セキュリティのテスト
侵入テストの実施
ソフォスは、ソフトウェア開発パイプラインにおいてバグの特定、防止に努めていますが、一般的に完璧なシステムというものは存在しません。そのためソフォスでは、製品のセキュリティ評価を定期的に実施しています。こうした評価は、通常、アーキテクチャの詳細やソースコードを参照可能なホワイトボックス方式で実施しています。この方式だと、製品に関する情報がほぼない状態で実施するブラックボックス方式に比べ、効率的かつ効果的にテストを行えます。
最近の評価については、証明書を取得して公開しています。それ以前の評価については、ご要望に応じて詳細を共有いたします。また、今後実施されるテストについても、終わり次第、証明書を取得する予定です。
評価の証明書
| ソリューション | 製品 | 直近のテスト実施日 | ベンダー | 証明書 (LoA) |
|---|---|---|---|---|
| Endpoint | Intercept X | 2024年 10月 | MWR CyberSec | LoA - MWR - Endpoint |
| XDR | 2024 年 2 月 | MDSec | LoA - MDSec - MDR - XDR - SOC.OS | |
| Sophos Mobile Control | 2024年 8月 | MWR CyberSec | LoA-MWR-SMC | |
| Network | Firewall | 2024 年 11 月 | MWR CyberSec | LoA – MWR – Firewall LoA – MWR – Sophos Connect Client |
| SG UTM | 2022年 7月 | Nettitude | お問い合わせ | |
| SD‐RED (Remote Ethernet Device) | 2021 年 11 月 | MDSec | お問い合わせ | |
| ZTNA | 2023年 10月 | MWR CyberSec | LoA - MWR - Firewall/ZTNA | |
| Switch | 2024 年 1 月 | Sophos Red Team | お問い合わせ | |
| DNS Protection | 2024 年 1 月 | MWR CyberSec | LoA - MWR - DNS Protection | |
| Security Operations | MDR | 2025 年 2 月 | MDSec | LoA - MDSec - MDR |
| XDR | 2024 年 2 月 | MDSec | LoA - MDSec - MDR - XDR - SOC.OS | |
| Refactr | 2022 年 2 月 | Sophos Red Team | お問い合わせ | |
| SOC.OS | 2024 年 2 月 | MDSec | LoA - MDSec - MDR - XDR - SOC.OS | |
| Factory | 2024 年 2 月 | MDSec | LoA - MDSec - Sophos Factory | |
| Messaging | Central Email | 2024年 8月 | Sophos Red Team | お問い合わせ |
| Cloud | Sophos Central | 2025 年 1 月 | MDSec | LoA - MDSec - Central |
| Cloud Optix | 2024 年 1 月 | MDSec | LoA - MDSec - Optix | |
| ZTNA | 2025 年 2 月 | Pen Test Partners | LoA – PTP - ZTNA | |
| Firewall | 2023年 10月 | MWR CyberSec | LoA - MWR - Firewall/ZTNA | |
| Home Security | Sophos Home | 2022年 8月 | Sophos Red Team | お問い合わせ |
| Taegis | Taegis VDR | 2025年 7月 | MWR CyberSec | LoA - MWR - Taegis VDR |
| その他 | SophosLabs (Intelix を含む) | 2024 年 11 月 | Sophos Red Team | お問い合わせ |
模擬訓練
ソフォスは、社内のインシデント対応能力を定期的にテストすることが非常に重要であると考えています。そのため、模擬訓練を実施しており、そのシナリオ構築にあたっては、ビジネスチームやリスク管理チームの意見を参考にしています。
最近実施した模擬訓練のシナリオを以下に紹介します。
最近の模擬訓練のシナリオ
| 部署 | シナリオ | 予定日 |
|---|---|---|
| SMC チーム | サプライチェーン攻撃をきっかけとした、お客様のデバイスの大規模感染 | 2025 年第 2 四半期 |
| セールスエンジニア | ID 偽装によるフィッシング攻撃、個人情報の窃取 | 2025 年第 1 四半期 |
| Finance Team | Targeted attack against finance from attacker posing as vendor | 2024 年第 4 四半期 |
| MDR Team | Developer and Analyst compromise leading to Customer Ransomware Attack | Q3 2024 |
| Global Purchasing | 悪意のあるベンダー登録および偽の購入申請 | Q2 2024 |
| SophosLabs | Insider threat | Q1 2024 |
| HR | Ransomware and employee PII leakage | Q4 2023 |
| Support | Targeted attack by someone posing as a customer | Q3 2023 |
| Marketing | A compromised employee leading to the defacement of the company website and social media | Q2 2023 |
| Legal | Malicious bug bounty researcher | Q1 2023 |
| Sophos Home | Compromised engineer leading to large PII loss | Q4 2022 |
| SophosLabs | Compromised analyst system, supply chain attack | Q3 2022 |
| Endpoint | Compromised Sophos binaries, supply chain attack | Q2 2022 |
| Optix | Phished engineer | Q1 2022 |
| IT | Large-scale ransomware incident | Q4 2021 |
| Central | Zero-day vulnerability in application leading to compromise of customer data | Q4 2020 |
SecurityScorecard によるベンダーリスク管理
IT VRM (vendor risk management) とは、エンタープライズ向けのベンダーリスク管理ソリューションです。エンタープライズがサードパーティの IT 製品やサービスを使用すると、ベンダーが自社データにアクセス可能な状況が生まれますが、それに伴うリスクを評価、監視、管理することが目的です。IT VRM ソリューションは多数あり、ベンダーのアセットを特定して潜在的リスクを評価するという点では共通していますが、その能力はさまざまです。
ソフォスのお客様も、調達プロセスの一環として IT VRM ツールを利用している場合があります。そのようなお客様に対応するため、ソフォスは SecurityScorecard およびその VRM プラットフォームを使用しています。ソフォスの現在の評価は、 https://securityscorecard.com/security-rating/sophos.com からご覧ください。
