Sophos Central プラットフォームの詳細 | ソフォスセキュリティセンター

Sophos Central は、ソフォスのすべての次世代型セキュリティソリューションのサイバーセキュリティ管理プラットフォームです。このページでは、Sophos Central が業界で最も保護されたプラットフォームであり続けるためのセキュリティ対策について詳しく説明します。

Sophos Central プラットフォームの概要
Sophos Central の構成
物理的セキュリティ
ネットワークセキュリティ
データセキュリティ
脅威対策
顧客の管理
テレメトリとデータ収集
セキュアなアップデート

Sophos Central プラットフォーム

Sophos Central は、高可用性を備えたクラウドネイティブアプリケーションです。Amazon Web Services（AWS）や Microsoft Azure などのパブリッククラウドプラットフォームでホストされ、絶えず変化するワークロードを処理するために動的に拡張されます。

Sophos Central の各アカウントは、指定されたリージョンでホストされます。ユーザーは、アカウント作成時に希望するリージョンを選択します。すべての顧客データは選択したリージョンにロックされており、リージョン間で転送することはできません。ソフォスは各リージョンで、複数のデータセンター (可用性ゾーン) 間でレプリケーションを実行し、インフラレベルで障害が発生した際にシームレスにフェールオーバーを提供できるようにします。

Sophos Central は、よく知られており、広く使用されている業界標準のソフトウェアライブラリを使用して、一般的な脆弱性 (例: OWASP Top 10 を参照) を防止しています。これにより、セキュリティと安定性の面で高いレベルの監視の恩恵を受けることができます。

Sophos Central の構成

Sophos Central は、拡張性の高いリージョンの API および製品サービスとともに、ID およびセッション管理に一連のグローバルサービスを使用しています。すべてのソフォス次世代製品は、Sophos Central を介して脅威、健全性、セキュリティ情報を共有し、保護機能を強化します。すべてを単一の Web インターフェイスで制御できるため、日常的な管理が容易になります。

物理的セキュリティ

Sophos Central の物理インフラを提供するパブリッククラウドプロバイダーとの責任共有モデルを採用しています。AWS 側がクラウドのセキュリティに対して責任を持ち、ソフォス側はクラウド内のセキュリティに対して責任を持ちます。

AWS の責任共有モデルについての詳細

Amazon が提供するインフラとサービスを確保するために行う手順の詳細ついては、セキュリティに関する次のホワイトペーパーを参照してください。

AWS セキュリティホワイトペーパー

ネットワークセキュリティ

Auto Scaling 仮想ネットワーク

Sophos Central は、認証やエンドポイント管理など、仮想ネットワークが実行するさまざまなワークロードに基づいて、論理的に分離された仮想ネットワークに分割されます。その後、すべてのワークロードがロードバランサの後ろにある Auto Scaling グループに配置され、特定のワークロードで負荷/トラフィックが増加した場合でも、一時的なリソースを追加で割り当てて、グループが負荷を処理できるようにします。

Network Access Control List

セキュリティグループと Network Access Control List は、最小権限の原則に基づいて構成されています。デフォルトでは、 Sophos Central で使用するために構築されたサービスは、仮想ネットワークの外には公開されていないプライベートサブネットに配置されます。さらに各サービスは、明確に必要とされ、Sophos Central の Infrastructure Services (CIS) チームによってアクセス権が付与された場合を除き、他のサービスと通信する許可を与えられません。外部インターフェースを公開する必要のあるサービスのみに、パブリックインターフェースが与えられます。

データベースアクセス

データベースはインターネットに公開されず、仮想ネットワーク内でのみアクセスできます。これらは、他の Sophos Central インフラとは別のプライベートサブネットに保管されています。データベースとのやり取りを希望するサービスは、データアクセス層 (DAL) を介して行う必要があります。DAL の詳細については、本ドキュメントの「データセキュリティ」セクションを参照してください。

メンテナンスアクセス

Sophos Central へのメンテナンスアクセスは、ソフォスの IT インフラ内の特定のネットワークから発信される VPN トンネル経由のみで可能です。認証情報、キー、証明書を使用しても、ソフォスのネットワークの外にトンネルを構築することはできません。

DDoS 防御

DDoS (分散型サービス拒否) 対策は、専用の DDoS 防御テクノロジー、Auto Scaling、システム監視、およびトラフィック制限を介して行われます。

データセキュリティ

整合性

ご利用対象

すべてのデータは、少なくとも 3つに複製されたデータからなるデータベースクラスタに格納されます。レプリケーション係数が少なくとも「3」のイベントドリブン型クラスタ化レプリケーションでは、クラスタ内のデータベースのインスタンス 2つで障害が発生しても、引き続きデータを使用することができます。イベントドリブン型の場合、データベースの変更は、スケジュールに従って複製されるのではなく、クラスタ内のすべてのインスタンスに直ちにプッシュされます。したがって、特定のインスタンスで障害が発生した場合でも、フェールオーバーインスタンスで完全なデータセットを使用できます。

耐久性

データベースの各インスタンスには、1時間ごとにスナップショットが作成される専用のストレージボリュームがあります。このようなインスタンスは一時的なもので、ストレージボリュームのみが永続します。このようなクラスタのレプリケーション係数は、データ損失を懸念することなくデータベースのインスタンスを破棄することを可能にします。データベースアプリケーションや OS などにある脆弱性は、データを損失することなく迅速に対処できます。

Encryption

保存されているすべてのデータは、ボリュームレベル (ストレージボリューム、オブジェクトストレージ、仮想マシンの仮想ドライブ) で暗号化されます。

機密性の高い顧客データの場合は、各フィールドごとにマルチパート鍵を使用して、ストレージボリューム内でフィールドレベルで暗号化します。このマルチパートは、鍵管理システムを含む、複数の異なる場所から構成されます。各鍵は、顧客および各フィールドごとに特有です。

トランスポートレベルの暗号化は、証明書およびサーバー検証を活用して、クライアントソフトウェアと Sophos Central プラットフォーム間の管理通信を保護するために使用されます。

ソフォスでは、Central アカウントのパスワードを平文で保管したり送信したりすることはありません。新規ユーザーがアカウントに登録する場合、これらのユーザーは、アクティベーションプロセスの一環としてパスワードを設定する必要があります。

脅威対策

マルウェア対策

Sophos Central は、ユーザーの操作なしですべてのマシンが稼働するように設計されているので、マシンをロックダウンして強化することができます。マシンは、ソフォスの安全なデジタルコード署名プロセスの一環として、オリジナルのソースから構築されており、マシンのゴールドイメージ作成の一環として、開発チーム所定のソフトウェアのみを実行します。

データベースサーバーのインスタンスと同様に、 Sophos Central を構成するマシンは、データを損失することなく、いつでも破棄し、再構築できます。

パッチの適用

仮想マシンのゴールドイメージは、3週間ごとに最新のソフトウェアライブラリおよびアプリケーションでアップグレードされます。仮想マシンのインスタンスの寿命は最長 3週間で、古いインスタンスは破棄され、新しいインスタンスは最新のゴールドイメージに基づいてデプロイされます。

脆弱性に対して依存関係を管理するフレームワーク、内部/外部テスト、バグバウンティプログラム、またはその他の手段によって脆弱性が見つかった場合、脆弱性対処プログラムの一環として、パッチ適用および再デプロイが行われます。

セキュリティの監視と対応

ソフォスのグローバルセキュリティ運用センターは、Sophos Central およびその関連サービスからのすべてのログデータを監視します。Sophos Central にはフォレンジック分析機能が装備されており、データ侵害が発生した際に迅速にインシデントに対応できます。

顧客の管理

多要素認証 (MFA)

MFA は、マルチテナントのパートナーダッシュボードとエンタープライズダッシュボードのすべての Sophos Central アカウント管理者に必要です。現在、シングルテナントのダッシュボードのすべての Sophos Central 管理者を登録する手続きを行っています。MFA 登録は、すべての新しい Central アカウントに対してデフォルトで有効になっています。現在、統合オプションには、メールや SMS から配信される OTP、および互換性のあるアプリから提供される TOTP (タイムベース OTP) が含まれます。

ロールベースの管理

事前定義された複数ある管理者ロールを管理者に割り当てて、機密ログデータへのアクセスを制限したり、設定や構成の変更を保護したりすることができます。

テレメトリとデータ収集

ソフォスが収集および保管するデータの詳細は、ソフォス Web サイトの次のページを参照してください。

ソフォスグループ個人情報保護方針 SophosLabs の情報セキュリティポリシー

セキュアなアップデート

次のいくつかの方法でソフォスのソフトウェアアップデートの完全性を保証しています。

ソフォスは、公開するバイナリファイルすべてをデジタル署名しています。
デフォルトでは、セキュアな HTTPS セッション経由でアップデートをダウンロードします。HTTPS アップデートをまだ使用していない場合は、管理者は Sophos Central のグローバル設定からアップデートを有効にできます。
デバイスは、インストールする必要があるコンポーネントを一覧表示したマニフェスト (ソフォスによって署名されています) も受信します。デバイスは、リストに記載されており、ソフォスによって署名されたファイルのみをインストールします。
ソフォスによって承認されていないファイルをデバイスにインストールすることはできません。