Tenable が CISA の「セキュア・バイ・デザイン（Secure by Design）」誓約をどのように実現しているか

サイバーセキュリティのリーダーとして、Tenable は今年の初めに CISA の「セキュア・バイ・デザイン」誓約の原署名者となったことを誇りに思います。この誓約の受け入れは、当社のセキュリティ第一主義へのコミットメントを強調するものであり、ユーザーが信頼できる強固で安全な製品を出荷することへの当社の献身を再確認するものです。 当社がどのようにこの誓約を守っているかについてご一読ください。 

5月、Tenable は 他 67 社のソフトウェアメーカーとともに、米国サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA) の「セキュア・バイ・デザイン (Secure by Design)」誓約の支持者の第一陣に加わりました。 当社は CISA のこの取り組みがサイバー脅威に対するグローバルなデジタルエコシステムの強化に役立つと確信しており、熱意と深いコミットメントをもってこの誓約に署名することを決定しました。 このブログでは、当社がセキュア・バイ・デザインを製品にどのように取り入れているかについて、詳細を掘り下げてご紹介します。

多要素認証 (MFA)

MFA は CISA の誓約の第 1 原則です。 具体的には、署名者は誓約書に署名してから 1 年以内に、自社製品すべてで MFA の使用を「明らかにわかるほど増やす」ことを誓約しています。 MFA に関する Tenable の立場は以下のとおりです。

MFA は備えておいたほうがよいセキュリティ対策であるだけでなく、最新のセキュリティ戦略の重要な要素です。これにより、アイデンティティの保護を強化し、攻撃者による企みの成功を著しく困難にできます。 

いかなる形式の MFA でもアイデンティティ侵害に対する実質的な保護を提供できることが、調査によって一貫して示されています。 しかし、耐フィッシング MFA など、より安全な形式の MFA を採用することで保護はさらに強化されます。 ハードウェアトークンや生体認証を含むこれらの方法は、巧妙な標的型攻撃に対する優れた防御を提供します。 

組織は、ユーザーの MFA 登録を増やすことを優先するべきです。 管理者と高い権限を持つユーザーには特に注意を払い、それらのユーザーが利用可能な最も安全な MFA 方式を利用できるようにするべきです。 このアプローチは、重要なアクセスポイントに関連するリスクを軽減して機密情報を保護するのに役立ちます。 

Tenable One サイバーエクスポージャー管理プラットフォームは、MFA のための SMS をサポートしており、お客様独自の認証アプリを導入することも可能です。さらに、お客様はアイデンティティプロバイダーを通じて MFA を実施することも可能であり、これによってユーザー管理を合理化し、認証の摩擦を減らし、組織の成長に合わせてスケーラビリティをサポートすることができます。 Tenable は、お客様が MFA 設定をコントロールできるようにすることで信頼を築き、より安全で、効率的かつ使いやすいプラットフォームを提供します。

誓約:

Tenable は、自社のプラットフォームのセキュリティ向上に努めています。 MFA はクレデンシャルスタッフィングやパスワード盗取などのパスワードベースの攻撃に対する最大の防御策であるという認識のもと、当社は便利ではあるが最高レベルの保護を提供しない SMS ベースの MFA を段階的に廃止することをお約束します。

当社は、より安全でフィッシング耐性のある MFA 方式の採用を重視し、すべてのお客様にデフォルトで MFA を義務付けていきます。 MFA への登録を全面的に増やすことで、ユーザーにより安全な環境を提供することを目指します。 当社のコミットメントは、進化する脅威に対して当社のプラットフォームが堅牢であり続けることを保証し、お客様に可能な限り最高のセキュリティを提供することです。

デフォルトのパスワード

CISA の誓約書では次にデフォルトのパスワードが取り上げられており、誓約書に署名してから 1 年以内にすべての製品でデフォルトのパスワードの使用を減らすよう支持者に呼びかけています。

Tenable One サイバーエクスポージャー管理プラットフォームでは、ユーザーにデフォルトのパスワードを提供していないとお伝えできることを嬉しく思います。 CISA が定義するデフォルトのパスワードとは、さまざまな製品であらかじめ設定されている共有パスワードです。 こうしたパスワードは、特にインターネットに露呈している資産に対する攻撃で容易に悪用される可能性があるために重大なセキュリティリスクとなっています。 デフォルトのパスワードの使用数を減らすことは、こうした脆弱性を最小限に抑えるために極めて重要です。

デフォルトのパスワードがもたらすリスクを軽減するためには、より安全な認証メカニズムに置き換えることが必要です。 例としては、個別のユーザーまたは人間以外のアイデンティティに固有の強力なパスワードなどです。 理想的には、これらをさらに MFA で補完します。MFAは、上述したようにセキュリティの追加レイヤーを提供します。 

さらに、当社は SaaS プラットフォームに強力なパスワード要件を設けています。 具体的には、パスワードは少なくとも 12 文字以上で、以下の要素を含んでいる必要があります。

• 大文字
• 小文字
• 数字
• 特殊文字

誓約:

当社は、CISA が強調しているパスワードに関連した脆弱性に対処することによって、当社のプラットフォームのセキュリティを向上させることに尽力しています。 パスワードの有効期限ポリシーを導入してパスワードが定期的に更新されるようにすることで、潜在的な攻撃者が利用できる隙を減らします。 この手法によって古くなった認証情報が定期的に更新され、全体的なセキュリティが強化されます。

さらに、当社は 2025 年末までにパスキーを導入することも誓約しています。 パスキーによって、暗号化方式を利用した堅牢でフィッシング耐性のある認証方式が提供されるため、認証されたユーザーのみが自分のアカウントにアクセスできるようになります。 この移行は当社のパスワードセキュリティ慣行の大幅な強化を意味し、当社のプラットフォームが進化するサイバー脅威に対して強靭であり続けることを保証します。

脆弱性クラスの全体的な削減

CISA の誓約は、次に脆弱性クラスのトピックを取り上げて、ソフトウェアメーカーが、誓約に署名してから 1 年以内に自社製品から 1 つ以上の脆弱性クラスの蔓延を積極的に減らすことの重要性を訴えています。

現在悪用されている脆弱性の大半は、SQL インジェクション、クロスサイトスクリプティング (XSS)、メモリ安全性の欠陥など、予防可能な問題から生じています。 こうした脆弱性に大規模に対処することは、ソフトウェア製品のセキュリティを強化する上で極めて重要です。

Tenable は、Tenable Oneプラットフォーム全体でセキュア・バイ・デザインの原則を活用することによって、これらのリスクを軽減することに尽力しています。 

Tenable One プラットフォームには、メモリ安全性の低い言語を使用して開発されたサービスはありません。 当社のプラットフォームのバックエンドは Kotlin で構築され、フロントエンドは TypeScript で実装されています。これらはいずれも、メモリ安全性の高い言語です。 こうしたことは本質的に、バッファオーバーフローやメモリリークのような数多くのメモリ安全性の脆弱性を回避するのに役立ち、その結果、当社のプラットフォームの基盤をより安全にすることに貢献しています。 

誓約:

メモリ安全性の高い言語とセキュアなコーディング手法に重点を置いてプラットフォームの開発を続けることで、悪用可能な脆弱性の蔓延を減らし、製品のセキュリティと信頼性を高めることを誓います。

セキュリティパッチ

CISA の誓約は、次に、署名企業に対して顧客によるセキュリティパッチのインストールを「明らかにわかるほど増やす」ことを求めています。

ソフトウェアメーカーは、製品が出荷された後も顧客のセキュリティの成果に対して全責任を負うことが不可欠です。 つまり、セキュリティを確保するという当社の義務は、導入の段階だけでは終わらないのです。 それどころか、当社はプラットフォームのライフサイクル全体を通じてユーザーの環境を保護し続けています。 

お客様は、何らかのアクションを行わなくても、Tenable の全 SaaS 製品のセキュリティアップデートを自動的に受け取ることができます。 当社はサプライチェーンの脆弱性や流出した機密情報を検出するためのアプリケーションセキュリティツールを用意しています。 これらのツールは、CI/CD パイプラインのゲートとして実行されます。

また、Tenable は自社のサーバーインフラにゴールデンイメージテンプレートを活用しています。 これらのテンプレートは毎週生成され、次のテンプレートが利用可能になるまで、新しく作成されたすべてのサーバーに適用されます。 各テンプレートは、脆弱性を最小限に抑えるために、毎日セキュリティアップデートが実行されるよう設定されています。 さらに、カーネルレベルの脆弱性の蓄積を防ぐため、各サーバーには 7 日間の TTL (Time-to-Live) が設定されています。 

サイバーセキュリティのリーダーとして、Tenable はインフラの保護の先も目指しています。 当社は、セキュリティツールを CI/CD パイプラインのブロックゲートとして実行することで、サプライチェーン全体を保護します。 各ビルドは、以下のツールにおいて当社のセキュリティの閾値を満たす必要があります。

• 静的解析: コードベース全体をスキャンして、セキュリティ上の弱点を探します。 
• 秘密情報のスキャン: すべてのプルリクエストをスキャンし、潜在的な秘密情報の漏洩を軽減します。 
• ソフトウェアコンポジション解析: オープンソースの依存関係をスキャンし、リスクを管理しながらソフトウェアを最新に保っています。
• コンテナスキャン: 各コンテナイメージの脆弱性をスキャンします。 さらに加えて、ビルドしたイメージに、アーティファクトレジストリにプッシュする前に署名し、そのイメージをランタイム環境にプルする前に検証します。 
• 動的アプリケーションセキュリティテスト (DAST): Tenable One プラットフォームは、潜在的な弱点を検出するために定期的なウェブアプリケーションスキャンを受けています。 

誓約:

当社は、タイムリーなセキュリティパッチの重要性を認識しています。 プラットフォームをより良くサポートするために、セキュリティパッチをタイムリーに提供し続けます。 セキュリティパッチの迅速なリリースを優先することで、お客様にとってセキュリティがシームレスな体験となり、当社のプラットフォームに対する保護と信頼が高まることを目指しています。 Tenable のセキュリティへの献身は、導入の時点で終わりません。ユーザーの安全と安心のために継続的な取り組みを行っています。 

脆弱性の開示ポリシー

「セキュア・バイ・デザイン誓約」は、ソフトウェアメーカーに対して、脆弱性を一般に開示する方法を示す脆弱性開示ポリシー (VDP) を公表するよう求めています。 

創業以来、Tenable は常に脆弱性の開示ポリシーを維持してきました。 また、公開されている HackerOne の VDP を活用して継続的に自社製品の欠陥を探しています。 当社は、当社の VDP に誠実に従う個人に対して法的措置は取らないという誓約を、改めて宣言します。 当社の VDP は、脆弱性を報告するための明確なチャネルを引き続き提供し、迅速かつ効果的な対応を保証します。 

さらに、当社は当社ウェブサイトで利用できる security.txt や Tenable Trust を用意し、当社製品内の脆弱性管理とソフトウェアセキュリティについて、できる限り透明性を保つよう努めています。 

誓約:

Tenable は、お客様が Tenable One プラットフォームにおいて発見した脆弱性を開示する手段を確保するため、脆弱性開示プログラムを継続します。

CVE 件数

Tenable は、明らかな透明性を持って脆弱性の報告の取り組みを行うことをお約束します。 Tenable はこれまで、当社製品に発見されたすべての欠陥に対してセキュリティアドバイザリを提供してきました。 当社はスケジュール、および責任に基づく情報開示に対する評価の透明性を保ちます。 

CWE (共通脆弱性タイプ) とCPE (共通プラットフォーム一覧) の正確な詳細を組み込むことで、当社の脆弱性レポートの明確性と有用性を高めています。 CWE は脆弱性の種類の分類に役立ち、CPE は影響を受けるソフトウェアやハードウェアの詳細情報を提供します。 当社は、当社が発見したものであっても、第三者によって発見されたものであっても、速やかに CVE を発行することを約束します。 これは、お客様が自社環境の保護のため即座に行動を起こせるようにするために極めて重要です。 

これらの慣行を遵守することで、当社はセキュリティと透明性へのコミットメントを強化し、お客様が進化する脅威に対して常に情報を得ることができるよう支援します。

誓約:

Tenable は、自社製品の脆弱性の報告において、すべての関係者と協力しながら透明性を示し続けます。

当社は、当社の製品のすべての CVE レコードにおける正確な CWE と CPE のフィールドを公開することを誓います。

また、可能であればセキュリティアドバイザリに CVSS v4.0 スコアリングを導入し、 万一の場合には v3.1 にフォールバックする予定です。 CVE レコードをこのように充実させることで、お客様は脆弱性の深刻度と潜在的な影響を包括的に理解できるようになります。 

侵入の証拠

最後に、CISA の誓約は署名企業に対し、自社製品へのサイバーセキュリティ侵入の証拠を収集する顧客の能力を「明らかにわかるほど向上」させるよう求めています。

組織がサイバーセキュリティインシデントを確実に検出し、理解できるようにすることは、強固なセキュリティプログラムを維持する上で極めて重要です。 この機能により、侵入へのタイムリーな対応が可能になり、発生しうる損害を最小限に抑え、効果的な修正を促進することができます。 

ソフトウェアメーカーは、侵入の証拠を収集できる監査ログなどのツールや成果物を提供することで顧客を支援できます。 監査ログは、アクティビティを追跡してセキュリティ侵害を示す可能性のある異常な動作を特定するために不可欠です。 

Tenable は、Tenable One プラットフォームの発売当初から、アクティビティログを内蔵して提供しています。 一部の SaaS 企業の場合とは異なり、お客様はアクティビティログを追加料金なしで利用できます。 これらのログには、実行者、アクション、対象、説明、日時が含まれます。 ログは CSV または JSON ファイルにエクスポートすることができ、UI 内や API 経由で利用可能です。

これらのツールの提供は、顧客のセキュリティ成果に責任を持つことを重視するセキュア・バイ・デザインの原則に沿ったものです。 この事前対策型のアプローチにより、セキュリティが製品の中核に確実に組み込まれます。 これは、お客様が高いセキュリティ基準を達成し、維持できるよう支援するという Tenable のコミットメントを反映したものです。 

さらに、Tenable Trust のページでは、プラットフォームの可用性に関するステータス、重要なお知らせ、プラットフォームのセキュリティ保証に関する情報を提供しています。

誓約:

Tenable は、自社のプラットフォームのセキュリティと透明性の向上に努めています。 10 月、Tenable は、サイバーセキュリティインシデントの検出と把握についてお客様を支援するため、Splunk 用の更新されたアドオンをリリースしました。 お客様からの継続的なフィードバックを通じて、当社はセキュリティ情報およびイベント管理 (SIEM) 統合機能を拡張することを誓います。 これにより、お客様は社内の SIEM ソリューションを使用して監査ログを監視し、包括的な可視性と潜在的な解決策に関するタイムリーなインサイトを得ることができます。 

最後に、「セキュア・バイ・デザイン」誓約プログラムの作成にリーダーシップを発揮した CISA 長官の Jen Easterly 氏と CISA シニアテクニカルアドバイザーの Bob Lord 氏および Jack Cable 氏に感謝の意を表します。

もっと詳しく

• Tenable、CISA と提携し、セキュリティ・バイ・デザインのプラクティスを強化
• SLSA が Nessus ソフトウェアサプライチェーンのセキュリティを強化
• クラウド セキュリティ プログラムを確立するためのベスト プラクティスと教訓
• Tenable のソフトウェア更新プロセスは、害を与えない安全設計により顧客のビジネス継続性を保護