原題: Sophos’ Secure by Design 2025 Progress
Sophos、2025年に向けた「セキュア・バイ・デザイン」進捗報告とMFA強化
サイバーセキュリティ企業Sophosは、2024年に米国CISA(Cybersecurity and Infrastructure Security Agency)が推進する「セキュア・バイ・デザイン」イニシアチブに早期参加し、同フレームワークの7つの柱に基づくセキュリティ強化の進捗を公開しました。特に多要素認証(MFA)の強化や脆弱性対応、透明性向上に注力しています。
主要なポイント
- 多要素認証(MFA)の強化:2024年11月にSophos Centralでパスキー(passkey)対応を開始し、パスワード不要でフィッシング耐性の高い認証を実現。12月以降、20%以上の認証がパスキーで行われています。また、SMS認証など旧式のMFAは廃止し、TOTPやパスキーへの移行を義務付けました。
- デフォルトパスワードの廃止:全製品でデフォルトの認証情報を廃止し、強固でユニークなパスワード生成や複雑なパスワード設定を必須化。これにより不正アクセスのリスクを低減しています。
- 脆弱性軽減のためのコンテナ化:Sophos Firewallの重要サービスをコンテナ化し、信頼境界とワークロードの分離を強化。SFOS v21およびv21.5で初期対応を行い、2025年後半リリース予定のSFOS v22では制御プレーンの大規模再設計を予定しています。
- 自動ファームウェア更新機能の開発:2025年9月までにSophos Firewallのファームウェア更新を自動スケジュール可能にする機能を導入予定。現在は99.41%の顧客が自動ホットフィックス適用を利用中で、セキュリティ維持に貢献しています。
- 脆弱性開示と報奨金の拡充:バグバウンティプログラムを強化し、2024年は800件以上の報告を評価。報奨金額も最大8万ドルに引き上げ、Secureworks買収に伴い対象製品も拡大。Root Cause Analysis(RCA)情報も公開し透明性を高めています。
技術的な詳細や背景情報
「セキュア・バイ・デザイン」とは、製品開発の初期段階からセキュリティを組み込み、設計上の弱点を排除する考え方です。Sophosはこれを7つの柱(MFA強化、デフォルトパスワード廃止、脆弱性軽減、パッチ管理、脆弱性開示、CVE公開、侵入証拠の統合)に分けて具体的な改善策を推進しています。
パスキーは公開鍵暗号を用いた認証方式で、パスワードを使わずに安全なログインを可能にし、フィッシング攻撃に強いのが特徴です。Sophos Centralへの導入により、ユーザーの認証セキュリティが大幅に向上しました。
また、コンテナ化はアプリケーションの実行環境を分離し、万が一の脆弱性があっても被害範囲を限定できる技術です。Sophos Firewallの重要コンポーネントに適用し、リモートコード実行(RCE)などの深刻な脆弱性リスクを低減しています。
影響や重要性
Sophosの取り組みは、顧客のセキュリティリスクを大幅に低減し、信頼性の高い製品提供を実現するものです。特にパスキー導入によるMFA強化は、フィッシング被害の防止に直結し、企業の情報資産保護に貢献します。
脆弱性開示の透明性向上や報奨金の増額は、セキュリティ研究者との協力関係を強化し、早期発見・修正を促進。これによりSophos製品の安全性が継続的に向上します。
さらに、自動ファームウェア更新機能の実装は、顧客が最新のセキュリティ対策を容易に適用できる環境を整え、運用負荷の軽減とリスク低減を両立します。
まとめ
Sophosは「セキュア・バイ・デザイン」原則に基づき、2024年に掲げた7つの柱で着実に進捗を上げています。特に多要素認証のパスキー対応や脆弱性対応の強化は顕著な成果です。今後も2025年に向けてさらなる改善を続け、製品の安全性と透明性を高めていく方針です。ユーザーはこれらの取り組みを理解し、積極的なセキュリティ対策の導入を検討することが重要です。
