原題: Sophos’ Secure by Design 2025 Progress
SophosのSecure by Design 2025進捗報告と多要素認証強化の成果
サイバーセキュリティ企業Sophos(ソフォス)は、2024年に米国CISAの「Secure by Design」イニシアチブに早期参加し、セキュリティ強化に向けた取り組みを推進しています。本記事では、同社が掲げた7つの柱に基づく1年間の進捗と、多要素認証(MFA)強化の具体的成果について解説します。
主要なポイント
- 多要素認証(MFA)の強化とパスキー導入:2024年11月にSophos Centralでパスキー対応を開始し、2025年7月時点で20%以上の認証がパスキー経由に。従来のSMS認証は廃止し、TOTPやパスキーへの移行を義務化。
- デフォルトパスワードの排除:すべての製品・サービスでデフォルトの認証情報を禁止し、強固かつユニークなパスワード設定を必須化。
- Sophos Firewallのコンテナ化による脆弱性低減:SFOS v21で重要サービスのコンテナ化を開始し、SFOS v22では制御プレーンの再設計を予定。これによりリモートコード実行(RCE)脆弱性のリスクを軽減。
- ファームウェア自動更新機能の準備:2025年9月までにSophos Firewallの自動ファームウェア更新機能をリリース予定。現在は99.41%の顧客が自動ホットフィックスを利用中。
- 脆弱性報奨金プログラムの拡充と透明性向上:報奨金額の引き上げや新製品の対象拡大、Root Cause Analysis(RCA)の公開など、研究者との協力体制を強化。
技術的な詳細や背景情報
パスキー認証:パスキーはパスワードを使わず、生体認証やデバイス固有の秘密鍵を用いる認証方式で、フィッシング攻撃に強いのが特徴です。SophosはこれをSophos Centralに導入し、ユーザーのログインセキュリティを大幅に向上させました。
コンテナ化:コンテナ技術はアプリケーションやサービスを独立した環境で動作させることで、万が一の侵害時の影響範囲を限定します。Sophos Firewallでは重要な管理サービスをコンテナ化し、攻撃者がシステム全体にアクセスするリスクを減らしています。
脆弱性報奨金プログラム:バグバウンティプログラムは外部のセキュリティ研究者に脆弱性発見を促す仕組みです。Sophosは報奨金の増額や対象製品の拡大で研究者のモチベーションを高め、製品の安全性向上に役立てています。
影響や重要性
Sophosの取り組みは、顧客のセキュリティリスク低減に直結します。特にパスキー導入による多要素認証の強化は、フィッシング攻撃やパスワード漏洩による不正アクセスを防ぐ上で重要です。また、ファイアウォールのコンテナ化や自動更新機能は、運用負荷を軽減しつつ脆弱性の悪用を防止します。さらに、脆弱性報奨金プログラムの透明性向上は、業界全体のセキュリティ意識向上にも寄与します。
まとめ
SophosはSecure by Designの7つの柱に基づき、2024年に掲げたセキュリティ強化目標の多くを着実に実現しています。特に多要素認証のパスキー対応やファイアウォールのコンテナ化は、顧客の安全性を大きく高める成果です。今後もさらなる改善と透明性の向上に努め、2025年以降の新たなコミットメントを通じて、信頼性の高いセキュリティ製品の提供を目指しています。
