原題: Sophos’ Secure by Design 2025 Progress
Sophosの「Secure by Design 2025」イニシアチブ進捗報告とMFA強化の取り組み
Sophos(ソフォス)は、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)が推進する「Secure by Design」イニシアチブに早期から参加し、2024年の約束に基づく進捗状況を公開しました。特に多要素認証(MFA)の強化に注力し、パスキー導入やレガシーMFAの廃止など、セキュリティの向上を実現しています。
主要なポイント
- 多要素認証(MFA)の強化:2024年11月にSophos Centralでパスキー認証を導入し、パスワード不要でフィッシング耐性の高い認証を実現。現在、20%以上の認証がパスキーを利用しています。また、SMS認証などの旧式MFAは廃止し、TOTPやパスキーへの移行を義務付けています。
- デフォルトパスワードの排除:すべての製品・サービスでデフォルトの認証情報を禁止し、セットアップ時に強力なパスワードの設定を必須とすることで、不正アクセスリスクを低減しています。
- 脆弱性リスクの低減:Sophos Firewallの重要サービスをコンテナ化し、信頼境界とワークロードの分離を強化。SFOS v21およびv21.5で一部実装し、2025年後半リリース予定のSFOS v22でさらなる制御プレーンの再設計を予定しています。
- セキュリティパッチの自動化:SFOS v22でファームウェアの自動更新スケジュール機能を実装予定。現在も99.41%の顧客が自動ホットフィックス適用を利用し、最新のセキュリティ対策を維持しています。
- 脆弱性開示と報奨金制度の充実:バグバウンティプログラムを強化し、2024年は800件以上の報告を審査。報奨金額も最大8万ドルに引き上げ、Secureworks買収に伴い対象範囲を拡大。Root Cause Analysis(RCA)情報も公開し、透明性を高めています。
技術的な詳細や背景情報
多要素認証(MFA)は、ユーザー認証の安全性を高めるために複数の認証要素を組み合わせる仕組みです。Sophosが導入したパスキーは、公開鍵暗号技術を用いたパスワードレス認証で、フィッシング攻撃に強い特徴があります。これにより、ユーザーはパスワードを覚える負担が減り、セキュリティが向上します。
また、コンテナ化はソフトウェアの実行環境を分離し、脆弱性が他のサービスに波及するリスクを減らす技術です。Sophos Firewallの制御プレーンをコンテナ化することで、リモートコード実行(RCE)などの重大な脆弱性の影響を最小化する狙いがあります。
バグバウンティプログラムは、外部のセキュリティ研究者に脆弱性発見を促す制度で、報奨金を支払うことで質の高い報告を集めています。Sophosは報奨金額を引き上げることで、より深刻な脆弱性の早期発見を目指しています。
影響や重要性
Sophosの取り組みは、企業や組織が利用するセキュリティ製品の信頼性向上に直結します。特に多要素認証の強化は、不正アクセスや情報漏洩リスクの低減に大きく寄与します。さらに、脆弱性の透明な開示や迅速なパッチ適用は、サイバー攻撃に対する防御力を高め、顧客の安全を守るために不可欠です。
また、Secureworksの買収に伴う製品群の統合とセキュリティ強化は、Sophosの市場競争力を高めるだけでなく、業界全体のセキュリティ水準向上にも貢献します。今後のアップデートや新たな約束も注目されます。
まとめ
Sophosは「Secure by Design 2025」イニシアチブに基づき、多要素認証のパスキー導入や旧式MFAの廃止、コンテナ化による脆弱性リスクの低減、セキュリティパッチの自動化、そして脆弱性開示の透明性向上に着実な進展を見せています。これらの取り組みは、顧客の安全性向上と業界の信頼獲得に寄与し、今後も継続的な改善が期待されます。最新のセキュリティ動向を踏まえ、Sophosの今後の動きに注目しましょう。
