原題: Sophos’ Secure by Design 2025 Progress
Sophos、2025年に向けた「Secure by Design」進捗状況と多要素認証強化の成果を報告
2024年、Sophosは米国CISA(サイバーセキュリティ・インフラセキュリティ庁)が推進する「Secure by Design」イニシアチブに早期から参加し、セキュリティ対策の継続的な評価と改善に取り組んでいます。本記事では、1年間の進捗と主要な取り組み内容を詳しく解説します。
主要なポイント
- 多要素認証(MFA)の強化とパスキー対応: Sophos Centralにパスキー方式のMFAを導入し、パスワード不要でフィッシング耐性の高い認証を実現。旧式のSMS認証は廃止し、より安全な認証環境を整備。
- デフォルトパスワードの廃止: すべての製品・サービスでデフォルト認証情報の使用を禁止し、強力かつユニークな認証情報の生成やユーザーによる複雑なパスワード設定を義務付け。
- 脆弱性リスクの低減: Sophos Firewallの主要サービスをコンテナ化し、信頼境界の分離を強化。SFOS v22ではコントロールプレーンの大規模再設計でリモートコード実行脆弱性のリスクをさらに減少。
- セキュリティパッチの自動更新機能: 2025年後半リリース予定のSFOS v22に自動更新スケジュール機能を搭載し、ファームウェアの最新状態維持を促進。
- 脆弱性開示の透明性向上と報酬制度の拡充: バグバウンティプログラムを強化し、報酬額を引き上げるとともに、Root Cause Analysis(RCA)を公開し業界全体の知見共有に貢献。
技術的な詳細や背景情報
多要素認証(MFA)とパスキー: パスキーはパスワードを使わずに認証を行う方式で、公開鍵暗号技術を利用しフィッシング攻撃に強いのが特徴です。SophosはこれをSophos Centralに導入し、2024年11月から全顧客に提供開始。旧来のSMS認証は盗聴や乗っ取りのリスクが高いため廃止し、TOTP(時間ベースのワンタイムパスワード)やパスキーに一本化しています。
コンテナ化による脆弱性低減: コンテナ技術はアプリケーションやサービスを独立した環境で動作させることで、万が一の脆弱性が他の部分に波及しにくくなります。Sophos FirewallのSFOS v21からこの方式を段階的に導入し、SFOS v22ではコントロールプレーンも含めた大規模な再設計を予定しています。
脆弱性開示とCVE: CVE(Common Vulnerabilities and Exposures)は脆弱性に付与される共通識別子で、公開することでユーザーや業界全体が問題を認識しやすくなります。Sophosは高リスク脆弱性のCVE公開体制を整備し、透明性を高めています。
影響や重要性
これらの取り組みは、Sophos製品のセキュリティ強化だけでなく、顧客の安全な運用環境の確保に直結します。特にパスキー導入によるMFA強化は、フィッシング攻撃が増加する現代において重要な防御策です。また、脆弱性の迅速かつ透明な開示は、ユーザーの信頼獲得と業界のセキュリティ向上に寄与します。自動更新機能の実装により、ユーザーが最新のセキュリティパッチを確実に適用できる環境が整うことも大きなメリットです。
まとめ
Sophosは「Secure by Design」イニシアチブのもと、2024年に多要素認証のパスキー対応や脆弱性管理の強化など多岐にわたるセキュリティ改善を進めてきました。すべての目標を完全に達成したわけではないものの、透明性を重視しつつ継続的な改善を約束しています。今後も新たな誓約を発表し、製品とサービスの安全性・信頼性向上に取り組み続ける予定です。
