Sophos Central
Sophos Central は、ソフォスのすべての次世代型セキュリティソリューションのサイバーセキュリティ管理プラットフォームです。Sophos Central プラットフォームは高度に保護されており、その保護レベルは業界内でも最高水準を誇ります。ここでは、そのセキュリティ対策について詳しく説明します。
Sophos Central プラットフォーム
Sophos Central は、高可用性を備えたクラウドネイティブアプリケーションです。Amazon Web Services(AWS)や Microsoft Azure などのパブリッククラウドプラットフォームでホストされ、絶えず変化するワークロードを処理するために動的に拡張されます。
Sophos Central の各アカウントは、指定されたリージョンでホストされます。ユーザーは、アカウント作成時に希望するリージョンを選択します。すべての顧客データは選択したリージョンにロックされており、リージョン間で転送することはできません。各リージョン内に複数のデータセンター (冗長化ゾーン) があり、それぞれにレプリケーションをおくことで、インフラレベルの障害が発生した際にシームレスにフェールオーバーできるようにしています。
Sophos Central は、一般に広く認知、使用されている業界標準のソフトウェアライブラリを使って、一般的な脆弱性 (例:OWASP Top 10 を参照) を防止しています。これにより、セキュリティと安定性の面で高いレベルの監視の恩恵を受けることができます。
ネットワークセキュリティ
Auto Scaling の仮想ネットワーク
Sophos Central は、認証やエンドポイント管理などのワークロードの種類に基づき、論理的に分離した仮想ネットワークに分割されています。その後、すべてのワークロードがロードバランサの後ろにある Auto Scaling グループに配置され、特定のワークロードで負荷/トラフィックが増加した場合でも、一時的なリソースを追加で割り当てて、グループが負荷を処理できるようにします。
ネットワークアクセスコントロールリスト
セキュリティグループとネットワークアクセスコントロールリストは、最小権限の原則に基づいて構成されています。デフォルトでは、 Sophos Central で使用するために構築されたサービスは、仮想ネットワークの外には公開されていないプライベートサブネットに配置されます。各サービスは他のサービスと通信することはできません (Sophos Central Infrastructure Services (CIS) チームによって必要とみなされた場合は、アクセス権が与えられることがあります)。外部インターフェースを公開する必要のあるサービスのみに、パブリックインターフェースが与えられます。
データベースアクセス
データベースはインターネットに公開されず、仮想ネットワーク内でのみアクセス可能です。これらは、他の Sophos Central インフラとは別のプライベートサブネットに保管されています。データベースとのやり取りを希望するサービスは、データアクセスレイヤー (DAL) を介して行う必要があります。DAL の詳細については、本ドキュメントの「データセキュリティ」セクションを参照してください。
メンテナンスアクセス
Sophos Central へのメンテナンスアクセスは、ソフォスの IT インフラストラクチャ内の特定のネットワークを始点とする VPN トンネル経由でのみ可能です。ソフォスのネットワーク外にトンネルを構築することは、たとえ認証情報、鍵、証明書を使用したとしても不可能です。
DDoS 保護
DDoS (分散型サービス拒否) 対策として、専用の DDoS 防御テクノロジー、Auto Scaling、システム監視、およびトラフィック制限を実装しています。
データセキュリティ
整合性
可用性
すべてのデータは、少なくとも 3つに複製されたデータからなるデータベースクラスタに格納されます。レプリケーション係数が少なくとも「3」のイベントドリブン型クラスタ化レプリケーションでは、クラスタ内のデータベースのインスタンス 2つで障害が発生しても、引き続きデータを使用することができます。イベントドリブン型の場合、データベースの変更は、スケジュールに従って複製されるのではなく、クラスタ内のすべてのインスタンスに直ちにプッシュされます。したがって、特定のインスタンスで障害が発生した場合でも、フェールオーバーインスタンスで完全なデータセットを使用できます。
耐久性
データベースの各インスタンスには、1時間ごとにスナップショットが作成される専用のストレージボリュームがあります。このようなインスタンスは一時的なもので、ストレージボリュームのみが永続します。このようなクラスタのレプリケーション係数は、データ損失を懸念することなくデータベースのインスタンスを破棄することを可能にします。データベースアプリケーションや OS などにある脆弱性には、データを損失することなく迅速に対処することが可能です。
暗号化
保存されているすべてのデータは、ボリュームレベル (ストレージボリューム、オブジェクトストレージ、仮想マシンの仮想ドライブ) で暗号化されます。
機密性の高い顧客データの場合は、フィールドごとにマルチパート鍵を使用して、ストレージボリューム内でフィールドレベルで暗号化します。このマルチパートは、鍵管理システムを含む、複数の異なる場所から構成されます。各鍵は、顧客およびフィールドごとに特有です。
トランスポートレベルの暗号化は、証明書およびサーバー検証を活用して、クライアントソフトウェアと Sophos Central プラットフォーム間の管理通信を保護するために使用されます。
ソフォスでは、Central アカウントのパスワードを平文で保管したり送信したりすることはありません。新規ユーザーがアカウントに登録する場合、これらのユーザーは、アクティベーションプロセスの一環としてパスワードを設定する必要があります。
脅威対策
マルウェア対策
Sophos Central は、ユーザーの操作なしですべてのマシンが稼働するように設計されているので、マシンをロックダウンして強化することができます。マシンの構築は、ソフォスの安全なデジタルコード署名プロセスを通じて、オリジナルのソースから行われます。また、マシンのゴールドイメージ作成プロセスでは、開発チームからの指定ソフトウェアのみを実行します。
データベースサーバーのインスタンスと同様に、 Sophos Central を構成するマシンは、データを損失することなく、いつでも破棄し、再構築できます。
パッチの適用
仮想マシンのゴールドイメージは、3週間ごとに最新のソフトウェアライブラリおよびアプリケーションでアップグレードされます。仮想マシンのインスタンスの寿命は最長 3週間で、古いインスタンスは破棄され、新しいインスタンスは最新のゴールドイメージに基づいてデプロイされます。
脆弱性に対して依存関係を管理するフレームワーク、内部/外部テスト、バグ バウンティ プログラム、またはその他の手段によって脆弱性が見つかった場合、脆弱性対処プログラムの一環として、パッチ適用および再デプロイが行われます。
セキュリティの監視と対応
ソフォスのグローバルセキュリティ運用センターは、Sophos Central およびその関連サービスからのすべてのログデータを監視します。Sophos Central にはフォレンジック分析機能が装備されており、データ侵害が発生した際に迅速にインシデントに対応できます。
顧客の管理
多要素認証 (MFA)
MFA は、マルチテナントのパートナーダッシュボードとエンタープライズダッシュボードのすべての Sophos Central アカウント管理者に必要です。現在、シングルテナントのダッシュボードのすべての Sophos Central 管理者を登録する手続きを行っています。MFA 登録は、すべての新しい Central アカウントに対してデフォルトで有効になっています。現在、統合オプションには、メールや SMS から配信される OTP、および互換性のあるアプリから提供される TOTP (タイムベース OTP) が含まれます。
ロールベースの管理
事前定義された各種の管理者ロールを割り当てることで、機密ログデータへのアクセスや、設定および構成の変更操作を制限できます。
セキュアなアップデート
次のいくつかの方法でソフォスのソフトウェアアップデートの完全性を保証しています。
- ソフォスは、公開対象のバイナリファイルすべてにデジタル署名しています。
- アップデートのダウンロードには、セキュアな HTTPS セッションをデフォルトで使用しています。HTTPS アップデートをまだ使用していない場合は、管理者は Sophos Central のグローバル設定からアップデートを有効にできます。
- デバイスは、インストールする必要があるコンポーネントを一覧表示したマニフェスト (ソフォスによって署名されています) も受信します。デバイスは、リストに記載されており、ソフォスによって署名されたファイルのみをインストールします。
- ソフォスによって承認されていないファイルをデバイスにインストールすることはできません。