フォーティネット、安全な製品開発と責任ある脆弱性開示ポリシーへの取り組みを推進
フォーティネットは、CISAのセキュアバイデザインの指針に最初に署名したサイバーセキュリティベンダーの1社として、お客様の安全を第一に考え、責任ある徹底的な透明性の文化をさらに発展させます
Secure by Disign Pledge:https://www.cisa.gov/securebydesign/pledge
当社の製品セキュリティ開発:https://www.fortinet.com/content/dam/fortinet/assets/flyer/flyer-fortinet-commitment-to-product-security-and-integrity.pdf
セキュアバイデザインの原則と責任ある開示プロセスに対するフォーティネットの取り組みを推進
フォーティネットの既存の製品開発プロセスは、「セキュアバイデザイン」と「セキュアバイデフォルト」の原則に則っており、CISAの「セキュアバイデザインの指針」と既に緊密に連携しています。フォーティネットは、製品開発ライフサイクルの全段階で製品のセキュリティを徹底して監査し、導入から使用終了に至るまで各製品のセキュリティを確保しており、これを担保するため、以下のような諸施策を不断に実施しています。
- セキュア製品開発ライフサイクル(SPDLC):当社は、NIST 800-53、NIST 800-161、NIST 800-218、US EO 14028、英国電気通信セキュリティ法など、主要な規格に従ってプロセスを調整しています。
- 厳格なセキュリティ製品テスト:当社では、ビルドプロセスに組み込まれた静的アプリケーションセキュリティテスト(SAST)とソフトウェア構成分析、動的アプリケーションセキュリティテスト(DAST)、脆弱性スキャン、各リリース前のファジングのほか、侵入テストや手動コード監査などのツールと手法を採用しています。
- 信頼性の高いサプライヤープログラム:主要な製造業者を厳選して認定するために、フォーティネットは「NIST 800-161:システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティス」を順守しています。データのプライバシーとセキュリティを重視する当社の方針は、当社のビジネスのあらゆる側面と、製品開発、製造、および納品プロセスの全段階に浸透しています。
- 情報セキュリティプログラム:フォーティネット情報セキュリティプログラムは、ISO 27001/2、ISO 27017および27018、NIST 800-53のほか、データプライバシー規則のGDPRやCCPAなど、業界の主要なセキュリティ規格とフレームワークを基盤とし、それらに適合しています。
- 第三者機関による認証:当社の製品は定期的に規格の認証を受け、NIST FIPS 140-2、NIAP Common Criteria NDcPP / EAL4+ など第三者機関の製品品質基準によって検証されています。
さらに、製品セキュリティインシデントレスポンスチーム(PSIRT)が製品のセキュリティ標準を維持し、業界で最も厳格なPSIRTプログラムの一つを運用しており、積極的かつ透明性の高い脆弱性開示もこれに含まれます。2023年に発見されたフォーティネット製品の脆弱性のうち、約80%は当社の厳しい監査プロセスによって社内で発見されたものです。このような積極的アプローチによって、不正なエクスプロイトが発生する前に修正プログラムを開発し、実装することが可能になります。お客様や独立したセキュリティリサーチャー、コンサルタント、同業組織、その他のベンダーと協力し、当社のPSIRTミッションを遂行しています。
https://www.fortinet.com/jp/blog/psirt-blogs/proactive-responsible-disclosure-is-one-cucial-way-fortinet-strengthens-customer-security
https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2024/fortinet-threat-research-finds-cybercriminals-are-exploiting-new-industry-vulnerabilities-faster
フォーティネットは責任ある徹底的な透明性の文化をさらに発展させるため、以下のミッションと連携する官民のパートナーシップを長年にわたって推進しています。
- Network Resilience Coalitionの創設メンバーであり、ソフトウェア / ハードウェアの更新やパッチ未適用の問題に対処するなど、ネットワークと機密データを保護する実用的ソリューションの提供を支援しています。https://www.fortinet.com/jp/corporate/about-us/newsroom/press-releases/2023/network-resilience-coalition-launches-to-address-threats-to-outdated-network-infrastructure-global-scale
- 2021年にCISAが設立した共同サイバー防衛連携(JCDC:Joint Cyber Defense Collaborative)とのメンバーシップを通じて官民の組織と協力し、有益な情報を収集、分析、共有することで、サイバー脅威に対してよりプロアクティブな防御を行っています。https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2023/fortinet-joins-jcdc-continue-strengthening-us-cybersecurity-resiliency
- Cyber Threat Alliance(CTA)の創設メンバーでもある当社は、他のサイバーセキュリティ企業と脅威インテリジェンスを随時共有し、攻撃者に対するお客様の保護を強化しています。https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2017/cyber-threat-alliance-expands-mission
- 世界経済フォーラムのサイバーセキュリティセンター(C4C)の創設メンバーとして、グローバルリーダーと協力して業界全体でのインテリジェンスの共有を奨励し、世界中のサイバー攻撃の削減とサイバー犯罪の防止に努めています。https://www.fortinet.com/jp/corporate/about-us/newsroom/press-releases/2019/fortinet-serves-as-a-founding-partner-of-world-economic-forum-s-
フォーティネットは、「RSAカンファレンス2024」にて、「No More Secrets in Cybersecurity: Implementing Radical Transparency(サイバーセキュリティに秘密はいらない:徹底的な透明性の実現)」と題した講演を行いました。セッションでは、責任ある徹底的な透明性によって、サイバー攻撃者に対するサイバーセキュリティのレジリエンシーをいかに強化できるかを詳しく解説しました。
パネルディスカッションには、以下の著名な業界専門家が登壇しました。
- フォーティネット、製品テクノロジーおよびソリューション担当シニアバイスプレジデント、Carl Windsor博士
- Cyber Threat Alliance、代表兼最高経営責任者、Michael Daniel氏
- CISA、サイバーセキュリティ担当エグゼクティブアシスタントディレクター、Eric Goldstein氏
- 元米国国土安全保障省次官、Suzanne Spaulding氏
https://www.fortinet.com/jp/blog/industry-trends/rsa-conference-2024-embracing-responsible-radical-transparency
この重要なトピックについて理解と知識を深めたい方は、こちらをご参照ください。
https://www.rsaconference.com/USA/agenda/session/No%20More%20Secrets%20in%20Cybersecurity%20Implementing%20Radical%20Transparency
今回の発表に関するコメント
「私たちは、透明性がお客様と社会により良い効果をもたらすことを、さまざまな分野で何度も繰り返し学んできました。それはサイバーセキュリティ業界でも同じです。この業界における透明性とは、開かれた責任ある方法で脆弱性を探索、軽減、開示することです。フォーティネットは、こうした責任ある透明性の実現に向けた対策をすでに始めており、脆弱性の伝達や分析の取り扱いについて明確な方針を定めています。この分野における同社のリーダーシップは、サイバーセキュリティベンダーがお客様や一般社会とどのようにコミュニケーションをとるべきかを示す優れた模範となります」
- Cyber Threat Alliance(CTA)、代表兼最高経営責任者、Michael Daniel氏
「製品開発でセキュアバイデザインのアプローチを重視することは、強固なセキュリティの基本です。フォーティネットなどのベンダーは、セキュアバイデザインの原則を世界規模で順守し適用することを奨励しており、これは集団的セキュリティ強化への重要な一歩となります。この原則は、オーストラリアのEssential Eightフレームワークにも記載されています」
- Strategic Analysis Australia社、ディレクター、フォーティネット戦略諮問委員会メンバー、Peter Jennings氏
「リスクの特定と評価はリスク管理の二大重要要素であり、それは戦場にいてもIT環境を保護していても変わりません。透明性、脆弱性の開示、脅威インテリジェンスに対するフォーティネットのアプローチは、サイバーセキュリティ業界全体が見習うべきものです」
- NATO退役将軍、Richard Sheriff氏
「変化の激しい今日の環境において、あらゆる組織の安全性を高めるには透明性の強化が不可欠です。フォーティネットが徹底的な透明性の確保を主導し、脆弱性や脅威に関する情報の共有を推進しているのは心強いことです」
- 元米国国土安全保障省次官、Suzanne Spaulding氏
「政府機関と民間企業との協力関係は、サイバー脅威に先行するための不可欠な要素であり、今後もそうであり続けるでしょう。私はフォーティネット取締役会の一員として、サイバーセキュリティのリーダーである同社が官民の組織とどのように連携し、透明性の高い方法で脅威インテリジェンスを共有し、国の安全保障をサポートしているかを直接目にしてきました。その活動は称賛に値します」
- 元4つ星海軍将校、NATO軍最高司令官、James Stavridis提督
フォーティネット、サイバーポリシー責任者兼グローバルフィールドCISOのJim Richbergは次のように述べています。
「フォーティネットは長年にわたり、倫理的で責任ある製品開発と脆弱性開示の模範となるよう務めています。その一環として、国際的および業界のベストプラクティスを積極的に取り入れ、ビジネスのあらゆる側面で最高のセキュリティ標準を維持しています。当社は、CISAが業界に対して後に続くよう継続的に呼びかけていることに賛同いたします。また、これらの重要目標の策定で当社と協働するCISAの意欲的な姿勢に感謝しています。テクノロジーコミュニティに属する方々に対し、組織の安全性を維持する私たちの取り組みに参加することを強く推奨いたします」
関連資料
● 関連ブログ 「RSAカンファレンス2024:責任ある徹底的な透明性を受け入れる」
https://www.fortinet.com/jp/blog/industry-trends/rsa-conference-2024-embracing-responsible-radical-transparency
● 関連ブログ 「フォーティネットの積極的かつ責任ある情報開示がお客様のセキュリティを強化」
https://www.fortinet.com/jp/blog/psirt-blogs/proactive-responsible-disclosure-is-one-cucial-way-fortinet-strengthens-customer-security
● 製品のセキュリティと完全性に対するフォーティネットの取り組みについて
https://trust.fortinet.com/?itemName=infrastructure&source=click&_fsi=nAUbHOfJ&_fsi=nAUbHOfJ
● fortinet.com/trust フォーティネットのイノベーション、協力パートナー、製品セキュリティプロセス、実証済みのサイバーセキュリティを必要とされるあらゆる場所に提供するエンタープライズグレード製品の詳細
https://www.fortinet.com/trust
● サイバーセキュリティの意識向上や製品関連のトレーニングを始めとするフォーティネットの無料のサイバーセキュリティトレーニングの詳細
https://www.fortinet.com/jp/training/cybersecurity-professionals
Fortinet Training Instituteは、フォーティネットTraining Advancement Agenda(TAA)の一環として、認定ネットワーク セキュリティ エキスパート(NSE)プログラム、Academic Partner Program、Education Outreach Programも提供しています。
NSEプログラム :https://www.fortinet.com/jp/training-certification
Academic Partner Program:https://www.fortinet.com/training/academic-partner-program
Education Outreach Program:https://www.fortinet.com/training/education-outreach-program
● フォーティネットのX(旧Twitter)、LinkedIn、Facebook、Instagramをフォローし、フォーティネットのブログまたはYouTubeチャネルに登録してください。
※本プレスリリースは、米Fortinet, Inc.が2024年5月7日(現地時間)に発表したプレスリリースの抄訳です。
原文:https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2024/fortinet-reaffirms-commitment-to-secure-product-development-processes-and-responsible-vulnerability-disclosure-policies
※この日本語版はフォーティネットのニュースルームでもご覧いただけます。
https://www.fortinet.com/jp/corporate/about-us/newsroom/press-releases/2024/fortinet-reaffirms-commitment-to-secure-product-development-processes-and-responsible-vulnerability-disclosure-policies
フォーティネット(NASDAQ: FTNT)は、ネットワーク/セキュリティの融合とサイバーセキュリティの進化を、牽引し続けている企業です。あらゆる場所で、人・デバイス・データの安全を確保するというミッションのもと、お客様が必要とするすべての場所にサイバーセキュリティを提供しています。エンタープライズでの利用に対応した50を超える製品群で構成される業界最大規模の統合ポートフォリオを実現し、業界最多の導入実績、特許数、認証数に支えられ、70万を超えるお客様からの信頼を獲得しています。脅威分析とセキュリティ研究を行う組織「FortiGuard Labs」を運営し、自社開発した最先端の機械学習やAIテクノロジーを活用することで、タイムリーかつ一貫したトップクラスの保護と共に、実用的な脅威インテリジェンスをお客様に提供しています。また、「Fortinet Training Institute」では、誰もがサイバーセキュリティのトレーニングと新たなキャリアの機会を得られるよう、業界最大規模かつ最も広範なトレーニングプログラムを提供しています。詳しくは当社ホームページ、フォーティネットブログ、FortiGuard Labsホームページをご参照ください。
フォーティネットブログ:https://www.fortinet.com/jp/blog
FortiGuard Labs:https://www.fortinet.com/jp/fortiguard/labs
Copyright© 2024 Fortinet, Inc. All rights reserved. 「®」および「™」マークはいずれも、Fortinet, Inc.とその子会社および関連会社の米国における登録商標および未登録商標であることを示します。フォーティネットの商標には、Fortinet、Fortinetロゴ、FortiGate、FortiOS、FortiGuard、FortiCare、FortiAnalyzer、FortiManager、FortiASIC、FortiClient、FortiCloud、FortiMail、FortiSandbox、FortiADC、FortiAI、FortiAIOps、FortiAntenna、FortiAP、FortiAPCam、FortiAuthenticator、FortiCache、FortiCall、FortiCam、FortiCamera、FortiCarrier、FortiCASB、FortiCentral、FortiConnect、FortiController、FortiConverter、FortiCWP、FortiDB、FortiDDoS、FortiDeceptor、FortiDeploy、FortiDevSec、FortiEdge、FortiEDR、FortiExplorer、FortiExtender、FortiFirewall、FortiFone、FortiGSLB、FortiHypervisor、FortiInsight、FortiIsolator、FortiLAN、FortiLink、FortiMoM、FortiMonitor、FortiNAC、FortiNDR、FortiPenTest、FortiPhish、FortiPlanner、FortiPolicy、FortiPortal、FortiPresence、FortiProxy、FortiRecon、FortiRecorder、FortiSASE、FortiSDNConnector、FortiSIEM、FortiSMS、FortiSOAR、FortiSwitch、FortiTester、FortiToken、FortiTrust、FortiVoice、FortiWAN、FortiWeb、FortiWiFi、FortiWLC、FortiWLM、FortiXDRなどが含まれますが、これらに限定されるものではありません。その他の製品名およびサービス名等は、各社の商標である場合があります。フォーティネットは、本プレスリリース内の第三者に帰する声明、認可またはテストについては、検証を行っておらず、また、このような第三者に帰する声明を承認するものではありません。本プレスリリースは、保証または債務保証、または契約として一切拘束を受けるものではなく、記載された製品仕様または製品性能は、ある特定の環境や条件のもとで計測されていることがあります。また、本プレスリリースには、将来の見通しに関して不確実性および仮説を伴う記述が含まれている場合がありますが、本不確実性が現実になったり、あるいは本仮説が正しくないことが判明したりする場合、明文的あるいは暗黙的に記述された内容と異なる結果が生じることがあります。これには、サイバー犯罪活動の動向予測に関する記述などが含まれますが、これに限定されるものではありません。このような動向は予測することが困難であり、また、このような動向に関する公開予測や期待事項は結果として正しくないことがあります。フォーティネットは、このような将来見通しを改正する義務を一切負うものではなく、また改正を発行することもありません。