セキュアバイデザインの実践は、セキュリティへの配慮を後から考えるのではなく、製品のDNAの中に組み込むことであり、ソフトウェア開発の根本的な変化を意味します。この考え方は、私たちの業界の多くの人にベストプラクティスとして受け入れられていますが、義務化や広範な強制化はされておらず、顧客に幅広く理解されているわけではありません。しかしながら、デジタルインフラストラクチャが、かつてないスピードと大量の高度な脅威に直面する中、セキュアバイデザインを導入することがますます重要になっています。初心者も熟練のサイバー犯罪者も、ダークウェブでのエクスプロイトキットの購入や自動化ツールの使用など、新しいリソースを活用して脆弱性を大規模に悪用しています。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、12ヵ月前に開催された「RSAカンファレンス2024」で、セキュアバイデザイン誓約を発表しました。これは、製品開発の基盤に安全な実践を組み込み、デジタルエコシステム全体のシステミックリスクを軽減することで、テック業界全体のサイバーセキュリティのベースラインを引き上げることが目的です。フォーティネットは、最初に署名したサイバーセキュリティベンダーの1社であることを誇りに思っており、当社のJim Richbergがこの誓約の策定に貢献しました。
フォーティネットは、サイバーセキュリティのベストプラクティスの導入および提唱において業界の最前線に立っていますが、このセキュアバイデザイン誓約は、すべてのソフトウェアメーカーに対して厳格な標準を課すポリシーを策定および推進するもので、将来に向けた第一歩となっています。この誓約では、製品開発ライフサイクル全体にセキュリティを組み込むことに焦点を当てた7つの目標を概説しており、ソフトウェアベンダーは、これらの目標に向かって前進するための実用的なアイデアが得られます。
フォーティネットでセキュアバイデザインの原則を導入し推進する
フォーティネットは、何十年にわたりこれらの原則の多くを取り入れており、これらの標準の導入および発展の進捗状況について何度も議論してきました。宣誓目標に対応するために、当社が行った行動の概要を以下に紹介します。
宣誓目標1:メーカーの製品全体で多要素認証(MFA)の使用を定量的に増やすために行った行動を示します。
フォーティネットの成果:当社は、お客様のクラウドアカウントに対してMFAを有効化し、これらのお客様の95%がこの保護対策を利用しています。
宣誓目標2:メーカーの製品全体のデフォルトパスワードの削減に向けた進捗状況を定量的に示します。
フォーティネットの成果:デフォルトパスワードは、フォーティネットセキュア開発ライフサイクルポリシーで非推奨であり、すべての製品で廃止されており、ユーザーはインストール時に固有のパスワードを作成する必要があります。
宣誓目標3:メーカーの製品全体で1つ以上の脆弱性クラスの蔓延を、定量的かつ大幅に削減するための行動を示します。
フォーティネットの成果:当社は、SQLインジェクションやバッファーオーバーフローの削減に努めています。これは、将来のリリースで継続される進行中のプロセスです。
宣誓目標4:セキュリティパッチのインストールを定量的に増やすために、顧客側が実施する行動を示します。
フォーティネットの成果:当社は、この目標に関して、自動更新機能の導入を通じて大きく前進しており、同機能の実装以来、更新されたデバイスは100万台を超え、お客様のセキュリティに大きく貢献しています。
宣誓目標5:脆弱性開示ポリシー(VDP)を公開します。
フォーティネットの成果:フォーティネットが加盟するFIRST(Forum of Incident Response and Security Teams)は、100ヵ国以上の600を超えるメンバーで構成されており、各メンバーは、サイバーインシデントの管理およびインシデント対応プログラムの策定に関する目標、アイデア、および情報を共有することができます。当社は、FIRSTからの学びを適用することで、お客様との一貫したコミュニケーションを図っています。また、当社は、PSIRT(Product Security Incident Response Team)のポリシーページ、およびSecuity.txtファイルを通じて前述の脆弱性開示ポリシー(VDP)を公開しています。
宣誓目標6:脆弱性レポートの透明性を示します。
フォーティネットの成果:当社は、CVE(共通脆弱性識別子)の公開とコミュニケーションにおいて、長年にわたり徹底的な透明性プログラムを運用しており、すでにすべてのCVEで、CWE(共通脆弱性タイプ一覧)、およびCPE(共通プラットフォーム一覧)の各フィールドを追加しています。また、堅牢なPSIRTプログラムを通じて、脆弱性を積極的かつ透明性を持って開示するよう取り組んでいます。
宣誓目標7:顧客側の能力を定量的に向上させ、メーカーの製品に影響を与えるサイバーセキュリティ侵入の証拠を収集できるようにしていることを示します。
フォーティネットの成果:FortiOSバージョン7.4.4の導入以降、ファイルシステム整合性チェック機能が新たに追加され、ファイルの不正な変更や追加を検知し、記録できます。引き続き、FortiOSの新バージョンのリリースのタイミングで新機能を追加する予定です。
フォーティネットは以下に示すように、CISAのセキュアバイデザイン誓約で概説されている以外の他の対策も講じています。
・詳細なコードテストと監査、およびサードパーティによる侵入テストを定期的に実施
・パフォーマンス目標をコード品質に紐づけ(目標による管理)
・公開バグ報奨金プログラムを実施
・脅威インテリジェンスの共有や、サイバーセキュリティレジリエンス(耐性)を強化する戦略を策定するために、複数のサイバーセキュリティアライアンスと定期的に協力しており、これには、Network Resilience Coalition、Joint Cyber Defense Collaborative(JCDC)、およびCyber Threat Alliance(CTA)などが含まれる
今後の展望
フォーティネットは引き続き、パッチやアップグレードの実装をお客様に推奨するイニシアチブに取り組んでおり、これらのセキュリティ強化の影響を追跡しています。当社は、より強靭なデジタルエコシステムを構築するために、セキュアバイデザインの原則を業界全体に導入することが重要であると認識しており、官民セクター全体で強固なサポートと連携が必要になっています。当社は今後も、CISAやMITREなどの組織の取り組みを支え、堅牢な標準を導入し遵守して、すべての人のサイバーレジリエンスを強化します。
セキュアバイデザインの原則を支持する当社の取り組みの詳細については、以下の各サイトをご覧ください。
・フォーティネット、安全な製品開発と責任ある脆弱性開示ポリシーへの取り組みを推進
・フォーティネットの積極的かつ責任ある情報開示がお客様のセキュリティを強化
・セキュアバイデザインのコミットメントに対するフォーティネットの進捗状況
・2025年以降も重要視されるセキュアバイデザイン
コメント