ソフォスの「Secure by Design 2025」進捗状況レポート
2024年、ソフォスは米国CISA(Cybersecurity and Infrastructure Security Agency)が推進する「Secure by Design」イニシアチブに早期から参加し、透明性を重視したセキュリティ強化に取り組んでいます。本記事では、同社が掲げた7つの柱に基づく2024年の進捗と今後の展望を詳しく解説します。
主要なポイント
- 多要素認証(MFA)の強化:パスキー対応をSophos Centralに導入し、パスワード不要でフィッシング耐性の高い認証を実現。旧式のSMS認証は廃止し、TOTPやパスキーへの移行を義務化。
- デフォルトパスワードの廃止:すべての製品で強力かつユニークな認証情報を生成し、初期設定時に複雑なパスワード設定を必須化。これにより不正アクセスのリスクを低減。
- 脆弱性の根本的削減:Sophos Firewallの重要サービスをコンテナ化し、信頼境界とワークロードの分離を強化。SFOS v21およびv21.5で一部実装し、2025年後半リリース予定のSFOS v22でさらなる再設計を予定。
- セキュリティパッチの自動化:SFOS v22でファームウェアの自動更新スケジュール機能を実装予定。現在は99.41%の顧客が自動ホットフィックス適用を利用し、迅速な脆弱性対応を実現。
- 脆弱性公開と報奨金制度の充実:バグバウンティプログラムで800件以上の報告を精査し、報奨金総額は50万ドル超。重要脆弱性に対する報奨金額を引き上げ、Secureworks買収に伴う新製品も対象に拡大。
技術的な詳細や背景情報
「Secure by Design」は、製品開発の初期段階からセキュリティを組み込み、設計上の弱点を排除するアプローチです。ソフォスはこの枠組みに沿い、例えば多要素認証ではパスワードレスのパスキー技術を採用。パスキーは公開鍵暗号を利用し、フィッシング攻撃に強い認証方式です。
また、Sophos Firewallのコンテナ化は、従来のモノリシックなサービス構造から分離された環境で動作させることで、攻撃の影響範囲を限定し、リモートコード実行(RCE)脆弱性のリスクを低減します。ファームウェアの自動更新機能は、管理者の負担を軽減し、最新のセキュリティパッチ適用を促進します。
バグバウンティプログラムは外部研究者からの脆弱性報告を奨励し、報奨金を支払うことで高度なセキュリティ問題の早期発見を目指します。ソフォスは報奨金の増額や対象製品の拡大により、より多くの重要脆弱性を検出・修正しています。
影響や重要性
これらの取り組みは、顧客のセキュリティリスクを大幅に低減し、製品の信頼性向上に直結します。特にパスキーの導入や旧式MFAの廃止は、近年増加するフィッシング攻撃に対する防御力を強化します。脆弱性の透明な公開と報奨金制度の充実は、業界全体のセキュリティ水準向上にも寄与します。
さらに、Sophos Firewallのコンテナ化や自動更新機能は、運用負荷を軽減しつつ迅速な脆弱性対応を可能にし、組織のセキュリティ体制を強化します。これらの進展は、企業の情報資産保護において非常に重要な意味を持ちます。
まとめ
ソフォスは「Secure by Design 2025」の7つの柱に基づき、2024年に多くの目標を着実に達成しました。特に多要素認証の強化や脆弱性対応の透明性向上は顕著な成果です。一方で、一部の目標は今後も継続的に改善が必要であり、2025年以降も新たなコミットメントを発表予定です。
今後もソフォスは、製品のセキュリティと透明性を高め、顧客の信頼に応えるために努力を続けていきます。最新のセキュリティ動向に注目しつつ、Secure by Designの理念に基づく取り組みを追いかけていくことが重要です。
