エッジ コンピューティング プラットフォームを確実に保護
ストラタスは、リスクを軽減し、サイバー脅威やデータ損失からデータを保護し、「always on」の可用性を確保することでお客様の業務を保護します。ストラタスは、セキュリティを重視しており、お客様および購入するコンピューティング プラットフォームにとって、セキュリティが最も重要な課題であることを認識しています。ストラタスでは、インシデントや脆弱性は緊急性と透明性をもって処理されます。
当社の製品セキュリティ インシデント対応チーム(Product Security Incident Response Team、PSIRT)は、常に進化し続けるサイバー セキュリティの脅威を監視し、開発やエンジニアリング部門と緊密に連携して、ストラタスのセキュリティ態勢を日々改善しています。セキュアなソフトウェア開発ライフサイクルに追従し、リスクと脆弱性に対抗するセキュリティ デザイン、テスト、コミュニケーションを通じてプラットフォームの機能と特性を補完することで、ストラタスのエッジ コンピューティング プラットフォームは厳格に保護され、お客様のリスクを最小限に抑えます。
ストラタスは、お客様のセキュリティを常に最優先のミッションとしており、デジタル トランスフォーメーションが進む世界を簡素化、保護、そして自動化するエッジ ソリューションの開発に取り組んでいます。
セキュリティ業界のベスト プラクティスを実践
ストラタスは、セキュリティ業界で認知されているベストプラクティスを実践し、より安全な製品の設計と構築を行っています。ストラタスは、主に国際計測制御学会(ISA)のガイドラインを順守しています。このガイドラインは、国際電気標準会議(IEC)でも採用され、プロセスと製品両方の観点からセキュリティが考慮されています。
セキュアなプロセス
- ISA、NIST、およびOWASPのガイドラインを組み込んだ正式なSDL(セキュア開発ライフサイクル)プログラムは、ストラタスによるセキュリティ リスクの特定と軽減に貢献しています。
- アメリカ国立標準技術研究所(NIST)は、連邦政府の情報システムにリスク管理フレームワークを適用するためのガイドラインを提供しています。ストラタスの開発者は、Stratus Redundant Linux、everRun、VOS などのソフトウェア製品の開発時にこれらの補足的なガイドラインを活用しています。
- ストラタスは、標準ベースのオープンでセキュリティを確保した相互運用可能なプロセス制御アーキテクチャーの開発に注力する技術委員会、オープン プロセス オートメーション フォーラム(OPAF)のメンバーです。O-PASは、拡張性、信頼性、相互運用性、安全性に優れたプロセス オートメーション システム構築を可能にする、ベンダーに依存しないリファレンス アーキテクチャーです。
セキュアな製品
- OPAFなどの団体と提携することで、ストラタスは広範なセキュリティ コミュニティのリソースを活用して製品のセキュリティを最大化できます。
- ストラタスは、ISAの機能要件を使用して製品に組み込むセキュリティ機能を策定しています。
- 連邦情報処理標準規格140-2(FIPS 140-2)もNISTが策定したもので、コンピューター セキュリティ部門(CSD)と応用サイバー セキュリティ部門(ACD)が共同で管理しています。ストラタスは、FIPS 140-2暗号およびデータ セキュリティ設計の原則を使用して、製品のセキュリティ要件を通知しています。
- また、静的アプリケーション セキュリティ テスト(SAST)や脆弱性スキャン ツールなどのOpen Web Application Security Project(OWASP)のツールを使用して不備を特定し、セキュリティ脆弱性のリスクを軽減しています。
セキュリティを考慮したストラタスの製品設計と製造
ストラタスは、製品開発プロセスにおいてセキュリティ リスクを特定し、軽減するためのプログラムと手順を確立しています。エンジニアリング グループ内の製品セキュリティ チームは、全社的なセキュリティ イニシアチブの開発と推進、そしてセキュリティに敏感なカルチャーの確立を担っています。このチームは、ストラタスのSDLプログラム、セキュリティ インシデント対応の取り組み、セキュリティ認証を担当しています。
ストラタスは、ISA、NIST、OWASPが提供するセキュリティ業界のベストプラクティス、ガイドライン、標準規格、そしてツールを活用するだけでなく、SDLプログラムの各フェーズを通じてセキュリティ リスクを軽減する以下のセキュリティ対策を採用しています。
- トレーニング
- 要件の収集
- 設計
- 実装
- 検証
- 製品リリースおよびリリース後の対応
インシデント レポート
ストラタスの製品セキュリティ責任者は、次のような取り組みを行っています。
- 報告を受けた製品関連の脆弱性への対応
- セキュリティに関するお問合せへの対応
- 製品に関連する脆弱性の検証、修正、開示
サポート対象の製品に重大な脆弱性やエクスプロイトが発見された場合、お客様の安全を最優先に迅速な対応を行います。
セキュアなプロセス
ストラタスのグローバル セキュリティ チームは、報告された脆弱性について調査と評価を実施し、社内のエンジニアリング、設計、品質管理チームに情報を共有します。また、PSIRTもセキュリティ研究者、お客様、パートナー、およびストラタス製品の脆弱性を報告するすべての方の主要な窓口として機能します。
セキュリティ関連の問題が検出または報告されると、PSIRTがストラタスの開発チームと連携して調査します。PSIRTは、適切な製品およびサポートチームと連携し、社内外を問わず改善とコミュニケーションの調整を継続的に実施します。
潜在的なセキュリティの脆弱性
ストラタスの製品、サービス、ソリューションに潜在的なセキュリティの脆弱性が発見された場合、または製品のセキュリティに関するご質問がある場合は、速やかにStratus Service Portalからご連絡ください。
サポート認証情報を入力し、「カスタマー サポート(Customer Support)」ドロップ ダウン メニューから、「問題を追加(Add Issue)」を選択してください。迅速に対応するため、以下の情報の提供をお願いします。
- 製品名およびバージョン
- 製品に関するお問合せ内容や潜在的な脆弱性の説明、および問題を再現するための手順
- 潜在的な影響(判明している場合)
一般的なその他のお問合せは、こちらからご連絡ください。
セキュリティに関する勧告およびアップデート
ストラタスは、信頼ある有数の情報源から寄せられたセキュリティの脆弱性を継続的に調査しています。 セキュリティの脆弱性は、ストラタスのセキュリティ専門家やソフトウェア開発者によって評価されます。解決策が適用されると、検証と確認後に公開されます。 ストラタスは24時間365日体制でサポートを提供しており、お客様によるシステムへのパッチやアップデートの適用を支援します。