原題: Sophos’ Secure by Design 2025 Progress
Sophosの「Secure by Design 2025」進捗報告:1年間の取り組みと今後の展望
2024年、Sophosは米国のCISA(サイバーセキュリティ・インフラセキュリティ庁)が推進する「Secure by Design」イニシアチブに早期からコミットしました。本記事では、同イニシアチブの7つのコアピラーに基づく1年間の進捗状況を詳しく解説し、今後の課題と展望についてもご紹介します。
主要なポイント
- 多要素認証(MFA)の強化:Sophos Centralにパスキー対応を導入し、旧式MFA方式を廃止。2024年12月以降、20%以上の認証がパスキーで行われるなど、フィッシング耐性の高い認証環境を実現。
- デフォルトパスワードの禁止:すべての製品・サービスでデフォルト認証情報の使用を禁止し、強力かつユニークな認証情報の生成や複雑なパスワード設定を必須化。
- 脆弱性の根本的削減:Sophos Firewallの主要サービスをコンテナ化し、信頼境界の強化とワークロード分離を推進。SFOS v21およびv21.5で初期改善を実装し、SFOS v22でさらなる再設計を予定。
- セキュリティパッチの自動更新:2025年後半リリース予定のSFOS v22に自動更新スケジュール機能を搭載し、顧客のファームウェアを最新状態に保つ取り組みを強化。
- 脆弱性開示と報酬制度の充実:パブリックバグバウンティプログラムを活発に運用し、報告件数800件超、累計報酬50万米ドル以上を支払うなど透明性と研究者支援を推進。
技術的な詳細や背景情報
多要素認証(MFA)とパスキー:パスキーはパスワード不要の認証方式で、公開鍵暗号技術を利用しフィッシング攻撃に強いのが特徴です。SophosはこれをSophos Centralに導入し、旧来のSMS認証など脆弱性のある方式を廃止しました。これにより、ユーザーはより安全かつ利便性の高いログイン体験を得られます。
コンテナ化による脆弱性低減:コンテナ技術はアプリケーションやサービスを独立した環境で動作させることで、万が一の脆弱性が他の部分に波及しにくくなります。Sophos Firewallでは、重要な管理サービスをコンテナ化し、攻撃面を限定。SFOS v22ではコントロールプレーンの大規模再設計により、リモートコード実行(RCE)などの重大脆弱性のリスクをさらに低減します。
バグバウンティプログラム:セキュリティ研究者が製品の脆弱性を発見し報告する制度で、Sophosは報酬額を引き上げることで優秀な研究者の参加を促進。Windows Intercept X製品では最大8万米ドル、Centralでは最大5万米ドルの報酬を設定し、買収したSecureworks製品も対象に拡大しています。
影響や重要性
これらの取り組みは、Sophos製品のセキュリティレベルを大幅に向上させるだけでなく、顧客の信頼性向上にも直結します。特に多要素認証の強化や脆弱性の根本的な削減は、サイバー攻撃の被害を未然に防ぐ重要な対策です。また、透明性の高い脆弱性開示と報酬制度は業界全体のセキュリティ向上に寄与し、Sophosのセキュリティコミュニティにおけるリーダーシップを示しています。
さらに、ファームウェアの自動更新機能は、セキュリティパッチの適用遅延によるリスクを軽減し、運用負荷の低減にも貢献します。Sophosがこれらの施策を継続的に推進することで、顧客はより安全な環境で製品を利用できるようになります。
まとめ
Sophosは「Secure by Design 2025」イニシアチブに基づき、多要素認証の強化、デフォルトパスワード禁止、脆弱性削減、セキュリティパッチの自動更新、脆弱性開示の透明化など多方面で着実な進捗を遂げています。今後も計画の見直しや組織変革を経ながら、製品のセキュリティと透明性を高める取り組みを継続するとしています。
私たちユーザーや企業にとっては、Sophosのこうした努力が安全なIT環境の構築に欠かせない要素となるでしょう。今後の新たな誓約やアップデートにも注目し、最新のセキュリティ動向を追い続けることが重要です。
