Secure by Design
製品とサービス 製品とサービス

ソフォス、CISA の Secure by Design イニシアティブに対する誓約を発表

Secure by Design フレームワークにおける製品セキュリティの 7 本の柱それぞれについて、ソフォスの誓約と進捗状況を読者の皆様にお知らせします。

** 本記事は、Sophos Provides Progress on its Pledge to CISA’s Secure by Design Initiative の翻訳です。最新の情報は英語記事をご覧ください。**

テクノロジーソリューションは、人々の個人的な活動や業務活動のほぼすべての要素に組み込まれているため、すべてのソフトウェアは、その機能が何であれ、サイバーセキュリティを必須要件として設計されている必要があります。セキュリティを最優先に組み込まなければ、信頼できるデジタルエコシステムという目標は達成できません。

セキュリティ主導のアプローチの採用を推進するため、米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) は 2024 年 5 月 8 日、Secure by Design に対する誓約を発表しました。ソフォスは、以下に列記するテクノロジーと製品セキュリティの 7 本の柱に重点を置くこの誓約に、いち早く取り組んだ組織のひとつです。

  1. 多要素認証
  2. デフォルトのパスワード
  3. 脆弱性の種類そのものを削減
  4. セキュリティパッチ
  5. 脆弱性開示ポリシー
  6. CVE
  7. 侵入の証拠

今回の誓約への署名は以下のことを意味します。

  1. 安全設計の原則へのコミットメント
  2. サイバーセキュリティの透明性と継続的改善へのコミットメント
  3. すべてのベンダーは、自らが設計、構築、販売するテクノロジーのセキュリティと完全性の確保に全責任を負わなければならないと認識すること

ソフォスは、Secure by Design フレームワークの 7 本の柱それぞれについてソフォスの現状と誓約を広く共有し、進捗状況を定期的に更新することを約束します。

ソフォスの理念との合致

筆者はソフォスの CISO として、セキュリティアーキテクチャとアプリケーションセキュリティのスペシャリストを含む部門横断的なチームを率いており、エンジニアリングチームと緊密に連携してソリューションを設計・構築しています。

私たちは、将来のお客様と、すでに私たちのソリューションを信頼していただいている 60 万の組織のために、進化し続けるソリューションの完全性を確保するために協力しています。

ソフォスは、信頼は勝ち取るものであり、検証されなければならないものだと理解しています。そのため、透明性はソフォスの理念の長年にわたる礎となっています。

アクティブアドバーサリから身を守るために必要な手段そのものの性質により、サイバーセキュリティは難解です。真の透明性とは、改善すべき分野と成功した分野の両方を共有することだとソフォスは認識しています。業界全体でも、また自らの組織内にも改善すべき点が多いことを認識しています。これらの点については、本記事および今後掲載される他の記事でも公開し続けます。今回の誓約は、CISA のみによって作られたものではありません。本来セキュリティソリューションの設計とアーキテクチャに組み込まれるべきである、必須の考え方と枠組みです。ソフォスの「7 本の柱」への取り組みについて、ぜひ建設的なフィードバックをお寄せください。

Secure by Design に対する誓約

多要素認証 (MFA)

Sophos Central (統合セキュリティコンソール) は、デフォルトで MFA を強制します。お客様は連携認証をすることで各自の MFA も利用できます。どちらのオプションも追加費用なしで利用できます。

ソフォス製品の大半は、Sophos Central のみで管理できます。ソフォスのネットワーク製品で直接管理が可能な環境では、管理インターフェイスも MFA をサポートしています。しかし、管理インターフェイスが不必要に外部に公開されないように、Sophos Central 経由でデバイスを管理することを強くお勧めします。

さらに、ソフォスのデータでは、管理インターフェイスがインターネットに公開されている場合にお客様にとってリスクが最大化することが確認されています。ソフォスではお客様のために、このような外部へのエクスポージャーを低減するための取り組みを継続的に実施しています。たとえば、Sophos Firewall プラットフォームでは、インターネットに接続されていない管理ポータルを能動的にタイムアウトしています。その結果、過去 18 か月でインターネットに公開された管理インターフェイスを 21.5% 削減できました。今後、さらに削減を進める予定です。

誓約:

今後 12 か月以内に、Sophos Central でパスキーのサポートをリリースし、この強力な MFA 機構の導入に関する統計データを公開することを誓います。

デフォルトのパスワード

Sophos Firewall は、デバイスのセットアップ時に強力なパスワードを作成することで、初回起動時から安全な導入を保証します。このステップを完了していないと、ネットワークデバイスを設定し、本来の用途で使用することはできません。デバイスに保存された秘密情報と鍵をさらに保護するために、管理者は Sophos Firewall で機密データを暗号化する際に使用する二次認証情報を提供する必要があります。

Sophos Central の管理機能を活用し、TPM により支援される Zero Touch 機能を使用することで、Sophos Firewall を完全に導入できます。

誓約:

ソフォスは、現在および将来のすべての製品とサービスにおいて、デフォルトの認証情報を使用しないことを誓います。

脆弱性の種類そのものを削減

ソフォスでは、XSS や SQLi など、OWASP Top 10 にランクインした一般的なバグを体系的に防止するために、最新のメモリ安全な言語およびフレームワークを広範に使用しています。Sophos Central はメモリ安全な言語のみで記述されています。

ソフォス製品で特定された重要な CVE に対しては、特定された脆弱性のみを修正するのではなく、根本的な問題を体系的に排除することを目指しています。たとえば、レガシーコンポーネントが SQL クエリを適切にパラメーター化していないことに起因する CVE を発見した 2020 年には、ソフォスは大規模な対策を実施し、製品全体でパラメーター化されていないレガシー SQL クエリをすべて特定して削除しました。

SFOS v20 では、メモリの安全性を向上させ、バッファオーバーフローによる脆弱性からお客様を保護するために、インターネットに面したセキュリティクリティカルなサービスである Sophos Firewall VPN プロビジョニングポータルを書き直しました。SFOS v20 は 2023 年 11 月にリリースされました。

誓約:

SFOS v21 では、Sophos Central での管理に関連する主要なサービスをコンテナ化し、信頼境界とワークロードの分離を強化します。さらに、SFOS v22 ではアーキテクチャを大幅に再設計し、Sophos Firewall のコントロールプレーンをより適切にコンテナ化することで、RCE 脆弱性の可能性と影響をさらに低減します。

セキュリティパッチ

ソフォスのお客様は、Sophos Central を含むすべての Sophos SaaS サービスのセキュリティアップデートを自動的に受信します。Sophos Firewall と Sophos Endpoint もデフォルトで、セキュリティパッチがリリースされると自動的に受信し、インストールします。

Sophos Firewall をご利用のお客様は、必要に応じてこの機能を手動で無効化できますが、99.26% のお客様がこの機能を有効にしており、ソフォスの厳格なリリーステストに対する信頼が実証されています。

誓約:

ファームウェアバージョンが最新のファイアウォールを実行することは、デフォルトでセキュリティホットフィックスを受信すること以外にも、セキュリティ上の利点があります。この点を考慮し、2025 年 9 月までに Sophos Firewall ファームウェアのアップデートを自動的にスケジュールする機能をリリースすることを誓います。

脆弱性開示ポリシー

ソフォスは業界をリードする重要な情報公開プログラムを運営しており、長年にわたりセキュリティ研究者の皆様からご支援をいただいています。2018 年以降、ソフォスは 1,200件以上の脆弱性に対して報奨金を出しており、コミュニティに約 50 万ドルを支払ってきました。ソフォスの責任ある情報開示ポリシーには、研究者が法的措置のリスクを負うことなくソフォスと関係を持てるようにするため、セーフハーバー条項が盛り込まれています。ソフォス製品で特定された脆弱性に対しては、最高 50,000 ドルの報奨金を支払います。さらに、定期的に報奨金を増額して研究者を支援しています。

バグ報奨金プログラムの詳細については、ソフォスの CISO である Ross McKerchar と Bugcrowd の CEO である Dave Gerry がソフォスのプログラムについて議論する様子をこちらからご確認ください。

誓約:

ソフォスは、1 年以内に以下を実現することを誓います。

  1. ソフォスの脆弱性開示プログラムから得られた知見や教訓をレビューするブログ記事を公開することで、透明性を高め、業界全体の知識を増強する。
  2. セキュリティ研究者への報酬の上限を引き上げる。

CVE

セキュリティ関連の不具合はソフォスの最優先事項であり、一貫して対処しています。外部ソース (セキュリティ研究者、レッドチームによる演習など) から脆弱性が特定された場合、オンプレミス製品で CVE を公開できるよう、強力なプロセスを導入しています。しかし、内部で発見された脆弱性に CVE が付与されなかった事例も過去には確認されています。

ソフォスは現在、ホスト型 SaaS 製品には CVE を付与していません。CVE の未付与は業界の標準的な慣行だと考えていますが、このトピックに関する業界の継続的な議論も認識し、参加しています。

誓約:

ソフォスは、内部プロセスを拡張し、ソフォス製品において深刻度が「高」または「緊急」と判定されたすべての内部脆弱性について、外部 CVE を一貫して公表することを誓います。

侵入の証拠

ソフォスの製品とサービスは、お客様がインシデント対応に利用できるログ機能および監査機能を追加費用なしで提供します。

誓約:

サードパーティに監査ログを簡単に取り込めるよう、2025 年 7 月を目処に Sophos Central に追加の統合機能を提供することを誓います。

次のステップ

ソフォスの取り組みが前進し続けるのに合わせて、誓約に対する最新情報を定期的にお伝えします。今後の更新にご期待ください。