Synologyセキュア開発ライフサイクル
近年増加しているサイバー脅威により、製品ライフサイクルのあらゆる段階においてセキュリティとプライバシーを積極的に考慮することが求められています。Synologyがセキュリティとエンドユーザーのプライバシーを企画から開発、リリース、サポートに至るまでどのようにしてあらゆる製品に組み入れているかご紹介します。
開発パイプラインのセキュリティ確保
企画と設計
Synologyの製品は、リスクと資産の優先順位をつけるために詳細な脅威モデリングを使用して、レビューと分析のためにデータパスを慎重にマッピングしながら、明確に定義されているセキュリティとプライバシー要件に基づいて設計されています。コンポーネントアーキテクチャは、その上で最小限の保守で長期的な価値を提供する堅牢かつ高性能なパフォーマンスを発揮するよう慎重にレビューされます。
導入と検証
開発者は、Synologyのセキュアコーディングにおける基準に則って、設計したセキュリティモデルに基づいたソフトウェアコンポーネントを製造します。インポートされたオープンソースモジュールは事前に検証され、Synologyの開発者が使用するツールチェーンは最新のセキュリティアップデートが適用されています。静的アプリケーションセキュリティテスト(SAST)は、開発者が作成したコードが主要なセキュリティ欠陥を回避していることを保証するために、実装中の内部ソフトウェアビルドに対して実行されます。リリース候補が完成すると、動的アプリケーションセキュリティテスト(DAST)が実施され、コードが本番環境に対応できることを確認します。自動の脆弱性スキャンも採用されており、Synologyは最終検証の標準方法として侵入テストを実施しています。
リリース
完成した製品は、段階的なリリースに従って配布されるため、発売直後にゼロデイ攻撃が発見された場合のリスクが軽減されます。さらなるセキュリティ対策として、Synology はハードウェアセキュリティモジュールで保護された暗号化キーを使用して、全てのDiskStation Managerパッケージとアップデートに署名を行っています。
回答
Synology 製品セキュリティインシデント対応チーム(PSIRT)は、製品に関する脆弱性の情報の受け取り、調査、対応、報告など、製品関連の脆弱性情報を積極的に管理します。PSIRTはゼロデイ攻撃に対して24時間以内に対応し、Synology製品セキュリティ勧告 (Product Security Advisory)で、脆弱性アラートを公表しています。
セキュリティに対するSynologyの継続的な関与
専任のセキュリティチーム
Synologyでは、PSIRTは製品のセキュリティ対応を調整し、実行する全責任を担っています。包括的な4段階のプロセスにより、PSIRTは全ての関係者に迅速なコミュニケーション、修復、情報の完全な透明性を保証しています。
迅速なセキュリティインシデント対応
Synologyは業界内最高レベルのペースで包括的な修正を行うことをお約束します。ゼロデイ攻撃に対しては、8時間以内に一回目の深刻度評価を実行し、その後15時間以内に修正をリリースすることを目標としています。
ステークホルダーへの透明性
MITRE CVE Numbering Authority として、Synologyはサードパーティのセキュリティ研究者と安全に協力し、ステークホルダーとの透明性と信頼を維持しながら、未知のセキュリティ侵害に対する調査と対策を行うことができます。
情報セキュリティコミュニティへの参加
Synologyは情報セキュリティコミュニティと密接に協力し、製品の安全性を高めています。自社のセキュリテイバグ賞金プログラムや、長年にわたるPwn20wnのスポンサーとしての役割、さらにはその他の取り組みを通じて、Synologyは潜在的なセキュリティ問題を発見し、お客様のセキュリティ向上に大きく貢献してくださる研究者の皆様に心からのお礼と報酬を差し上げています。
セキュリティに対するSynologyの取り組みについて
始めましょう
セキュリティバグの報告やセキュリティ関連の質問を送信してください。