原題: Sophos’ Secure by Design 2025 Progress
Sophosの「セキュア・バイ・デザイン」進捗報告と多要素認証強化の取り組み
2024年、Sophosは米国のCISA(Cybersecurity and Infrastructure Security Agency)が推進する「セキュア・バイ・デザイン」イニシアチブに早期にコミットしました。本記事では、同社が約1年間で達成したセキュリティ強化の進捗と、特に多要素認証(MFA)の強化に焦点を当てて解説します。
主要なポイント
- 多要素認証(MFA)の強化とパスキー導入:2024年11月にSophos Centralにパスキー認証を導入し、パスワードレスでフィッシングに強い認証を実現。2025年7月時点で20%以上の認証がパスキーを利用。
- 旧式MFAの廃止:SMS認証などの旧式MFAを廃止し、ユーザーにはTOTP(Time-based One-Time Password)かパスキー認証への移行を義務付け。
- デフォルトパスワードの排除:全製品でデフォルトの認証情報を禁止し、強力かつユニークなパスワードの使用を徹底。
- Sophos Firewallのコンテナ化による脆弱性軽減:重要サービスのコンテナ化により、リモートコード実行(RCE)などの脆弱性の影響を低減。
- 脆弱性報奨金プログラムの拡充:報奨金額の引き上げや対象製品の拡大により、セキュリティ研究者の協力を促進。
技術的な詳細や背景情報
「セキュア・バイ・デザイン」とは、製品やサービスの設計段階からセキュリティを組み込み、リスクを最小化する考え方です。Sophosはこの枠組みの7つの柱に基づき、認証強化、脆弱性管理、透明性の向上など多方面で改善を進めています。
特にパスキー認証は、公開鍵暗号方式を用いたパスワードレス認証で、フィッシング攻撃に強いのが特徴です。従来のSMS認証は盗聴や乗っ取りのリスクが高いため廃止し、より安全なTOTPやパスキーに移行しています。
また、Sophos Firewallのコンテナ化は、サービスを独立した環境で動作させることで、万が一の脆弱性が他の部分に波及しにくくする技術的対策です。これにより、リモートコード実行などの重大な脆弱性の影響を限定的に抑制できます。
影響や重要性
これらの取り組みは、Sophos製品のセキュリティレベルを大幅に向上させ、顧客のシステムをより安全に保つことに直結します。特に多要素認証の強化は、侵入リスクを大きく減らすため、企業の情報資産保護に不可欠です。
さらに、脆弱性報告の透明性向上や報奨金の増額は、セキュリティ研究者との協力関係を強化し、未知の脆弱性の早期発見と対応を促進します。これにより、Sophos製品の信頼性と業界内での評価も高まります。
まとめ
Sophosは「セキュア・バイ・デザイン」原則に基づき、多要素認証のパスキー対応や旧式MFAの廃止、Firewallのコンテナ化など多角的なセキュリティ強化を推進しています。脆弱性報告の透明性向上や報奨金制度の拡充も含め、同社は顧客の安全を第一に考えた継続的な改善を約束しています。今後も進捗報告や新たなコミットメントに注目が集まります。
