Armの製品セキュリティ
「サイバー脅威の状況が複雑さを増す中、デジタルエコシステムの安定性を維持するためには、製品セキュリティに対する強固なアプローチが不可欠であることは明白です。Armでは、これを肝に銘じています。Armアーキテクチャに始まり、製品設計の初期段階から市場投入後まで、製品開発の仕組みにセキュリティを組み込んでいます。これは、私たちが自社製品だけでなく、パートナーやより広範なエコシステムの製品セキュリティをいかに重視しているかの証です。」
Armのセキュリティ開発ライフサイクル
開発ライフサイクル全体を通じて製品にセキュリティを組み込むことは、セキュリティリスクの軽減において非常に重要です。Armは多様な製品を擁しており、アーキテクチャ、ハードウェア、ソフトウェアの設計、開発、検証を含めてカスタマイズされたメソドロジーを確立しています。
Armは、各製品を担当する技術者がカスタマイズされたSDLプロセスのトレーニングを受けており、脅威モデリングの実行とセキュリティ要件の把握が可能な業界最先端のツールを利用できるように確約しています。設計、検証、文書化を網羅するリスク軽減策が、製品開発ライフサイクル全体にわたって適用されています。
Armの製品セキュリティインシデント対応プロセス
Armの製品セキュリティインシデント対応チーム(PSIRT)は、製品のセキュリティ脆弱性処理について明確に定義されたプロセスに従っています。潜在的な製品のセキュリティ脆弱性はすべて、次の4段階のアプローチにより管理されています。
- 発見
- 分析
- 解決
- 連絡
Armは研究者やパートナー、テクノロジーベンダーと協力して、セキュリティ脆弱性情報を共有することで、悪用のリスクを最小限に抑えられるよう確約しています。協調的脆弱性開示(CVD)の慣行に従い、脆弱性が開示されたときにパートナーや消費者が効果的に対応できるよう支援しています。
Armは、PSIRTと連携してセキュリティインシデントの分析と対処にあたる専門の脆弱性リサーチチームを擁しています。またこのチームは、将来的なセキュリティ脆弱性を防止するために、セキュリティの新たな領域についての調査も行っています。
セキュリティ通知と製品セキュリティインシデント対応プロセスの詳細については、Armデベロッパーのセキュリティセンターをご覧ください。
Arm製品に関して問題がありましたか?こちらにお問い合わせください:psirt@arm.com
「Armでは、製品セキュリティが企業文化の一環となっています。私たちの製品セキュリティ保証機能は、開発からリリース後までを通して、セキュリティが優先事項であり続けるように監督を行っています。データ主導のアプローチを採用することで、製品とプロセスを継続的に改善し、Armをセキュリティベストプラクティスの最先端に位置づけています。」
セキュリティコミュニティ
Armブランドの製品とテクノロジーおよびArmが管理するオープンソースプロジェクトに関して、ArmはCVE採番機関(CNA)となっています。このステータスにより、Armはその管轄内で新たに発見された脆弱性に対してCVE IDを割り当て、エコシステムに構造化された情報を速やかに提供することができます。
Armは、セキュリティの最先端技術を推進している業界および学術コミュニティのメンバーです。これには、ハードウェア、ソフトウェア、システムのセキュリティに取り組む作業部会が含まれ、IEEE、IETF、MITREなどに属するものも含まれます。上記部会のメンバーであることにより、Armはセキュリティ専門家のグローバルなネットワークとの協力、知識の共有、ベストプラクティスの導入を通じ、自社製品が最高のセキュリティ基準で開発されていることを確約すると同時に、より広範なコミュニティに還元しています。
リチャード・ウィルソン (Richard Wilson)、 品質責任者 (Head of Quality)
「Armでは、品質と製品セキュリティに対する取り組みが製品開発ライフサイクルになくてはならない部分となっています。Armは品質ポリシーにおいて、製品とサービスの継続的な改善により期待に応えることで、パートナーのセキュリティ要件を満たすことへの取り組みを掲げています。ArmのISO 9001品質認証は、製品セキュリティを網羅しており、私たちの絶え間ない卓越性の追求を示しています。」
