メインコンテンツへスキップ
Hero ImageHero Image
ホワイトペーパー

Stratus 製品セキュリティ

ストラタスのセキュリティプログラムとプラクティスの概要

要約

Stratus、包括的なセキュリティ戦略の一環として、安全な製品の開発を確実にし、企業全体でセキュリティ意識を高めるためのプログラムとプラクティスを管理、実行しています。確立された監視手順は、Stratus 製品開発中と開発後の両方で製品のセキュリティリスクを特定して軽減するのに役立ちます。このホワイトペーパーの目的は、ストラタスのセキュア開発ライフサイクルプログラム(潜在的な脆弱性への対処と製品の完全性の確保に役立つ包括的かつ厳格な製品セキュリティ保証プロセス)を説明することです。

Stratus セキュリティに真剣に取り組んでいます

Stratus には豊富なセキュリティ遺産があります

Stratus 40年近くにわたり、最もミッションクリティカルなデータセンターのワークロードを強化するために、信頼性が高く、安全で管理しやすいプラットフォームを必要とする企業にコンピューティングインフラストラクチャを提供してきました。現在、Stratus ソリューションは、世界のフォーチュン100企業の半数以上が、86兆ドルのクレジットカード取引を安全に処理し、2億トンの食品や飲料を生産し、年間15億人の航空旅客を輸送するために使用されています。

エッジコンピューティングインフラストラクチャは安全でなければなりません

Stratus ソリューションが企業ネットワークのエッジに導入されるケースはますます増えています。ストラタスのシンプルで保護された自律型コンピューティングプラットフォームは、環境制御や技術リソースが不足している場所で重要なエッジアプリケーションを実行するためにますます求められています。

IoT(モノのインターネット)の出現、およびIT(情報技術)とOT(運用技術)の融合により、以前は「孤立していた」OTエッジネットワークは、新規および既存のITセキュリティの脆弱性にさらされています。さらに、これらのOTネットワークは、従来のITセキュリティ対策やツールを使用して簡単に保護することはできません。

Stratus ではセキュリティが重要です

データセンターからエッジまで、お客様のコンピューティングプラットフォームのセキュリティを確保することは、Stratus にとって最も重要です。顧客の多くは規制の厳しい業界で事業を行っており、国の重要なインフラストラクチャにエッジコンピューティングプラットフォームを使用しています。そのため、実行可能な攻撃ベクトルを減らし、多層防御アプローチをサポートするレイヤーを備えた製品を作成することが、リスクを軽減するための重要な要素です。Stratus、お客様とパートナーをよりよく保護するために、セキュリティ業界のベストプラクティスの活用、セキュリティを念頭に置いた製品の設計と構築、既知のセキュリティの脆弱性や脅威への迅速な対応、現在のスタンスの継続的な評価とセキュリティ体制の強化に向けた改善など、包括的なセキュリティ戦略を採用しています。

Stratus セキュリティ業界のベストプラクティスに従っています

Stratus、製品の設計と構築(安全なプロセス)、およびより安全な製品(安全な製品)にする際に、セキュリティ業界で認められているベストプラクティスに従います。ISA、NIST、OWASP のガイドラインを組み込んだ正式な SDL(セキュア開発ライフサイクル)プログラムは、Stratus セキュリティリスクを特定して軽減するのに役立ちます。OPAFのような組織と提携することで、幅広いセキュリティコミュニティのリソースを活用して製品のセキュリティを最大化することができます。

それはISAから始まります

国際オートメーション協会(ISA)は、1945年に設立された非営利の専門家団体です。この組織は、産業用オートメーションおよび制御システムのセキュリティ標準を含む、広く使用されているグローバル標準を開発および維持しています。Stratus 主に、同じく国際電気標準会議(IEC)で採択された2つのISAガイドラインに従い、プロセスと製品の両方の観点からセキュリティを検討しています。

セキュリティプロセス

ISA/ICE 62443-4-1
ISA/IEC 62443-4-1は、産業用オートメーションおよび制御システムで使用される製品を安全に開発するためのプロセス要件を規定しています。Stratus これらの ISA ガイドラインに従い、自社製品を安全に開発しています。このガイドラインは、以下を含む安全な製品の開発と維持を目的とした安全な開発ライフサイクルを定義しています。

  • セキュリティ要件定義
  • 安全なデザイン
  • 安全な実装 (コーディングガイドラインを含む)
  • 検証と検証
  • 欠陥管理
  • パッチ管理
  • 製品の生産終了

ニストスパ 800-37
現在は米国商務省の一部となっている米国国立標準技術研究所(NIST)は、産業競争力の促進に役立つ技術、測定、および標準を確立および監督する政府機関です。NIST特別出版物800-37(SP 800-37)には、リスク管理フレームワークを連邦情報システムに適用するためのガイドラインが記載されています。ストラタスの開発者は、Stratus 冗長Linux、everRun、VOSなどのソフトウェア製品の開発時に、これらの補足ガイドラインを活用しています。

製品セキュリティ

ISA/ICE 62443-4-2
Stratus また、ISA機能要件を使用して、製品に組み込むセキュリティ機能を定義しています。ISA/IEC 62443-4-2では、制御システム機能のセキュリティレベルを満たすための7つの基本要件(FR)に関連する技術コンポーネント要件(CR)について詳しく説明しています。基本的な 7 つの要件は以下のとおりです。

  • 識別と認証の制御
  • コントロールを使う
  • システムインテグリティ
  • データ機密保持
  • 制限付きデータフロー
  • イベントへのタイムリーな対応
  • リソースの可用性

たとえば、ztC Edge や everRun などのStratus 製品は、アクセス制御リスト、ロール、パスワードを利用して、最小限の権限の識別、認証、使用制御を行っています。ztC Edge のシステムインテグリティは、安全で信頼できるブートによって保証されます。ftServer とztC Edge はどちらも、データの機密性を確保するために、HTTPS、SSH、SMTPなどの安全な通信プロトコルを暗号化して使用しています。アラートログは、セキュリティインシデントを示唆する可能性のあるStratus 製品の設定変更を管理者に直ちに通知します。リソースの可用性はすべてのStratus 製品の特徴でもあり、高可用性とフォールトトレランスを備えているため、さまざまなタイプのサービス拒否イベントに対する回復力と、ビジネスクリティカルなサービスの継続が可能になります。

チップ 140-2
連邦情報処理標準140-2(FIPS 140-2)は、コンピュータセキュリティ部門(CSD)とアプライドサイバーセキュリティ部門(ACD)が共同で管理しているもう1つのNIST標準です。暗号モジュールが満たすべきセキュリティ要件を規定し、潜在的なアプリケーションや環境を幅広くカバーすることを目的として、段階的に4つのレベルを上げています。

Stratus FIPS 140-2 暗号化とデータセキュリティ設計原則を使用して製品のセキュリティ要件を定めています。たとえば、現在のStratus 製品はウェブサービスにOpenSSL 1.0.2k-fipsとTLS v1.2を使用しています。コンソールアクセスを提供するztC Edgeのウェブサーバーは、デフォルトでFIPS 140-2アルゴリズムに準拠しています。

オワスプ
オープンウェブアプリケーションセキュリティプロジェクト(OWASP)は、ソフトウェアのセキュリティを向上させることを目的とする非営利団体です。Stratus 財団の方法論、文書、ツール、テクノロジーを活用してセキュリティを向上させています。

Stratus セキュリティを念頭に置いて製品を設計および製造しています

Stratus、製品開発プロセスにおけるセキュリティリスクを特定して軽減するためのプログラムとプラクティスを確立しています。ストラタスのエンジニアリンググループ内の製品セキュリティチームは、全社的なセキュリティイニシアチブの開発と推進と、セキュリティ意識の高い文化の醸成を担当しています。このチームは、ストラタスのSDLプログラム、セキュリティインシデント対応の取り組み、およびセキュリティ認証を担当しています。

Stratus SDLは、ストラタスのエンジニアが安全な製品を安全に開発するのに役立つクローズドループのセキュリティ保証プログラムです。その主な目的は、開発中および展開中の製品の脆弱性の数と重大度を軽減することです。これは、事前トレーニング、要件収集、設計、実装、検証、リリース、リリース後の対応など、製品のライフサイクルとアジャイル開発文化のあらゆる側面にセキュリティを組み込むことで実現しています。

ISA、NIST、OWASPが提供するセキュリティ業界のベストプラクティス、ガイドライン、標準、ツールを活用することに加えて、Stratus セキュリティリスクを軽減するために、SDLプログラムの各段階を通じて追加のセキュリティプラクティスを取り入れています。

トレーニング
Stratus エンジニアは、開発プロセスや製品へのセキュリティ問題の発生を最小限に抑えるために、セキュリティトレンドと業界の進化する脅威状況を常に把握しながら、定期的にセキュリティトレーニングを受けています。ストラタスのセキュリティチームは、ロールベースおよびテクノロジー固有のセキュリティカリキュラムを管理および維持し、定期的に更新しています。現在、セキュリティ概念、セキュリティ設計とテスト、セキュリティコーディングテクニック、セキュリティツールのコースがあります。

要件収集
要件の収集と計画の段階で、製品の初期セキュリティプロファイルが評価されます。これは、製品のセキュリティプロファイルを一連の既知のセキュリティ要件と比較するいくつかのマイルストーンのうちの最初のものです。これらの要件は、製品所有者が顧客から要求したものでも、業界標準から提示されたものでもかまいませんが、セキュリティチームによって精査され、維持されます。現在、認証、承認、暗号化、証明書管理、ネットワークセキュリティ、仮想化、アカウンタビリティ、ソフトウェアのパッケージングと配信などの標準が含まれています。さらに、機密データの保護、悪質なコードの防止、攻撃対象領域の削減などの項目には、より高いレベルのセキュリティ要件があります。

[デザイン]
製品の設計段階では、リリース前にセキュリティ上の問題を特定して修正するための作業が並行して行われます。潜在的な脆弱性、システムの欠陥、および誤った設計前提を特定する脅威モデルまたはアーキテクチャ図面が作成されます。開発プロセスの早い段階でこのアクティビティを実行することで、開発チームは設計関連のセキュリティ問題に対処するための十分な時間を確保できます。

実装
このフェーズでは、開発チームは自動ツールを使用して、セキュリティ関連の欠陥を含む欠陥を検出します。SAST(静的アプリケーションセキュリティテスト)は、アプリケーションのソースコード、バイトコード、およびバイナリを分析して、セキュリティの脆弱性を示すコーディングおよび設計条件を分析します。この段階では脆弱性スキャンも実行されます。

さらに、セキュリティチームは安全な調達を採用しています。製品に組み込まれているすべてのOSS(オープンソースソフトウェア)とTPS(サードパーティソフトウェア)の名前とリリースレベルを文書化し、既知の脆弱性がないか検査します。セキュリティ問題が顧客に伝わるリスクを軽減するために、ベンダーのハードウェアとソフトウェアのセキュリティ評価を実施して、Stratus 業界標準に合わせて開発された安全な製品を受け取っていることを確認しています。

検証
このライフサイクルフェーズでは、開発チームは自動ツールを使用して、ネットワーク上で稼働しているコンピューティングシステムのセキュリティ脆弱性についてソフトウェア製品をスキャンし、システムが脅かされたり悪用されたりする可能性のある特定の方法があるかどうかを判断します。さらに、侵入テストを実施して、悪意のある侵入者が製品またはソリューションを正常に攻撃できるかどうかを判断することもできます。これらのテストは隔離されたテスト環境で行われ、製品アーキテクチャやソースコードのレビューを含めたり、さまざまな商用または社内の脆弱性検出ツールを利用したりできます。

また、この段階で最終的なセキュリティレビューが行われ、製品がSDLのすべてのプログラムアクティビティを通過したかどうか、および以前のセキュリティレビューで発生した問題がすべて解決されているかどうかが確認されます。この最後のセキュリティレビューは、RC (リリース候補) マイルストーンが達成される前に完了します。

リリースとリリース後の対応
GA(一般販売中)の製品は、製品ライフサイクルの製造段階に入ります。EOL(サポート終了)までこの段階にとどまります。セキュリティチームの一部であるストラタスの製品セキュリティインシデント対応チーム(PSIRT)は、Stratus 製品に関するセキュリティ問題の報告がないか、テクノロジー環境を監視する責任があります。グローバルチームの役割の1つは、報告された脆弱性を調査し、社内で適切なチームに情報を提供することです。もう1つの役割は、Stratus 製品の脆弱性を報告するセキュリティ研究者、顧客、パートナー、その他の外部関係者のStratus 窓口(product.security@stratus.com)になることです。

Stratus セキュリティの脆弱性と脅威に迅速に対応します

PSIRT がStratus 製品に関する問題を検出または受信すると、PSIRT はStratus 開発チームと協力して問題を調査します。PSIRTは引き続き、問題の改善とコミュニケーションを適切な製品およびサポートチームと社内外で調整しています。さらに、PSIRT はすべてのセキュリティ勧告の伝達と配布、およびそれらの記録をストラタスのウェブサイトで管理する責任があります。

Stratus、他のテクノロジーベンダーや政府機関(Intel、AMD、IBM、マイクロソフト、レッドハット、グーグル、フェイスブック、アマゾン、MITRE、CISAなど)とともに、既知のセキュリティ脆弱性に関する情報を継続的に特定、認定、公開するセキュリティ連合に所属しています。連合メンバーが潜在的な脆弱性について警告を受けたら、問題の特定と診断に取り掛かります。情報は連合メンバー間で共有され、メンバーは協力して解決策を作成します。最終的に、Stratus セキュリティパッチを作成し、それをPSIRTが顧客やパートナーに配布します。

Stratus セキュリティ体制を継続的に評価し、改善しています

ストラタスのSDLプログラムは、リスクの特定と軽減の能力について定期的に評価され、成熟して適格性が認められると、新しいプロセスやツールがプログラムに追加されます。

さらに、ストラタスのアジャイル手法には、各開発段階の脆弱性の種類とレベルに合わせたセキュリティテストの自動化プロセスが含まれています。統合されたDevSecOpsアプローチは、ストラタスの迅速で頻繁な製品開発サイクルにセキュリティを確実に組み込むのに役立ちます。以前のサイクルから学んだ教訓を将来のサイクルに迅速に適用できます。

さらに詳しい情報について

詳細や脆弱性の報告については、ストラタスのPSIRT(product.security@stratus.com)にお問い合わせください。ストラタスのセキュリティ勧告の詳細については、support.stratus.com をご覧ください。Stratus スが自社製品のセキュリティをどのように確保しているかについての詳細は、stratus.com/security をご覧ください。 またはstratus.com。

参考文献

  • 国際オートメーション協会 (ISA): isa.org
  • 国際電気標準会議 (IEC): iec.ch
  • 米国国立標準技術研究所 (NIST): nist.gov
  • オープンウェブアプリケーションセキュリティプロジェクト (OWASP): owasp.org
  • オープン・プロセス・オートメーション・フォーラム (OPAF): opengroup.org/forum/open-process-automation-forum
  • サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA): us-cert.gov
Hero ImageHero Image
ホワイトペーパー

Stratus 製品セキュリティ

ストラタスのセキュリティプログラムとプラクティスの概要

ホワイトペーパーをダウンロード

複雑さを解決し、結果を加速させる。

Penguin Solutions は、エッジ、コア、クラウドにまたがるソリューションとサービスにより、HPC、AI、IoT の新興テクノロジーの力でデジタルトランスフォーメーションを加速させます。

連絡を取る

1-415-954-2800
45800 Northport Loop W.
Fremont, CA 94538
お問い合わせ
投資家向け広報
パブリック・リレーションズ
メディアキット
倫理、コンプライアンス、ヘルプライン

パートナー

プログラムの概要
アライアンスパートナー
チャネルパートナー
システムインテグレーター
パートナーディレクトリ
パートナーログイン

会社

私たちについて
ESG インパクト
投資家
ニュースルーム
採用情報
サポート
第三者オンボーディング
利用規約
プライバシーポリシー
© YYYY Penguin Solutions。無断転載を禁じます。|
  個人情報保護方針
 | 
クッキーの設定