はじめに
ソフォスが設立されて以来、セキュリティは当社の事業の中で最も重要なものであることに変わりはありません。このセキュリティ第一のアプローチが評価され、何十万もの組織が、何億台ものデバイスをソフォスソリューションで保護しています。
Sophos Central は、ソフォスの主力製品でクラウドベースのセキュリティプラットフォームです。最先端のセキュリティテクノロジーを提供するために基盤から構築されている一方、顧客データを効果的かつ包括的に保護するようになっています。
本ドキュメントでは、Sophos Central、およびその開発、導入、メンテナンスのほか、収集されるデータ、データの保存場所、データの保護方法、および業界で最も高度で強化されたセキュリティプラットフォームを提供するためにソフォスが実施しているさまざまな対策についても詳しく説明しています。
セキュア開発
セキュリティは、後から補足するのではなく、製品の企画段階で考慮することが重要です。その鍵となるのが、ソフォスのアクティビティベースの SDL (セキュア開発ライフサイクル) です。SDL は、業界をリードするベストプラクティスを、製品開発全体を通して、各手順の実行段階で施行します。
また SDL では、このようなアクティビティをチーム内で推進する、専任のセキュリティ支援エキスパートを、すべての製品開発チームに配属することを要求しています。このようなアクティビティの一部について、以下で簡単に説明しています。
各アクティビティの目的は、製品がリリースされる前にリスク分野を特定することです。これにより、エンジニアリングチームが問題の対処に費やすことのできる時間が最大化され、お客様に製品・サービスを出荷するはるか前に対処できます。
セキュアコーディング
ソフトウェアの脆弱性が偶発的に導入されることを防止かつ大幅に削減するために、エンジニアは、安全性の低いコーディング手法や設計パターンを識別して回避するためのトレーニングを受けており、代わりにより復元性をもつ設計を活用しています。
脆弱性に対して依存関係を管理するフレームワーク
オープン ソース ソフトウェアなどのサードパーティのコードを製品で活用する場合、各チームは、CVE が公開されると自動的に通知するフレームワーク内で、サードパーティとの依存関係のリストを管理します。これにより、サードパーティのコードで脆弱性が見つかった際に、各チームは迅速にパッチを作成してリリースすることができます。
脅威モデリング
システムやコンポーネントの設計または実装の系統的な分析は、想定する攻撃者の観点から実行されます。脅威は、攻撃者が取る可能性のある手段、弱点として判断される事柄、およびそれを悪用するための方法などを調べることによって識別されます。各脅威にはリスクレベルが割り当てられ、適切な制御、対策、再設計を実行できるように、リスクに優先順位を付けることができます。
静的解析
自動化ツールを使用してソースコードを解析し、コーディングエラー、脆弱性、欠陥または脆弱な設計パターンをすばやく見つけ出します。自動化ツールに加えて、開発サイクル中に、人間によるコードレビューやピアレビューを含む、ペアプログラミングを実施します。
内部セキュリティテスト計画
システムまたはコンポーネントの作業をしているすべてのチームによって広範なテスト計画が作成されます。この計画では、ホワイト ボックス テストとブラック ボックス テストの両方が対象となり、ユニットテスト/インテグレーションテスト/システムテスト、コード カバレッジ テスト/機能テスト/ファジングテスト/ユース ケース テストなどが実施されます。
外部セキュリティテスト
コードベースのホワイト ボックス テストの実行を、信頼できる外部のテスターまたはペネトレーションテスターに定期的に依頼し、ソフォスで検出できなかった脅威を特定しています。
脆弱性に対するレスポンス計画
内部テスト、外部テスト、またはバグ バウンティ プログラムを介して、ソフォス製品内で脆弱性が発見された場合、脆弱性に迅速に対応するための手順が実行され、迅速にパッチまたはアップデートの開発、品質保証およびリリースが行われます。
セキュアコードサイニング
エンドポイントソフトウェアで一般に行われる実行ファイルの署名に加え、Sophos Central では、顧客向けシステムに展開する前にコードサイニングを実行し、署名後にコードの変更や破損が発生しないようにしています。これにより、お客様は、ソフォスが品質保証したコードを確実に受け取って使用できるようになります。
Sophos Central プラットフォーム
Sophos Central は、複数の仮想マシンのインスタンスおよびサービスを介して Amazon Web Services にホスティングされており、現在稼働中の Sophos Central のワークロードを処理するために動的に拡張します。
Sophos Central アカウントを作成すると、アカウントを設定可能なリージョンの一覧が表示されます。各リージョンは完全に独立しており、データはリージョン間で移動されません。
現在、ドイツ、アイルランド、およびは米国から選択できます。Sophos Central のリージョンは、AWS のリージョン (EU-Central-1、EU-West-1、US-East-2、US-West-2) と同等です。
Sophos Central はクラウドネイティブのアプリケーションで、パートナーの Amazon と緊密に連携して、可用性と耐久性に優れたアプリケーションを構築しました。すべてのデータは、顧客が選択したリージョンごとに地理的に分離されています。ソフォスは各リージョンで、Amazon が提供する複数のデータセンター (可用性ゾーン) 間でレプリケーションを実行し、インフラレベルで障害が発生した際にシームレスにフェールオーバーを提供できるようにします。すべての顧客データは該当するリージョンにロックされており、リージョン間で転送することはできません。
Sophos Central は、よく知られており、広く使用されている業界標準のソフトウェアライブラリを使用して、一般的な脆弱性 (OWASP Top 10 を参照) を防止しています。標準のライブラリの使用にあたっては、標準のライブラリがセキュリティだけでなく安定性についても高いレベルの監視を受けているというメリットがあります。
物理的セキュリティ
Sophos Central の物理インフラは Amazon が管理しており、セキュリティの責任は分担されています。つまり、Amazon がクラウド自体のセキュリティを担当し、ソフォスがクラウド内のセキュリティを担当しています。AWS の責任共有モデルでは、このような責任について詳しく説明しています。https://aws.amazon.com/jp/compliance/shared-responsibility-model/
提供するインフラスとサービスを Amazon がどのような手順で保護しているかについては、セキュリティに関する次のホワイトペーパーを参照してください。https://d1.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf
ネットワークセキュリティ
ランタイムアプリケーション自己保護
ファイアウォールなどの標準的なネットワークセキュリティ対策に加えて、Sophos Central では、RASP (ランタイムアプリケーション自己保護) テクノロジーを使用しています。一般的な境界防御に代わる対策として、RASP はアプリケーション自体の内部からのリアルタイム情報を活用して入力を監視し、Sophos Central に対する攻撃を検出、ブロックします。RASP を使用することで、Sophos Central は動的に対応して攻撃を防ぎ、セッションの終了やセキュリティチームへの警告などのアクションを実行して、常に顧客のデータを保護できます。
仮想ネットワークの Auto Scaling
Sophos Central は、認証やエンドポイント管理など、仮想ネットワークが実行するさまざまなワークロードに基づいて、論理的に分離された仮想ネットワークに分割されます。その後、すべてのワークロードがロードバランサの後ろにある Auto Scaling グループに配置され、特定のワークロードで負荷/トラフィックが増加した場合でも、一時的なリソースを追加で割り当てて、グループが負荷を処理できるようにします。
Network Access Control List
セキュリティグループと Network Access Control List は、最小権限の原則に基づいて構成されています。デフォルトでは、Sophos Central で使用するために構築されたサービスは、仮想ネットワークの外には公開されていないプライベートサブネットに配置されます。さらに各サービスは、明確に必要とされ、Sophos Central の Infrastructure Services (CIS) チームによってアクセス権が付与された場合を除き、他のサービスと通信する許可を与えられません。外部インターフェースを公開する必要のあるサービスのみに、パブリックインターフェースが与えられます。
データベースアクセス
データベースはインターネットに公開されず、仮想ネットワーク内のみでアクセス可能で、他の Sophos Central のインフラとは別のプライベートサブネットに保存されます。データベースとのやり取りを希望するサービスは、データアクセス層 (DAL) を介して行う必要があります。DAL の詳細については、本ドキュメントの「データセキュリティ」セクションを参照してください。
メンテナンスアクセス
Sophos Central へのメンテナンスアクセスは、 ソフォス の IT インフラ内の特定のネットワークから発信される VPN トンネル経由のみで可能です。認証情報、キー、証明書を使用しても、ソフォスのネットワークの外にトンネルを構築することはできません。
DDoS 防御
DDoS (分散型サービス拒否) 対策は、専用の DDoS 防御テクノロジー、Auto Scaling、システム監視、およびトラフィック制限を介して行われます。
データセキュリティ
整合性
可用性
すべてのデータは、少なくとも 3つ複製されたデータからなるデータベースクラスタに格納されます。レプリケーション係数が少なくとも「3」のイベントドリブン型クラスタ化レプリケーションでは、クラスタ内のデータベースのインスタンス 2つで障害が発生しても、引き続きデータを使用することができます。イベントドリブン型の場合、データベースの変更は、スケジュールに従って複製されるのではなく、クラスタ内のすべてのインスタンスに直ちにプッシュされます。したがって、特定のインスタンスで障害が発生した場合でも、フェールオーバーインスタンスで完全なデータセットを使用できます。
耐久性
データベースの各インスタンスには、1時間ごとにスナップショットが作成される専用のストレージボリュームがあります。このようなインスタンスは一時的なもので、ストレージボリュームのみが永続します。このようなクラスタのレプリケーション係数は、データ損失を懸念することなくデータベースのインスタンスを破棄することを可能にします。データベースアプリケーションや OS などにある脆弱性は、データを損失することなく迅速に対処できます。
暗号化
保存されているすべてのデータは、ボリュームレベル (ストレージボリューム、オブジェクトストレージ、仮想マシンの仮想ドライブ) で暗号化されます。
機密性の高いユーザーデータの場合は、各フィールドごとにマルチパート鍵を使用して、ストレージボリューム内でフィールドレベルで暗号化します。このマルチパートは、鍵管理システムを含む、複数の異なる場所から構成されます。各鍵は、顧客および各フィールドごとに特有です。
トランスポートレベルの暗号化は、証明書およびサーバー検証を活用して、クライアントソフトウェアと Sophos Central プラットフォーム間の管理通信を保護するために使用されます。
ソフォスでは、ユーザーのパスワードを平文で保管したり送信したりすることはありません。ユーザーがアカウントに登録する場合、この新規ユーザーは、アクティベーションプロセスの一環としてパスワードを設定する必要があります。
Central Device Encryption
Sophos Central Device Encryption で暗号化鍵は保管されませんが、BitLocker および FileVault で暗号化されたボリュームの復旧鍵は保管されます。
鍵の保管
復旧鍵は、Windows/Mac エンドポイントでランダムに生成されます。この復旧鍵は難読化され、TLS (Transport Layer Security) で保護された MCS (Management Communication System) プロトコルを介して Sophos Central に送信されます。Sophos Central に到達すると、復旧鍵は難読化解除され、該当するストレージボリュームに保管されます。復旧鍵は、暗号化されたボリュームに常駐するだけでなく、AES を使用して透過的に暗号化されます。復旧鍵のメタデータは、復旧鍵と一緒に保管されません。
鍵のアクセス
管理者またはユーザーがデータベースから復旧鍵を読み取ると (Sophos Central Admin または Self Service ポータル経由などで実行)、この復旧鍵には「期限切れ」のマークが表示されます。復旧鍵を使用してエンドポイントを復旧し、エンドポイントが起動して Sophos Central と同期すると、復旧鍵の有効期限が切れたことが通知されます。エンドポイントは新しい復旧鍵を生成し、上記にある説明のように Sophos Central に送信します。新しい復旧鍵を受信したことを Sophos Central が確認すると、古い復旧鍵はエンドポイントで無効になり、使用できなくなります。これにより、復旧鍵は一度のみ使用できます。復旧鍵が Sophos Central で削除されることはありません。
脅威対策
マルウェア対策
Sophos Central は、ユーザーの操作なしですべてのマシンが稼働するように設計されているので、マシンをロックダウンして強化することができます。マシンは、ソフォスの安全なデジタルコード署名プロセスの一環として、オリジナルのソースから構築されており、マシンのゴールドイメージ作成の一環として、エンジニアリング所定のソフトウェアのみを実行します。
さらに、データベースサーバーのインスタンスと同様に、Sophos Central を構成するマシンは、データを損失することなく、いつでも破棄し、再構築できます。
パッチ適用
3週間ごとに、仮想マシンのゴールドイメージは、最新のソフトウェアライブラリおよびアプリケーションでアップグレードされます。仮想マシンのインスタンスの寿命は最長 3週間で、古いインスタンスは破棄され、新しいインスタンスは最新のゴールドイメージに基づいてデプロイされます。
脆弱性に対して依存関係を管理するフレームワーク、内部/外部テスト、バグ バウンティ プログラム、またはその他の手段によって脆弱性が見つかった場合、脆弱性対処プログラムの一環として、パッチ適用および再デプロイが行われます。
セキュリティの監視と対応
ソフォスのグローバルセキュリティチームは、Sophos Central および関連サービスからのすべてのログデータを年中無休で監視しています。Sophos Central にはフォレンジック分析機能が装備されており、データ侵害が発生した際に迅速にインシデントに対応できます。
コンプライアンスおよび外部監査
SOC
ソフォスは SOC タイプ 1 の監査を定期的に受けており、秘密保持契約 (NDA) に基づいてレポートへのアクセスを提供しています。SOC タイプ 2 監査は現在進行中です。
侵入テスト
ソフォスは、信頼できるサードパーティと協力して、定期的に内部および外部の侵入テストを実施しており、NDA に基づいて証明書を提供しています。
GDPR
ソフォスによるデータ保護へのグローバルな取り組みについては、ソフォス Web サイトで詳しく説明しています。
顧客の制御
多要素認証 (MFA)
MFA は、Sophos Central アカウントのすべての管理者、管理者のサブセットに対して有効にすることも、完全に無効にすることもできます。認証情報が侵害された場合に、Sophos Central アカウントにアクセスできないようにするために、MFA を使用することを強く推奨します。
ロールベースの管理
事前定義された複数ある管理者ロールを管理者に割り当てて、機密ログデータへのアクセスを制限したり、設定や構成の変更を制限したりすることができます。
脅威対策ポリシー
脅威対策ポリシーで、管理者は次の設定を有効または無効にし、ソフォスとリアルタイムで共有されるデータの量を増加は制限できます。詳細については、本ガイドの「テレメトリとデータ収集」セクションを参照してください。
Live Protection
- Sophos Live Protection で SophosLabs のオンラインより最新の脅威情報をチェックする
- スケジュール検索で Live Protection を使用する
- マルウェアのサンプルを SophosLabs に自動送信する
リアルタイム検索 (インターネット)
- 悪意のある Web サイトへのアクセスをブロックする
- レピュテーションの低いファイルを検出する
修復
- 根本原因解析 (RCA) を有効にする
- スナップショットファイルのアップロードを有効化する
ランタイム保護
- C&C サーバーに送信されるネットワークトラフィックを検出する
テレメトリとデータ収集
ソフォスが収集および保管するデータの詳細は、ソフォス Web サイトの次のページを参照してください。
ソフォスグループ個人情報保護方針
https://www.sophos.com/ja-jp/legal/sophos-group-privacy-policy.aspx
SophosLabs 情報セキュリティポリシー
https://www.sophos.com/ja-jp/legal/SophosLabs -information-security-policy.aspx
Sophos Extensible List (SXL)
SXL は、デバイスに補足データを提供するためのソフォスのプロトコルで、SophosLabs からの最新の情報を提供します。これは通常、ハッシュ、URL、またはファイルを SophosLabs に送信し、その URL またはファイルに関する詳細情報を含む応答を受信することによって実行されます。ソフォスではこのプロトコルをは、複数の機能に使用しています。
Webプロテクション
悪意のあるコードをホスティングしている、または危険な手段で使用されていることがわかっている Web サイトのユーザーによる閲覧を防止します。
Web コントロール
エンドポイントで実行される Web フィルタリングで使用する最新の Web サイトのカテゴリを取得します。
Live Protection
既知の悪意のあるファイルを迅速に特定し、実行前にブロックしたり、既知の不正ホストとのネットワーク通信試行を識別してブロックしたりします。Live Protection は、ダウンロードしたファイルのレピュテーションを確認するためにも使用されます。
誤検出の防止策
既知の正常なファイルに関する情報を受信することで、誤検出を抑制する追加機能です。
根本原因解析
Intercept X の一部である Sophos Data Recorder (SDR) は、重要なシステム動作すべてを記録します。悪意のあるアクティビティが検出されると、SDR が記録したデータのスナップショットを使用して、自動的に根本原因解析が生成されます。記録されたデータは、検出に関連するすべてのアクティビティ (ファイル、プロセス、レジストリキー、URL/IP の相互作用) を関連付け、Sophos Central にアップロードするために使用されます。
根本原因に加えて、スナップショットもアップロードできます (デフォルトでは無効)。スナップショットには、根本原因と種類は同じであるが、悪意のあるアクティビティの検出とは無関係のデータが含まれます。この機能は、主にサポートやデバッグの目的、または製品機能改善のためにエンジニア部門とデータを共有するために使用されます。
サンプルの送信
悪意のあるファイルサンプルを、解析のために SophosLabs に自動送信することができます。現在、悪意のある PE (Portable Executable) 実行ファイルのみが保持され、他のファイルタイプは安全に破棄されます。
追加対策
SophosLabs の隔離
SophosLabs 内で行われる独自性の高い研究、開発、および の日常業務 (最新の悪意のある脅威の調査や機械学習モデルの開発など) の性質を考慮して、SophosLabs は侵害の可能性を最小限に抑えるために、他のネットワークから隔離されています。さらに、すべてのマルウェアの実行、解析、および研究は、感染防止のために、隔離されたシステムで実行されます。このような隔離の取り組みにより、Sophos Central の開発がリスクにさらされることがないようにします。
必要情報の公開とバグ バウンティ プログラム
ソフォスは独立系リサーチャーコミュニティでのプレゼンスが高く、リサーチャーの調査結果を報奨するバグ バウンティ プログラムを運営しています。詳細は、Sophos Responsible Disclosure Policy (必要情報の公開ポリシー) を参照してください: https://www.sophos.com/ja-jp/legal/sophos-responsible-disclosure-policy.aspx。また、ソフォスの BugCrowd ページも参照してください: https://bugcrowd.com/sophos
Naked Security
Naked Security は、多くの受賞歴を誇るソフォスの公式セキュリティ ニュース ブログで、コンピュータセキュリティ問題や最新のセキュリティ脅威にまつわるニュース、見解、アドバイス、調査結果を提供しています。
ソフォスのジャーナリストおよびリサーチャーも、Sophos Central のエンジニアリングを改善するために貴重な洞察と提案を提供しています。
利用条件
Copyright © 2020 Sophos Limited. All rights reserved. この出版物の一部または全部を、電子的、機械的な方法、写真複写、録音、その他いかなる形や方法においても、使用許諾契約の条項に準じてドキュメントを複製することを許可されている、もしくは著作権所有者からの事前の書面による許可がある場合以外、無断に複製、復元できるシステムに保存、または送信することを禁じます。
Sophos、Sophos Anti-Virus、および SafeGuard は、Sophos Limited、Sophos Group、および Utimaco Safeware AG の登録商標です。その他記載されている会社名、製品名は、各社の登録商標または商標です。