原題: Sophos’ Secure by Design 2025 Progress
Sophos、「Secure by Design 2025」進捗報告と多要素認証強化の成果
2024年、Sophosは米国CISAの「Secure by Design」イニシアティブに早期に参加し、セキュリティ対策の継続的改善に取り組んできました。本記事では、1年間の進捗状況と主要な取り組み内容、多要素認証(MFA)の強化成果について詳しく解説します。
主要なポイント
- 多要素認証(MFA)の強化:Sophos Centralにパスキー対応を導入し、パスワード不要でフィッシング耐性の高い認証を実現。旧式のSMS認証は廃止し、TOTPやパスキー方式への移行を促進。
- デフォルトパスワードの禁止:すべての製品・サービスでデフォルト認証情報を排除し、強力かつユニークな認証情報の生成や複雑なパスワード設定を義務化。
- 脆弱性クラスの削減:Sophos Firewallの主要サービスをコンテナ化し、信頼境界の分離を強化。SFOS v22ではコントロールプレーンの再設計によりリモートコード実行脆弱性のリスクを低減予定。
- セキュリティパッチの自動更新:2025年後半にSophos Firewallのファームウェア自動更新スケジューリング機能を搭載し、常に最新のセキュリティ状態を維持。
- 脆弱性開示と報酬制度の充実:パブリックバグバウンティで800件以上の報告を精査し、報酬上限を引き上げるなど研究者のインセンティブを強化。透明性向上のためRoot Cause Analysisも公開。
技術的な詳細や背景情報
多要素認証(MFA)とパスキー:パスキーはパスワードを使わずに生体認証やPINを利用してログインする方式で、フィッシング攻撃に強いのが特徴です。Sophosは2024年11月に全顧客向けにパスキー対応を開始し、12月以降は20%以上の認証がパスキーで行われています。旧式のSMS認証は盗聴や乗っ取りリスクが高いため廃止し、より安全なTOTP(時間ベースのワンタイムパスワード)やパスキー方式への移行を義務付けました。
コンテナ化による脆弱性リスク低減:コンテナ技術はアプリケーションを独立した環境で動作させることで、万が一の脆弱性が他の部分に波及するのを防ぎます。Sophos FirewallではSFOS v21で主要サービスのコンテナ化を開始し、SFOS v22でさらに細分化されたコントロールプレーンのコンテナ化を計画。これによりリモートコード実行(RCE)脆弱性の発生確率と影響範囲を抑制します。
脆弱性開示と報酬制度:SophosはBugcrowdを通じたバグバウンティプログラムを運営し、2017年開始以来50万ドル以上の報酬を支払っています。2024年は800件超の報告を受け付け、重要度の高い脆弱性には最大8万ドルの報酬を設定。これにより外部研究者の協力を得て製品の安全性を高めています。
影響や重要性
Sophosの「Secure by Design」への取り組みは、製品のセキュリティ強化だけでなく、顧客や業界全体への透明性向上にも寄与しています。特にパスキー対応によるMFA強化は、サイバー攻撃の中でも多いフィッシング被害の抑止に直結し、ユーザーの安全なアクセスを実現します。
また、脆弱性の早期発見と透明な開示、報酬制度の充実は、セキュリティ研究者との協働を促進し、Sophos製品の信頼性向上に貢献。ファームウェアの自動更新機能は、セキュリティパッチの適用遅延によるリスクを軽減し、運用負荷の低減にもつながります。
まとめ
SophosはCISAの「Secure by Design」イニシアティブに基づき、多要素認証の強化や脆弱性管理、透明性の向上など多方面で着実な進展を遂げています。特にパスキー対応の導入は、ユーザー認証の安全性を大きく高める重要な一歩です。今後もSophosは継続的な改善を約束し、2025年以降の新たな誓約発表により、さらなるセキュリティ強化を目指します。
