原題: Sophos’ Secure by Design 2025 Progress
ソフォス、2025年までの「セキュア・バイ・デザイン」進捗状況を発表
サイバーセキュリティ企業ソフォスは、2024年に米国のCISA(Cybersecurity and Infrastructure Security Agency)が推進する「セキュア・バイ・デザイン」イニシアチブへの早期コミットメントを表明しました。この記事では、同社が掲げた7つの主要な柱に基づく進捗状況と今後の展望について詳しく解説します。
主要なポイント
- 多要素認証(MFA)の強化:2024年11月にパスキー対応をSophos Centralに導入し、パスワードレスでフィッシング耐性の高い認証を実現。現在、全認証の20%以上がパスキーを利用しています。
- デフォルトパスワードの廃止:全製品でデフォルトの認証情報を排除し、強力かつユニークなパスワード設定を義務化。これにより不正アクセスのリスクを低減しています。
- 脆弱性の大幅な削減:Sophos Firewallの重要サービスをコンテナ化し、信頼境界とワークロードの分離を強化。SFOS v21およびv21.5で第一段階の改善を実施し、2025年リリース予定のSFOS v22で更なる再設計を予定。
- セキュリティパッチの自動更新機能:2025年9月までにファイアウォールのファームウェア自動更新スケジュール機能を実装予定。現在は99.41%の顧客が自動ホットフィックス適用を利用中。
- 脆弱性開示と報奨金制度の強化:バグバウンティプログラムで800件以上の報告を評価し、累計50万ドル超の報奨金を支給。最高報酬額の引き上げや新製品への対象拡大も実施。
技術的な詳細や背景情報
「セキュア・バイ・デザイン」とは、製品開発の初期段階からセキュリティを組み込み、設計上の欠陥や脆弱性を未然に防ぐ考え方です。ソフォスはこの枠組みに基づき、認証強化のためにパスキー(パスワード不要の公開鍵暗号方式を用いた認証技術)を導入し、従来のSMS認証など脆弱なMFA手段を廃止しました。
また、ファイアウォールの重要コンポーネントをコンテナ化することで、万が一の侵害時に被害範囲を限定し、リモートコード実行(RCE)などの深刻な脆弱性の影響を最小化しています。さらに、脆弱性の透明性向上を目的に、重大度の高い脆弱性は外部にCVE(共通脆弱性識別子)として公開する体制を整備しました。
影響や重要性
これらの取り組みは、顧客のシステムをより安全に保ち、サイバー攻撃のリスクを大幅に減少させる効果があります。特にパスキーの導入は、フィッシング攻撃対策として業界でも注目されており、ユーザーの利便性とセキュリティの両立を実現しています。
また、バグバウンティプログラムの充実は、外部のセキュリティ研究者との協力を深め、未知の脆弱性発見を促進。透明性の高い脆弱性開示は、業界全体のセキュリティ向上にも寄与します。
まとめ
ソフォスは「セキュア・バイ・デザイン」原則に基づき、認証強化、脆弱性削減、透明性向上など多方面で着実な進捗を示しました。今後も計画の見直しや新たなコミットメントを通じて、製品の安全性と信頼性を継続的に高めていく方針です。ユーザーや業界にとっても、こうした取り組みは安心して製品を利用できる重要な指標となるでしょう。
