.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
** 本記事は、Sophos’ Secure by Design 2025 Progress の翻訳です。最新の情報は英語記事をご覧ください。**
2024 年、ソフォスは CISA による「セキュアバイデザイン」イニシアティブへのコミットを表明した最初の組織の 1 つとなりました。セキュアバイデザインは、ソフォスの核となる価値観である透明性を体現するものです。セキュリティプラクティスを継続的に評価し、改善する上での指針となってきました。
改善に向けた誓約を公開してから 1 周年を迎えました。「セキュアバイデザイン」フレームワークにおける 7 つの柱のそれぞれについて、進捗状況をお知らせします。
この 1 年間での達成事項を誇りに思います。しかし、当然ながら計画は変更されるものであり、まだすべての目標が完全に達成されたわけではありません。今後のさらなる進捗にご期待ください。まもなく、来年に向けた新たなコミットメントを発表する予定です。
ソフォスの誓約: 1 年を振り返る
多要素認証 (MFA)
2024 年の誓約:
Sophos Central でパスキーサポートをリリースし、このより強力な MFA メカニズムの導入状況を公開することを誓います。
達成状況
2024 年 11 月、私たちは Sophos Central をご利用のすべてのお客様にパスキーサポートを導入しました。この戦略的な一歩は、フィッシングに強いパスワード不要のログイン体験を通じて、認証セキュリティを強化することを目的としていました。2024 年 12 月の開始以来、パスキーの導入は順調に進み、現在、Central への全認証の 20% 以上でパスキーが利用されています。
パスキーサポートの導入に加え、ソフォスはさらに一歩進んで SMS のようなレガシー MFA (多要素認証) メカニズムの使用を禁止しています。これらのレガシーメカニズムを現在も使用している Central のユーザーは、次回ログイン時に TOTP (時間ベースのワンタイムパスワード) またはパスキーベースの MFA に登録する必要があります。
図 1: 2024 年 12 月から 2025 年 7 月までの Sophos Central における MFA メカニズムの導入状況
デフォルトのパスワード
2024 年の誓約:
ソフォスは、現在および将来のすべての製品とサービスにおいて、デフォルトの認証情報を使用しないことを誓います。
達成状況
ソフォスはこの設計原則を維持しており、今後の製品開発においても継続していきます。ソフォス製品は、不正アクセスの可能性を低減するため、強力かつ固有の認証情報を生成するか、セットアップ時に複雑なパスワードの使用をユーザーに求めます。
類似した脆弱性をまとめて削減
2024 年の誓約:
Sophos Firewall v21 (SFOS v21) において、Central 管理に関連する主要サービスをコンテナ化し、信頼境界とワークロードの分離をさらに強化します。さらに、SFOS v22 には広範なアーキテクチャ再設計が含まれ、Sophos Firewall のコントロールプレーンをより適切にコンテナ化することで、RCE (リモートコード実行) 脆弱性の発生可能性と影響を一層低減します。
達成状況
ソフォスは、コンテナ化されたワークロードに対してリスクに基づいた優先順位付けアプローチを採用し、Sophos Firewall においてワークロードの分離を強化しました。最も重要かつ外部に公開されたサービスから改善を進めており、SFOS v21 および SFOS v21.5 のリリースには、これらの改善の第一弾が実装されました。SFOS v22 向け Sophos Firewall コントロールプレーンのアーキテクチャ見直しに関する進捗状況の詳細は、2025 年後半のリリースに合わせて公開いたします。
セキュリティパッチ
2024 年の誓約:
最新のバージョンのファイアウォールファームウェアを実行することは、デフォルトでセキュリティホットフィックスを受け取れるということ以外にも、セキュリティ上のメリットがあります。そのため、2025 年 9 月までに、お客様が Sophos Firewall (SFOS) のファームウェア更新を自動的にスケジュールできる機能をリリースすることを誓約します。
達成状況
ソフォスは、2025 年後半、SFOS v22 のリリースの際に、ファームウェア更新を自動的にスケジュールする機能を実装する予定です。お客様が Sophos Firewall のファームウェアを最新の状態に保つことは、お客様のセキュリティ維持にとっての最優先事項です。ソフォスの自動ホットフィックス展開機能が幅広く導入されているおかげで、現在お客様が使用されているファイアウォールの 99.41% が、リリースと同時に OS レベルのホットフィックスを自動的に受け取っています。
脆弱性開示ポリシー
2024 年の誓約:
脆弱性開示プログラムからの発見と教訓をレビューするブログ記事を公開することで、透明性を高め、業界全体の知識に貢献することを誓約します。
-
セキュリティ研究者への最大報酬額を増額します。
達成状況
2024 年 6 月の前回の投稿以来、ソフォスは一般公開しているバグ報奨金プログラムと、研究者から共有される素晴らしい知見への投資を継続しています。今年だけでも、ソフォス製品に対する 800 件以上のバグ報奨金申請をレビューしました。2017 年 12 月にこのプログラムを開始して以来、研究者コミュニティに支払った報奨金は 50 万ドルを超えています。現在、ソフォスは有効な発見に対して最高の報酬を提供する、Bugcrowd プラットフォームを活用するベンダーの中でもトップクラスに位置しています。
ソフォス製品に影響を及ぼす可能性のある重要な脆弱性の発見を奨励し、発見の可能性を高めるため、私たちは昨年の誓約に沿っていくつかの改善を行いました。
- Windows Intercept X 製品の最大報酬を 2 万ドル増額しました。研究者は 深刻度「P1」の脆弱性報告の報酬として 8 万ドルを獲得できるようになりました。
- Central での P1 脆弱性の発見に対して最大 5 万ドルを支払う新しい報酬規定を追加しました。
- 2025 年初頭のセキュアワークス買収後、Taegis と Redcloak で特定された有効な脆弱性に対する、金銭的報酬を含むプレミアムバグ報奨金の対象範囲を拡大しました。
Sophos Trust Centerに、根本原因分析 (RCA) セクションを新設しました。ここでは、最近のインシデントに関する RCA を公開しています。さらに、バグ報奨金プログラムから得られた洞察と教訓については、今年後半に続報として公開する予定です。
CVE
2024 年の誓約:
製品内で特定された、深刻度「高」または「緊急」のすべての内部脆弱性について、一貫して外部 CVE を公開するため、内部プロセスを拡張することを誓約します。
達成状況
この誓約は、内部で特定され、深刻度「高」または「緊急」と評価されたすべての脆弱性について、外部 CVE 公開の準備を確実に行うための内部プロセスを拡張することで実現されました。現時点では、この公開基準を満たす脆弱性は発見されていませんが、更新されたプロセスは導入が完了しており、今後も一貫して透明性のある開示をサポートする準備が整っています。
内部で発見された問題に対して CVE を透明性を持って公開することは、お客様が製品のセキュリティポスチャをより良く理解するのに役立ちます。CVE の公開は、お客様の情報に基づいた意思決定を支援し、業界のベストプラクティスに対する私たちのコミットメントを反映するものです。
侵入の証拠
2024 年の誓約:
2025 年 7 月より前の実装を目指し、監査ログのサードパーティへの取り込みを簡素化するため、Sophos Central に追加の統合機能を提供することを誓約します。
達成状況
この目標に向けた進捗はありましたが、2025 年初頭のセキュアワークス買収に伴う組織の大幅な変更と新たな製品機会を反映させるため、タイムラインを調整する必要がありました。
ソフォスはこの誓約に全面的にコミットし続け、改善を展開していく中で引き続き最新情報を提供していきます。
次のステップ
昨年掲げたコミットメントに対する進捗を確認しつつ、ソフォスは今後の方針に注力しています。近い将来、これまでの学び、進歩した点、そしてまだ取り組むべき点を踏まえ、来年に向けた新たな誓約を公開します。ソフォスの使命は変わりません。セキュアバイデザインの原則に沿って、製品のセキュリティ、透明性、信頼性を継続的に強化していきます。
