セキュアバイデザイン: サイバーセキュリティを基盤から構築する

この原則の重要性と、いかにして内部から攻撃対象領域を縮小するのかを解説します

Sophos Insights 製品とサービスセキュアバイデザインソートリーダーシップ

「セキュアバイデザイン」とは、セキュリティ要素を後付けするのではなく、基盤となる要件として扱うソフトウェア開発の哲学です。

セキュアバイデザインでは、製品を構築してからセキュリティ対策を付け加えるのではなく、アーキテクチャや設計からコーディング、テスト、導入、保守に至るまで、開発ライフサイクルのすべての段階にセキュリティへの配慮を組み込むことが求められます。

その核心となる考え方は単純明快です。最初から安全に構築しておけば、ユーザーが適切に設定する方法を知っている場合や事後にセキュリティ上の欠陥が修正された場合でなくても、ユーザーはデフォルトの状態で保護されるようになります。

具体的には、以下のような基本的なセキュリティ原則を採用する必要があります。

最小権限の原則: プロセス、エージェント (AI を含む)、コンテナ、およびシステムサービスが、必要最小限のアクセス権のみを付与されるようにします。
セキュアなデフォルト設定: 最も安全な設定が有効になっている状態で製品が出荷されることを保証します。
多層防御: 複数のセキュリティコントロールを階層化し、単一の障害によって壊滅的事態が発生しないようにします。

また、より安全な言語、フレームワーク、設計パターンを採用することで、特定の種類の脆弱性を一括排除し、レジリエンスをより強化することができます。

「セキュアバイデザイン」アプローチが導入された理由

数十年にわたり、多くのテクノロジー企業は「迅速にリリースし、後でパッチを当てる」というモデルで運営してきました。その結果、サイバーセキュリティは「リリースを遅らせ、開発者を苛立たせる単なるコストセンター」と見なされがちです。その影響はリアルタイムで顕在化しています。例えば、絶え間なく公開される脆弱性、急ごしらえの緊急パッチ、そして、組織に数十億ドルの損失をもたらし、数億人の個人データを漏洩させるセキュリティ侵害などです。

Ivanti Connect Secure の脆弱性、広く普及しているオープンソースライブラリにおける Log4Shell のエクスプロイト、そして MOVEit Transfer の脆弱性はすべて、事後対応型のセキュリティでは執拗な攻撃者に太刀打ちできないことを証明してしまいました。

この不均衡を認識した米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) は 2023 年、国際的なパートナー組織と共同で正式な「セキュアバイデザイン」ガイダンスを発表し、テクノロジーメーカーに対して顧客のセキュリティ成果に対する責任を負うよう強く求めました。

セキュアバイデザインの原則は、セキュリティの責任はテクノロジー製品を導入するエンドユーザーではなく、製品を構築するベンダーが負うべきであると主張しています。これには、ベンダーがスピードや追加機能の優先順位を見直すこと、またセキュリティを後付けの機能強化ではなく、設計上の最重要要件として扱うことが求められます。この転換によって業界は、パッチの適用が遅れたユーザーを非難する姿勢から、(たとえ機能の提供が遅れたり、システム的リスクを低減するために従来のアプローチを再構築したりすることになったとしても、) リリースされたその日から製品の安全を保証する責任をメーカーに負わせる方向へと移行していきます。

サイバーセキュリティソリューションにおいてセキュアバイデザインが最も重要である理由

セキュリティツールそのものが、時には攻撃の侵入経路になり得るという事実に、私たちは改めて強い衝撃を受けています。しかし、それは驚くほどの頻度で起こっています。

これは、多くの組織にとって重大な弱点を浮き彫りにしています。つまり、境界デバイスの脆弱性が一度露呈してしまうと、完全に保護されるまで攻撃者は何度も攻撃を仕掛けてくるようになります。ファイアウォールやその他のエッジシステムは、修正プログラムが利用可能になった後も脆弱なままになる可能性があります。ソフォスが対処したインシデントに関する最近の分析では、ベンダーが脆弱性に対するアドバイザリーやパッチを公開してから攻撃者がその脆弱性を悪用するまでの期間の中央値は 322日でした。これは、攻撃者にとってほぼ 1 年間チャンスがあったことを意味します。サイバーセキュリティベンダーは、ユーザーが直ちにパッチを適用すると想定してはいけません。

特権的立場にあることの問題

サイバーセキュリティツールは、組織のインフラストラクチャの中で最も機密性が高く、特権的な部分で動作します。エンドポイント検知エージェントはカーネルレベルのアクセス権限で実行されます。SIEM プラットフォームはあらゆるシステムからのログを取り込みます。アイデンティティプロバイダーはすべてのアカウントへの鍵を保持しています。ファイアウォールは、信頼できるネットワークと信頼できないネットワークの境界に位置しています。

セキュリティ製品が防御の中核に位置する場合、その組織はセキュアバイデザインの原則に従うという、より重い責任を負うことになります。セキュリティ業界のベンダーはお客様の保護において極めて重要な役割を果たしており、その信頼には製品がどのように設計されているかという期待が伴います。

この特権的な立場は、セキュリティ製品の脆弱性が製品自体を危険にさらすだけでなく、保護すべき対象すべてを危険にさらすことを意味します。EDR (Endpoint Detection and Response) エージェントを侵害した攻撃者は、1 つのツールを乗っ取るだけでなく、最高権限を持つエンドポイントそのものを乗っ取ることになります。VPN アプライアンスの欠陥は、単にリモートアクセスを遮断するだけでなく、あらゆる境界制御を迂回できるトンネルを攻撃者に提供することになります。

セキュアバイデザインを無視すると何が起きるのか

セキュアバイデザインの原則を軽視した際の結果は、すでに多くの事例で明らかになっています。適切に遵守されなければ、企業、ユーザー、そしてインターネット全体がより危険な状態にさらされることになります。

侵害コストの増大。リリース後に脆弱性が発見された場合、その修正コストは、開発段階での対処に比べて指数関数的に高くなります。
信頼の低下。組織がセキュリティインシデントを繰り返せば、顧客、規制当局、パートナーからの信頼は失われます。評判の低下は、技術的な是正措置が完了した後も、何年にもわたって続く可能性があります。
規制および法的リスク。世界中の政府がサイバーセキュリティ規制を強化しています。例えば、欧州連合 (EU) のサイバーレジリエンス法は、欧州で販売されるデジタル要素を含む製品に対して、セキュリティ要件を強制的に課します。セキュアバイデザインの原則を無視する組織は、コンプライアンス違反、罰金、および市場からの排除というリスクを負うことになります。
国家安全保障上のリスク。電力網、水処理、医療システムといった重要インフラは、インターネットに接続されたデバイスやシステムへの依存度を高めています。こうした環境において、最初からセキュリティ対策が不十分な製品は、国家支援型の攻撃者やランサムウェアオペレーターに隙を与え、人々の日常生活を根底から覆すような結果を招きかねません。
終わりのないパッチ適用。安全な基盤がない組織は、脆弱性のスキャン、パッチの優先順位付け、アップデートのテスト、修正の適用という事後対応を繰り返すしかありません。これでは、詳細なサイバーセキュリティ調査に充てられたはずのリソースを浪費することになります。

セキュアバイデザインに対するソフォスの取り組み

2024 年 5 月 8 日、ソフォスは CISA の「セキュアバイデザイン」イニシアティブへの取り組みを表明した最初の組織の一つとなりました。このイニシアティブは、テクノロジー/製品セキュリティに関する以下の 7 つの柱に焦点を当てたものです。

多要素認証
デフォルトのパスワード
特定の種類の脆弱性の一括排除
セキュリティパッチ
脆弱性開示ポリシー
CVE
侵入の証拠

セキュアバイデザインは、ソフォスの核となる価値観である透明性を体現するものであり、セキュリティプラクティスを継続的に評価・改善する上での指針となってきました。

ソフォスでは、改善に向けた誓約を公表し、「セキュアバイデザイン」フレームワークの 7 つの柱それぞれについて、進捗状況を公開しています。言うまでもありませんが、サイバーセキュリティは絶えず進化しており、その取り組みが「完了」することはありません。製品ポートフォリオ全体において、セキュアバイデザインの原則の適用を継続的に改善・強化することは、ソフォスが大切にし続けている理念の中心的部分です。

一例を挙げると、Sophos Firewall の最新バージョン (v22) では、以下の機能を含め、ソリューションのセキュアバイデザイン機能がさらに拡張されています。

設定ミスを原因とする攻撃のリスクを低減する、新しいヘルスチェック機能。
セキュリティと拡張性を最大化するために再設計された、まったく新しいコンテナ化されたコントロールプレーンにより、特定の種類の脆弱性を一括排除します。
Sophos XDR Linux Sensor が追加されたことで、ソフォスセキュリティチームが顧客ベース全体のシステム完全性をリアルタイム監視し、攻撃をより迅速に特定・対応できるようになりました。
暗号化され、真正性確保のために証明書ピンニングが適用されたファームウェアアップデート。

v22での変更点と、これまでに提供されてきた Sophos Firewall の機能とを組み合わせることで、フォレンジックの可視性、ログ、および防御的監視が強化されます。これらの機能強化は、英国の国家サイバーセキュリティセンター (NCSC) が策定したネットワークデバイスに関するガイダンスでカバーされている多くの分野との整合性をさらに高めるものでもあります。

さらに、ソフォスは Pacific Rim キャンペーンへの対応を通じて、豊富なリソースを持つ執拗な攻撃者の実態と、彼らに対抗するために何が本当に必要なのかを最前線で目撃しました。その結果、攻撃者は単に脆弱性を待っているのではなく、世界中のインフラストラクチャ全体で設計上の不備、設定ミス、およびパッチ未適用のシステムを能動的に探し回っていることが再確認されました。この経験が、ソフォスのセキュアバイデザインへの取り組みを直接形作ることになりました。

現代の防御においては、脆弱性が実際に悪用されるはるか前の段階で製品レベルでの攻撃対象領域の縮小、堅牢なデフォルト設定の組み込み、認証プロセスの厳格化、および悪用の余地の排除を始めておくことの重要性が改めて浮き彫りになりました。

今後の道筋

セキュアバイデザインはすべての脆弱性を排除するものでもなければ、継続的な警戒から組織を解放するものでもありません。しかし、攻撃対象領域を縮小するためのサイバーセキュリティの基盤として、不可欠なものとなっています。もはや問題は、セキュアバイデザインが優れたアイデアかどうかではありません。重要なのは、いかに迅速に採用されるかです。

このブログ記事の PDF 版をご希望の方は、こちらからホワイトペーパーをダウンロードしてください。

Sophos

Sophos is a cybersecurity leader defending 600,000 organizations globally with an AI-driven platform and expert-led services. Sophos meets organizations wherever they are in their security maturity and grows with them to defeat cyberattacks. Its solutions combine machine learning, automation, and real-time threat intelligence with frontline human expertise from Sophos X-Ops to deliver advanced, 24/7 threat monitoring, detection, and response.

Sophos offers industry-leading managed detection and response (MDR) alongside a comprehensive portfolio of cybersecurity technologies — including endpoint, network, email, and cloud security, extended detection and response (XDR), identity threat detection and response (ITDR), and next-gen SIEM. Together with expert advisory services, these capabilities help organizations proactively reduce risk and respond faster, with the visibility and scalability needed to stay ahead of evolving threats.

Sophos goes to market with a global partner ecosystem, including Managed Service Providers (MSPs), Managed Security Service Providers (MSSPs), resellers and distributors, marketplace integrations, and cyber risk partners, giving organizations the flexibility to choose trusted relationships when securing their business. Sophos is headquartered in Oxford, U.K. More information is available at www.sophos.com.