです。」
まとめ
- セキュリティは職人技から工業化へ
- カスタム設計は競争優位ではなく脆弱性
- Secure-by-Default × 自動修復が新常識
- サプライチェーン時代、一社の安全=全体の安全
PwCの取り組みは、自社防衛にとどまらず、
次世代エンタープライズ・セキュリティの設計図を市場全体に提示した。
