ソフォス、Secure by Design 2025の進捗を1年で公開し多要素認証強化

2025年11月1日

原題: Sophos’ Secure by Design 2025 Progress

ソフォスの「Secure by Design 2025」進捗報告と多要素認証強化の取り組み

2024年、ソフォスは米国CISAが推進する「Secure by Design」イニシアチブに早期にコミットし、1年間の取り組みの進捗を公開しました。特に多要素認証（MFA）の強化を中心に、セキュリティの透明性と改善を継続的に推進しています。

多要素認証（MFA）のパスキー対応開始：2024年11月よりSophos Centralでパスキーを利用可能にし、パスワード不要でフィッシング耐性の高い認証を実現。旧来型MFA（SMSなど）は廃止し、TOTPまたはパスキーへの移行を義務付け。
デフォルトパスワードの禁止徹底：すべての製品・サービスでデフォルト認証情報の使用を禁止し、強力でユニークな認証情報の生成や複雑なパスワード設定を求める設計を継続。
脆弱性の根本的削減：Sophos Firewallの主要サービスをコンテナ化し、信頼境界を強化。SFOS v22ではコントロールプレーンの再設計を進め、リモートコード実行（RCE）脆弱性のリスクを低減。
セキュリティパッチの自動化：2025年後半リリース予定のSFOS v22でファームウェアの自動アップデートスケジューリング機能を搭載し、最新のセキュリティホットフィックス適用を促進。
脆弱性開示と報酬の強化：バグバウンティプログラムで800件以上の報告を精査し、最大報酬額を引き上げ。Secureworks買収に伴い対象製品を拡大し、透明性向上のためRoot Cause Analysisを公開。

「Secure by Design」とは、製品開発や運用においてセキュリティを設計段階から組み込み、継続的に評価・改善するフレームワークです。ソフォスはこの原則に基づき、7つのコアピラーに沿った取り組みを進めています。

多要素認証のパスキーは、パスワードの代わりにデバイス固有の秘密鍵を用いる方式で、フィッシング攻撃に強い特徴があります。旧来のSMS認証は盗聴や乗っ取りのリスクが高いため、より安全なTOTP（時間ベースのワンタイムパスワード）やパスキーへの移行を促進しています。

Sophos Firewallのサービスをコンテナ化することで、各サービスの実行環境を分離し、万一の脆弱性が他の部分に波及しにくくする設計です。コントロールプレーンの再設計は、管理機能のセキュリティ強化を目的とし、リモートコード実行脆弱性の発生を抑制します。

バグバウンティプログラムは外部のセキュリティ研究者から脆弱性報告を受け付ける制度で、報告の質と量を高めるため報酬額を引き上げています。Root Cause Analysis（RCA）はインシデントの原因分析を公開し、透明性を高める取り組みです。

今回の進捗報告は、ソフォスがセキュリティ強化に真摯に取り組み、顧客の信頼を得るために透明性を重視していることを示しています。特に多要素認証の強化は、サイバー攻撃の増加する現代において重要な防御策です。

デフォルトパスワードの禁止や脆弱性の根本的削減は、不正アクセスやシステム侵害のリスクを大幅に低減します。自動パッチ適用機能の実装は、セキュリティ更新の遅延による脆弱性悪用を防ぐ効果があります。

また、バグバウンティプログラムの充実と脆弱性開示の透明性は、業界全体のセキュリティ向上に寄与し、顧客が安心して製品を利用できる環境を整えます。

ソフォスは「Secure by Design 2025」イニシアチブに基づき、多要素認証のパスキー対応開始や旧来型MFAの廃止、脆弱性削減、パッチ自動化、脆弱性開示強化など多方面で着実な進捗を示しました。今後も透明性を保ちつつ、製品のセキュリティと信頼性を継続的に高めていく方針です。

サイバーセキュリティの脅威が高度化する中、こうした取り組みは企業やユーザーの安全を守るうえで非常に重要です。最新の動向を注視し、適切な対策を講じることが求められます。