Synologyでの、ソフトウェアサプライチェーンのリスク管理
組織はますます、上流サプライヤーの複雑な構造に頼るようになっており、それに伴ってプロアクティブなリスク管理の必要性が高まっています。拡大し続けるソフトウェアサプライチェーンの中で、透明性、ベンダー管理、包括的なセキュリティコントロールを通じてSynologyがどのようにリスクの管理と緩和に取り組んでいるかをご紹介します。
Synologyは、製品それぞれに対し、Software Bill of Materials (SBOM) を維持管理していますが、これはより広い範囲をカバーするSoftware Supply Chain Risk Management (SSCRM) 戦略の一部です。製品SBOMは、すべてオープンソースと独自のコンポーネントからなり、配慮が必要な業界に対し、総合的なライセンスレビューとコンプライアンスの向上を可能にしています。Synologyは、自動化されたプロセスでSBOMを維持管理しており、情報の正確性と確実な更新を維持しながら、関係するステークホルダーやお客様に対し必要に応じてSBOMをご利用いただいています。Synologyの製品SBOMは、脆弱性が発見された際に、脆弱性リスクの迅速な評価と対応を可能にします。これは、MITRE CVEデータベースと米国のCISA KEVカタログとの統合によって可能になっています。
SynologyのSSCRM戦略は、それぞれの製品の開発における不可欠なステップとして、ソフトウェアコンポジション解析 (SCA) を採用しています。SCAは、製品リリース内の悪意のある、あるいは安全でないコードを防止し、Synologyおよびその下流パートナーに対しライセンスコンプライアンス保証を可能にしています。SCAによりSynologyは、開発の初期段階にリスクを発見し、緩和することができます。SCAはさらに、取り扱う任意のコンポーネントのためにコードベースの相対品質に関する貴重な洞察を与えてくれるため、ベンダー管理の改善や、より優れたコンポーネントの組み入れが可能になります。
サプライチェーンにおけるSynologyの上流パートナーからは、Synologyのお客様に優れた製品とサービスをお届けするために協力をいただいており、それ故にSynologyは、同社のサプライヤーと協力して透明性を確保し、対応力とそのスピードの向上にプロアクティブに努めています。Synologyは、高品質のサプライチェーンパートナーを見出し、長期サプライチェーン戦略に沿って長期的で成長できるビジネスパートナーシップを志向しています。
Synologyの内部インフラストラクチャおよび対応チームは、協働して組織的な回復力を高め、サイバー上の脅威に対応できるように努めています。エンドポイント保護、ゼロトラストアクセス、セキュリティ更新の一元管理を通じて、Synologyのチームはプロアクティブに、インフラストラクチャと資産の保護に取り組んでいます。さらにSynologyのインフラストラクチャチームは、ネットワークトラフィックを監視し、サイバー上の脅威によるリスクを減らし、Synologyのセキュリティチームは全社的なセキュリティガイドラインの継続的な確立に加わっています。
開発者は、製品開発時にはセキュアなコーディングのためのSynologyの内部制定標準に従っています。あらゆるコードはレビューの対象となり、提出されるコンポーネントはすべてプロジェクトアーキテクトによって確認されます。対応する開発ポイントではコードサイニングが用いられ、潜在的な脅威ベクトルを減少させています。重要な点は、Synologyは各製品に対し、Secure Development Lifecycle (SDLC) プラクティスにも従っていることで、それによりすべてのリリースの品質、セキュリティ、保守性を確実にしています。
セキュリティバグの報告やセキュリティ関連の質問を送信してください。