原題: Sophos’ Secure by Design 2025 Progress
Sophosの「Secure by Design 2025」進捗報告と多要素認証強化の成果
2024年、Sophosは米国CISA(サイバーセキュリティ・インフラセキュリティ庁)が推進する「Secure by Design」イニシアティブに早期から参加し、セキュリティ対策の継続的な評価と改善に取り組んでいます。本記事では、1年間の誓約に対する進捗状況と特に多要素認証(MFA)強化の成果を中心に解説します。
主要なポイント
- 多要素認証(MFA)の強化とパスキー導入:Sophos Centralにパスキー対応を実装し、2024年12月以降、全認証の20%以上がパスキー利用に。旧式のSMS認証は禁止され、より安全なTOTPやパスキーへの移行を義務化。
- デフォルトパスワードの廃止:すべての製品・サービスでデフォルト認証情報を禁止し、強力かつユニークな認証情報の生成や複雑なパスワード設定を必須化。
- 脆弱性削減のためのコンテナ化と設計見直し:Sophos Firewallの主要サービスをコンテナ化し、信頼境界を強化。SFOS v22ではコントロールプレーンを再設計し、リモートコード実行(RCE)脆弱性のリスクを低減。
- セキュリティパッチの自動更新機能:2025年後半のSFOS v22リリースで自動更新スケジューリング機能を搭載予定。既に99.41%の顧客が自動ホットフィックスを利用中。
- 脆弱性開示と報酬制度の透明化と強化:バグバウンティプログラムに800件以上の報告をレビューし、報酬上限を引き上げ。Root Cause Analysis(RCA)セクションを新設し、インシデント解析を公開。
技術的な詳細や背景情報
多要素認証(MFA)とパスキー:パスキーはパスワード不要でフィッシング耐性の高い認証方式で、公開鍵暗号技術を利用しユーザーの端末に秘密鍵を保持します。これにより、従来のパスワードやSMSコードの盗難リスクを大幅に低減できます。Sophosは旧式のSMS認証を廃止し、より安全なTOTP(時間ベースのワンタイムパスワード)やパスキーを必須化しました。
コンテナ化と信頼境界の強化:コンテナ技術はアプリケーションやサービスを独立した環境で実行し、他のサービスから隔離することで、脆弱性の影響範囲を限定します。Sophos Firewallでは重要な管理サービスをコンテナ化し、攻撃者が一部のサービスを侵害しても全体への影響を抑制しています。
バグバウンティプログラムと脆弱性開示:バグバウンティは外部のセキュリティ研究者に脆弱性発見を促す仕組みで、Sophosは報酬額を引き上げることで優秀な研究者を惹きつけています。また、Root Cause Analysisの公開により、発見された脆弱性やインシデントの原因を透明化し、業界全体の知見向上に貢献しています。
影響や重要性
Sophosの「Secure by Design」への取り組みは、製品のセキュリティ強化だけでなく、顧客の信頼向上と業界全体のセキュリティ意識向上に寄与します。特にパスキー対応によるMFA強化は、フィッシング攻撃や認証情報漏洩のリスクを大幅に減らし、ユーザーの安全なアクセスを実現します。また、脆弱性の早期発見・修正と透明性の高い開示は、迅速な対応と被害軽減を可能にします。
さらに、自動更新機能の導入により、顧客は常に最新のセキュリティパッチを適用できるため、攻撃の標的となる脆弱性を減らすことができます。これらの施策はSophos製品の信頼性を高め、企業のセキュリティ体制強化に直結します。
まとめ
Sophosは2024年に「Secure by Design」イニシアティブに積極的に取り組み、多要素認証のパスキー対応や脆弱性削減、自動更新機能の開発など多方面で着実な進展を遂げました。旧式の認証方式廃止やバグバウンティ報酬の増額など、セキュリティの最新トレンドを反映した施策も特徴的です。今後も透明性を重視しながら、製品の安全性と信頼性を高めるための新たな誓約を発表予定であり、引き続き注目が集まります。
