原題: Sophos’ Secure by Design 2025 Progress
Sophos、Secure by Design 2025の進捗を公開しMFA強化を発表
Sophos(ソフォス)は、米国CISAの「Secure by Design」イニシアチブに基づく2024年の取り組み状況を公開しました。特に多要素認証(MFA)の強化に注力し、パスキー対応の導入や旧来の認証方式の廃止など、セキュリティ向上に向けた具体的な成果を報告しています。
主要なポイント
- 多要素認証(MFA)の強化:2024年11月にSophos Centralでパスキー対応を開始。パスワード不要でフィッシング耐性の高い認証方式を提供し、現在20%以上の認証がパスキーで行われています。旧来のSMS認証は廃止し、TOTPまたはパスキーの登録を必須化しました。
- デフォルトパスワードの禁止:すべての製品・サービスでデフォルト認証情報の使用を禁止。セットアップ時に強力かつユニークなパスワード設定を求め、不正アクセスリスクを低減しています。
- 脆弱性の根本的削減:Sophos Firewallの重要サービスをコンテナ化し、信頼境界とワークロードの分離を強化。SFOS v21で初期改善を実施し、SFOS v22ではさらなるアーキテクチャ再設計を予定しています。
- セキュリティパッチの自動更新:SFOSファームウェアの自動更新スケジューリング機能を2025年後半リリース予定。現在99.41%の顧客が自動ホットフィックス適用機能を利用し、最新のセキュリティ対策を維持しています。
- 脆弱性開示と報酬制度の充実:公開バグバウンティプログラムにより800件以上の報告を精査。報酬上限を引き上げ、重要脆弱性発見のインセンティブを強化。Root Cause Analysis(RCA)専用セクションを新設し透明性を高めています。
技術的な詳細や背景情報
多要素認証(MFA)とパスキー:パスキーはパスワードを不要にし、生体認証やデバイス固有の安全な要素を利用して認証を行う方式です。これにより、フィッシング攻撃やパスワード漏洩のリスクを大幅に低減できます。Sophosは旧来のSMS認証を廃止し、より安全なTOTP(時間ベースのワンタイムパスワード)とパスキーに移行しました。
コンテナ化による脆弱性低減:コンテナ技術を用いてサービスを分離することで、攻撃者が一部のサービスに侵入しても他の部分への影響を抑制できます。Sophos FirewallではSFOS v21で主要サービスのコンテナ化を開始し、SFOS v22でさらにコントロールプレーンの再設計を進めています。
バグバウンティプログラム:外部のセキュリティ研究者が脆弱性を報告する仕組みで、Sophosは報酬を高額に設定し優秀な研究者を積極的に評価。これにより早期発見と対策が促進され、製品の安全性向上に寄与しています。
影響や重要性
Sophosの取り組みは、企業や組織が利用するセキュリティ製品の信頼性を高める重要なステップです。特にパスキー対応のMFA強化は、近年増加するフィッシング攻撃に対する有効な防御策となります。また、脆弱性の根本的な削減や自動パッチ適用は、攻撃リスクの低減と運用負荷の軽減に直結します。透明性の高い脆弱性開示と報酬制度の充実は、業界全体のセキュリティレベル向上にも貢献します。
まとめ
Sophosは「Secure by Design」イニシアチブに基づき、2024年に多要素認証のパスキー対応開始や脆弱性対策の強化など多方面で成果を挙げました。旧来の認証方式の廃止やコンテナ化によるサービス分離、自動パッチ適用機能の開発など、継続的な改善を推進しています。今後も透明性と信頼性を重視し、2025年以降の新たなコミットメントを通じてセキュリティの強化を図る予定です。ユーザーはこれらの進展を活用し、より安全な環境構築に役立てることが期待されます。
