Armの製品セキュリティに対する体系的なアプローチ
世界のデータを安全に維持することは、次の10年においてコンピューティングが直面する最大の技術的課題の1つです。セキュリティはArmのあらゆる活動に極めて重要視されており、製品セキュリティもまた、パートナーやより広範なエコシステムに提供される製品において重要な品質指標の1つとなっています。
Armのアプローチは、以下の領域により示すことができます。
Armはセキュリティ対策を重視しており、カスタマイズしたセキュリティ開発ライフサイクル(SDL)を通じて、製品開発の各段階にセキュリティプロセスを組み込んでいます。これにより、リリースされる製品に至る前に、潜在的なリスクを特定し、軽減することができます。
Armの製品セキュリティは、開発段階にとどまりません。Armの製品セキュリティインシデント対応チーム(PSIRT)は、製品に潜在的な弱点がないか継続的に監視するとともに、脆弱性の解決とパートナーやエコシステムに対する責任ある開示の両方を管理しています。
Armの製品セキュリティ保証部門は、SDLおよびインシデント対応プロセスの継続的な改善を推進し、Armの製品セキュリティプロセスの有効性に対して独立した保証を提供しています。
私たちはパートナー、組織、大学と積極的に協力し、ベストプラクティスと脆弱性リサーチの最前線に立ち続けています。このコラボレーションと知識の共有により、新たな脅威を予測して、効果的なセキュリティ戦略を実施する能力を強化しています。
Armの製品セキュリティ
「サイバー脅威の状況が複雑さを増す中、デジタルエコシステムの安定性を維持するためには、製品セキュリティに対する強固なアプローチが不可欠であることは明白です。Armでは、これを肝に銘じています。Armアーキテクチャに始まり、製品設計の初期段階から市場投入後まで、製品開発の仕組みにセキュリティを組み込んでいます。これは、私たちが自社製品だけでなく、パートナーやより広範なエコシステムの製品セキュリティをいかに重視しているかの証です。」
Armのセキュリティ開発ライフサイクル
開発ライフサイクル全体を通じて製品にセキュリティを組み込むことは、セキュリティリスクの軽減において非常に重要です。Armは多様な製品を擁しており、アーキテクチャ、ハードウェア、ソフトウェアの設計、開発、検証を含めてカスタマイズされたメソドロジーを確立しています。
Armは、各製品を担当する技術者がカスタマイズされたSDLプロセスのトレーニングを受けており、脅威モデリングの実行とセキュリティ要件の把握が可能な業界最先端のツールを利用できるように確約しています。設計、検証、文書化を網羅するリスク軽減策が、製品開発ライフサイクル全体にわたって適用されています。
Armの製品セキュリティインシデント対応プロセス
Armの製品セキュリティインシデント対応チーム(PSIRT)は、製品のセキュリティ脆弱性処理について明確に定義されたプロセスに従っています。潜在的な製品のセキュリティ脆弱性はすべて、次の4段階のアプローチにより管理されています。
- 発見
- 分析
- 解決
- 連絡
Armは研究者やパートナー、テクノロジーベンダーと協力して、セキュリティ脆弱性情報を共有することで、悪用のリスクを最小限に抑えられるよう確約しています。協調的脆弱性開示(CVD)の慣行に従い、脆弱性が開示されたときにパートナーや消費者が効果的に対応できるよう支援しています。
Armは、PSIRTと連携してセキュリティインシデントの分析と対処にあたる専門の脆弱性リサーチチームを擁しています。またこのチームは、将来的なセキュリティ脆弱性を防止するために、セキュリティの新たな領域についての調査も行っています。
セキュリティ通知と製品セキュリティインシデント対応プロセスの詳細については、Arm開発者サイトのセキュリティセンターをご覧ください。
Arm製品に関して問題がありましたか?こちらにお問い合わせください:psirt@arm.com
「Armでは、製品セキュリティが企業文化の一環となっています。私たちの製品セキュリティ保証機能は、開発からリリース後までを通して、セキュリティが優先事項であり続けるように監督を行っています。データ主導のアプローチを採用することで、製品とプロセスを継続的に改善し、Armをセキュリティベストプラクティスの最先端に位置づけています。」
セキュリティコミュニティ
Armブランドの製品とテクノロジーおよびArmが管理するオープンソースプロジェクトに関して、ArmはCVE採番機関(CNA)となっています。このステータスにより、Armはその管轄内で新たに発見された脆弱性に対してCVE IDを割り当て、エコシステムに構造化された情報を速やかに提供することができます。
Armは、セキュリティの最先端技術を推進している業界および学術コミュニティのメンバーです。これには、ハードウェア、ソフトウェア、システムのセキュリティに取り組む作業部会が含まれ、IEEE、IETF、MITREなどに属するものも含まれます。上記部会のメンバーであることにより、Armはセキュリティ専門家のグローバルなネットワークとの協力、知識の共有、ベストプラクティスの導入を通じ、自社製品が最高のセキュリティ基準で開発されていることを確約すると同時に、より広範なコミュニティに還元しています。
リチャード・ウィルソン(Richard Wilson)、品質責任者(Head of Quality)
「Armでは、品質と製品セキュリティに対する取り組みが製品開発ライフサイクルになくてはならない部分となっています。Armは品質ポリシーにおいて、製品とサービスの継続的な改善により期待に応えることで、パートナーのセキュリティ要件を満たすことへの取り組みを掲げています。ArmのISO 9001品質認証は、製品セキュリティを網羅しており、私たちの絶え間ない卓越性の追求を示しています。」