Armの製品セキュリティに対する体系的なアプローチ

世界のデータを安全に維持することは、次の10年においてコンピューティングが直面する最大の技術的課題の1つです。セキュリティはArmのあらゆる活動に極めて重要視されており、製品セキュリティもまた、パートナーやより広範なエコシステムに提供される製品において重要な品質指標の1つとなっています。

Armのアプローチは、以下の領域により示すことができます。

 
カスタマイズしたセキュリティ開発ライフサイクル

Armはセキュリティ対策を重視しており、カスタマイズしたセキュリティ開発ライフサイクル(SDL)を通じて、製品開発の各段階にセキュリティプロセスを組み込んでいます。これにより、リリースされる製品に至る前に、潜在的なリスクを特定し、軽減することができます。

専門の製品セキュリティインシデント対応

Armの製品セキュリティは、開発段階にとどまりません。Armの製品セキュリティインシデント対応チーム(PSIRT)は、製品に潜在的な弱点がないか継続的に監視するとともに、脆弱性の解決とパートナーやエコシステムに対する責任ある開示の両方を管理しています。

独立した製品セキュリティ保証

Armの製品セキュリティ保証部門は、SDLおよびインシデント対応プロセスの継続的な改善を推進し、Armの製品セキュリティプロセスの有効性に対して独立した保証を提供しています。

コミュニティとの積極的な連携

私たちはパートナー、組織、大学と積極的に協力し、ベストプラクティスと脆弱性リサーチの最前線に立ち続けています。このコラボレーションと知識の共有により、新たな脅威を予測して、効果的なセキュリティ戦略を実施する能力を強化しています。

Gary Campbell
ゲイリー・キャンベル(Gary Campbell)、エンジニアリング担当エグゼクティブ・バイスプレジデント(EVP Engineering)

Armの製品セキュリティ

「サイバー脅威の状況が複雑さを増す中、デジタルエコシステムの安定性を維持するためには、製品セキュリティに対する強固なアプローチが不可欠であることは明白です。Armでは、これを肝に銘じています。Armアーキテクチャに始まり、製品設計の初期段階から市場投入後まで、製品開発の仕組みにセキュリティを組み込んでいます。これは、私たちが自社製品だけでなく、パートナーやより広範なエコシステムの製品セキュリティをいかに重視しているかの証です。」

Armのセキュリティ開発ライフサイクル

開発ライフサイクル全体を通じて製品にセキュリティを組み込むことは、セキュリティリスクの軽減において非常に重要です。Armは多様な製品を擁しており、アーキテクチャ、ハードウェア、ソフトウェアの設計、開発、検証を含めてカスタマイズされたメソドロジーを確立しています。

 

Armは、各製品を担当する技術者がカスタマイズされたSDLプロセスのトレーニングを受けており、脅威モデリングの実行とセキュリティ要件の把握が可能な業界最先端のツールを利用できるように確約しています。設計、検証、文書化を網羅するリスク軽減策が、製品開発ライフサイクル全体にわたって適用されています。

 

製品セキュリティ開発ライフサイクルのインフォグラフィック

Armの製品セキュリティインシデント対応プロセス

Armの製品セキュリティインシデント対応チーム(PSIRT)は、製品のセキュリティ脆弱性処理について明確に定義されたプロセスに従っています。潜在的な製品のセキュリティ脆弱性はすべて、次の4段階のアプローチにより管理されています。

 

  • 発見
  • 分析
  • 解決
  • 連絡

 

Armは研究者やパートナー、テクノロジーベンダーと協力して、セキュリティ脆弱性情報を共有することで、悪用のリスクを最小限に抑えられるよう確約しています。協調的脆弱性開示(CVD)の慣行に従い、脆弱性が開示されたときにパートナーや消費者が効果的に対応できるよう支援しています。

 

Armは、PSIRTと連携してセキュリティインシデントの分析と対処にあたる専門の脆弱性リサーチチームを擁しています。またこのチームは、将来的なセキュリティ脆弱性を防止するために、セキュリティの新たな領域についての調査も行っています。

 

セキュリティ通知と製品セキュリティインシデント対応プロセスの詳細については、Arm開発者サイトのセキュリティセンターをご覧ください。

 

製品セキュリティインシデント対応プロセスのインフォグラフィック

 

 

 

Arm製品に関して問題がありましたか?こちらにお問い合わせください:psirt@arm.com

Lyndon Fawcett,  Director Product Security
リンドン・フォーセット(Lyndon Fawcett)、製品セキュリティ担当ディレクター(Director Product Security)



「Armでは、製品セキュリティが企業文化の一環となっています。私たちの製品セキュリティ保証機能は、開発からリリース後までを通して、セキュリティが優先事項であり続けるように監督を行っています。データ主導のアプローチを採用することで、製品とプロセスを継続的に改善し、Armをセキュリティベストプラクティスの最先端に位置づけています。」

セキュリティコミュニティ

Armブランドの製品とテクノロジーおよびArmが管理するオープンソースプロジェクトに関して、ArmはCVE採番機関(CNA)となっています。このステータスにより、Armはその管轄内で新たに発見された脆弱性に対してCVE IDを割り当て、エコシステムに構造化された情報を速やかに提供することができます。

CVE Program®のロゴ

Armは、セキュリティの最先端技術を推進している業界および学術コミュニティのメンバーです。これには、ハードウェア、ソフトウェア、システムのセキュリティに取り組む作業部会が含まれ、IEEE、IETF、MITREなどに属するものも含まれます。上記部会のメンバーであることにより、Armはセキュリティ専門家のグローバルなネットワークとの協力、知識の共有、ベストプラクティスの導入を通じ、自社製品が最高のセキュリティ基準で開発されていることを確約すると同時に、より広範なコミュニティに還元しています。

Richard Wilson, Head of Quality

リチャード・ウィルソン(Richard Wilson)、品質責任者(Head of Quality)

「Armでは、品質と製品セキュリティに対する取り組みが製品開発ライフサイクルになくてはならない部分となっています。Armは品質ポリシーにおいて、製品とサービスの継続的な改善により期待に応えることで、パートナーのセキュリティ要件を満たすことへの取り組みを掲げています。ArmのISO 9001品質認証は、製品セキュリティを網羅しており、私たちの絶え間ない卓越性の追求を示しています。」


製品セキュリティ 注目の関連情報

欧州の新しい自動車セキュリティ規制に対応

自動車はよりスマートに、より複雑になっています。欧州の新しい規制は、基準を引き上げ、サイバーセキュリティの脅威から自動車を保護することを目的としています。未来の自動車に展開されている既存のArm製品で、自動車メーカーがISO/SAE 21434準拠の設計に既製部品を組み込む支援をします。

サイバーセキュリティ:ソフトウェア定義型自動車を実現するもの

ソフトウェア定義型自動車は、単に多くのアプリケーションを有するだけではなく、オンライン接続されています。したがって、他のデバイスと同じサイバーセキュリティの脅威にさらされていますが、その寿命は他のデバイスよりも長いという特徴があります。自動車メーカーが現在、そして未来の両方の脅威から保護するためのアーキテクチャとフレームワークをArmがどのように提供しているかご確認ください。

AI対応ソフトウェア定義型自動車のセキュリティ確保:主なユースケース

自動車でサードパーティ製ソフトウェアの採用が増加している中、自動車で動作するプログラムのためのコードベースがより広く知られるようになり、リスクが増大しています。ハードウェアは、自動車とその乗員の両方に対するそれらリスクの影響を軽減する必要があります。この記事では、3つのユースケースと、規制に準拠したソフトウェア定義型自動車を実現するアーキテクチャとフレームワークの提供におけるArmの役割について説明します。