トレンドマイクロ製品の安全性?透明性向上のための5つの取り组み 第4回~トレンドマイクロ製品の脆弱性に関する品质向上の取り组み~
「当社製品の品质?透明性?安全性の向上」のための取り组みを行うサイバーセキュリティ?イノベーション研究所の最前线のノウハウを连载形式でお伝えする连载企画。第4回は、トレンドマイクロ製品の脆弱性に関する品质向上の取り组みです。
Save to Folio
トレンドマイクロ製品の脆弱性への対処と3つの取组み
トレンドマイクロを含む多くのソフトウェアベンダーでは、高い品质とセキュリティ基準を満たす製品の开発とリリースを目指しています。しかし、製品のリリース后に様々な理由により意図しないバグが発见されることがあります。また、セキュリティ上悪用され得るバグは、「脆弱性」となってしまうこともあります。ソフトウェア开発时の设计思想や想定では、考虑できていなかった部分が后からこうした形で现れることがほとんどです。
当社の製品で脆弱性が発见された际には、迅速に対応策を準备し、脆弱性の内容を公表することで、お客さまに注意唤起を行うプロセスを整えていますが、製品をご利用中のお客さまにはご心配をおかけしている部分が大きいとも痛感しています。
こうした状况を少しでも改善すべく、当社では「製品のリリース前にいかに脆弱性に强い品质を确保するか?」に焦点を置き、様々な取り组みを行っています。本记事では、脆弱性に関する当社製品の品质向上の取り组みについて绍介します。
本记事では、以下の3つの取り组みについて绍介いたします。
取り组み①:脆弱性に强い製品を开発するための取り组み
取り组み②:未知の脆弱性を迅速に発见するための取り组み
取り组み③:脆弱性の悪用に迅速に気づくための取り组み
●脆弱性によるインパクトを最小限に抑える ”ハードニング(贬补谤诲别苍颈苍驳)”
ここでいうハードニングとは、「たとえ製品に脆弱性が存在していたとしても、悪用できない?しづらい设定にすること」です。
攻撃者が脆弱性を利用するには、『攻撃の侵入ポイント』からデータを入力し、『目标地点』(ここでは脆弱性が存在するソフトウェア)で脆弱性を悪用するコードを実行することが必要です。
ハードニングでは、
?攻撃者の侵入ポイントを叩きづらくする(=攻撃できる范囲を狭める)
?目标地点での动きを制限する(=攻撃后の活动を制限する)
などの思想に基づいて设计します。
このような作りにより、脆弱性による被害や影响度を最小限に抑えることができるようになります。
●製品リリース前に脆弱性を修正する ”脆弱性チェックツール”
トレンドマイクロでは、製品リリース前に様々なテストを行っています。これらのテスト手法のうちの1つとして、将来的な実装を目指して现在検証中の「脆弱性チェックツール」について绍介いたします。
これは、ソフトウェア开発のバージョン管理プラットフォームの运営公司が提供しているセキュリティ分析ツールの1つです。
脆弱性の特徴を记载したクエリを作成することで、プラットフォーム上のコードに対して同様の脆弱性が含まれていないか検索することができます。
これにより、「过去に発见された脆弱性と似たものを再び含んでしまっていないか?」を自动でチェックすることが可能になります。
开発中の段阶で脆弱性の存在に気が付くことができるようになるため、攻撃者による悪用の抑制はもちろん、结果的にお客さまの修正プログラム适用の负荷が軽减されることが期待されます。
取り组み②:未知の脆弱性を迅速に発见するための取り组み
前述したように、当社では脆弱性に强い製品づくりに取り组んでおりますが、一方で未知の脆弱性に対して100%対処することは残念ながら难しいのが実状です。そこで、トレンドマイクロでは「攻撃者に未知の脆弱性が発见?悪用される前に、自社で発见し修正する」ことを目指した活动も行っています。
具体的には、トレンドマイクロのセキュリティリサーチャーが自社製品に対する脆弱性を探し出すタスクフォースの発足(参考记事参照)や、専门业者によるペネトレーションテスト(システムの脆弱性を検証するテスト手法の1つ)、トレンドマイクロが运営する脆弱性発见コミュニティのなどを通したバグバウンティ(Bug Bounty)※プログラムなどを行っています。
※ 脆弱性報奨金制度とも呼ばれ、製品やサービスに関する脆弱性の報告を外部の専門家や研究者から受ける対価として、報奨金を支払う制度のこと。
参考记事:
トレンドマイクロが実践するサイバー攻撃演習(前編) ~サイバー攻撃者視点で徹底的にあぶりだす、組織のペインポイント
トレンドマイクロが実践するサイバー攻撃演習(後編) ~流行中のランサムウェアを模したリアルな演習、見えてきたXDRの効果とは
※製品品质の向上を目的の1つとしたレッドチーム演习の取り组み绍介记事。製品开発プロセスにおける脆弱性検査だけでなく、レッドチームによる攻撃者目线による演习で当社製品の悪用の可能性を検証し、発见した脆弱性や机能强化の必要性を社内にフィードバックしている。
当社の姿势に関する第叁者からの评価 ~ベストレポーター受赏~
トレンドマイクロでは、新たな脆弱性が発见された际に积极的に情报をリリースし、お客さまへ认知顶けるように努めています。特に、オンプレミス製品をご利用中のお客さまの场合、当社が脆弱性に対する修正プログラムを公开しても、それをお客さまが认知され、実际に适用いただかない限り、攻撃者からお客さまを守ることができないと考えているためです。
脆弱性公表に関する当社のこのような姿势について、2021年12月に闯笔颁贰搁罢/颁颁様から评価いただき、ベストレポーター赏を受赏しました。
以下、闯笔颁贰搁罢/颁颁様のブログより引用させていただきます(太字はトレンドマイクロで付加したものです)。
| これまでさまざまな製品开発者と话をさせていただく中で、自社製品の脆弱性の公表が「〇〇社の製品には脆弱性が多い、製品品质に问题があるのではないか?」といった悪评に繋がりかねないという「脆弱性の情报公开」への悬念は度々闻かれます。もちろん事前に脆弱性を作り込まないようにセキュアコーディング等を进めることも重要なポイントですが、「バグのないプログラムなど作れない」と言われるように、脆弱性が后から见つからない製品は存在しません。言い换えれば、自社製品が持つ脆弱性を自社が把握できていないことがあるということです。潜在的な脆弱性を见つけていくことに加えて、発见された脆弱性にどのように対峙していくかの姿势が重要ではないでしょうか。読者の皆さまにも脆弱性报告があるから品质が低いという见方ではなく、むしろ、脆弱性に対して前向きに対処しようとしている姿势を评価して欲しいと考えます。 トレンドマイクロからは、社内外で発見された自社製品の脆弱性に関する報告を寄せていただき、JVNVU アドバイザリや注意喚起を複数公表するに至りました。(中略)また、いくつかの脆弱性は、すでにそれが悪用されているとの情報を寄せていただき、脆弱性だけでなくインシデント対応を含め、サイバーリスク低減のための活動にも繋がりました。JPCERT/CC はこれらの点に加え、製品開発者の方に改めて自らの製品の脆弱性の情報流通を考えていただく機会としたく、トレンドマイクロにベストレポーター賞をお贈りしました。 |
出典:JPCERT/CC Eyes()
製品开発を行う一公司として、このようなお言叶をいただけたことは非常に光栄です。これに慢心することなく、トレンドマイクロでは、今后もお客さまに安心して製品をお使いいただけるよう製品品质向上に努めてまいります。
今回ご绍介した取り组み以外にも、トレンドマイクロでは安心安全な製品づくりのために、品质を高める様々な取り组みを行っています。その他の取り组みについては、下记の过去记事をご参照ください。
本シリーズの记事を読む:
第1回:製品开発の迅速性と安全性を両立する顿别惫厂别肠翱辫蝉
第2回:サービスの信頼性を確保するSRE (Site Reliability Engineering)の実践
第3回:ソフトウェアの脆弱性のリスクを可视化する厂叠翱惭
第4回:トレンドマイクロ製品の脆弱性に関する品质向上の取り组み
第5回:地政学リスクを考虑したサービスの设计とは
サイバーセキュリティ?イノベーション研究所
トランスペアレンシー?センター
トレンドマイクロのサイバーセキュリティ?イノベーション研究所の中核センターの一つ。トレンドマイクロの製品?サービスの品质、安全性、透明性の向上に取り组む。また、その取り组みを顾客や一般に広く発信するほか、「ソフトウェア管理に向けた厂叠翱惭の导入に関する手引」を策定した経済产业省のタスクフォースにて、ソフトウェア分野の厂叠翱惭実証に协力するなど、国内におけるソフトウェアのセキュリティ向上に向けた社外活动も推进している。
