Secure Design
ソフォスは、あらゆる活動の核にセキュリティを据えています。ソリューション開発に関する手順および役割を SSDLC (Sophos Secure Development Lifecycle:ソフォスセキュア開発ライフサイクル) として定め、開発チームがすべてこれに従うことで、安全および効率を徹底しています。
- OpenSAMM (Open Software Assurance Maturity Model) を参考に、安全な製品開発に関する各種指標を継続的に測定、改善しています。
- 製品の開発およびリリースプロセスにおいて、最先端のアプリケーションセキュリティテストツールを使用しています。
- コードスキャンおよびファジングツールを使って、コードを導入前に分析しています。
- サードパーティのコンポーネントの使用を慎重に監視、管理し、脆弱性が見つかった場合は迅速に対処できるようにしています。
- セキュリティチームと開発チームの緊密な連携を通じて、社内外のセキュリティ脅威からソリューションを確実に保護しています。
開発はすべて、適切に支援された、信頼できる環境において行われています。ビルドシステム (CI/CD パイプラインを含む) を通常製品と同様に扱うほか、徹底的な鍵管理によって、デジタル署名の信頼性と完全性を確保しています。また、環境、サービス、製品設計、製品実装に何らかの脆弱性や弱点が見つかった場合、適切に対応できるよう、チーム体制を整えています。
SSDLC が整備された、信頼できる環境
ソフォスの目標は、お客様に安全な製品およびサービスを提供することであり、これが揺らぐことはありません。SSDLC (Sophos Secure Development Lifecycle) として、製品開発に関するあらゆる行動規範を定めています。また、製品の管理プロセスにセキュリティ要件を組み込み、安全で信頼できる環境を整えるべく努めています。これにより、脆弱性が見つかった場合は、迅速かつ効率的に対応することが可能となっています。
証拠保全
ソフトウェア部品表 (SBOM)
ソフォスは、SSDLC プロセスの一環として、ソフトウェア部品表を作成、管理しています。この部品表には、主要製品のコードベースに含まれるオープンソースおよびサードパーティの全コンポーネントが記載されています。これにより、ソフォス製品に含まれるサードパーティのコンポーネントに脆弱性が見つかった場合、それによる影響を速やかに特定し、優先度に基づき対処することが可能となっています。こうした仕組みにより、脆弱性がない最新コンポーネントのみが製品に含まれるよう徹底し、お客様に安心を提供しています。
製品によっては、ご要望に応じて SBOM のコピーを提供することも可能です。詳しくは、sbom@sophos.com までメールでお問い合わせください。