米国で先日開催されたサイバーセキュリティ、セキュリティ技術、データ保護に関するRSA 2024年次会議において、フォーティネットは、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が策定した「セキュリティ・バイ・デザイン」規制に準拠するコミットメントにいち早く署名し、透明性と責任あるセキュリティ部門となるというコミットメントを再確認しました。

これは、セキュリティ業界に対する自主的な取り組みであり、Fortinet の既存のソフトウェア セキュリティのベスト プラクティス、および CISA、米国国立標準技術研究所 (NIST)、その他の米国連邦政府機関、業界および国際パートナーによって開発されたベスト プラクティスに基づいています。この取り組みでは、責任ある脆弱性開示ポリシーを含む、フォーティネットの製品セキュリティ開発プロセスの不可欠な部分となっている目標の概要が示されています。

CISA の最新の取り組みは、セキュリティ バイ デザインとセキュリティ バイ デフォルトの原則に基づく Fortinet の既存の製品開発プロセスと一致しています。 Fortinet は、製品開発ライフサイクルのすべての段階で厳格な製品セキュリティ監視に取り組んでおり、次のように、最初から最後まで各製品にセキュリティが確実に組み込まれるように支援しています。

セキュア製品開発ライフサイクル (SPDLC): Fortinet は、NIST 800-53、NIST 800-161、NIST 800-218、米国大統領令 14028、英国電気通信セキュリティ法などの主要な標準規格に準拠したプロセスを採用しています。

厳格なセキュリティ製品テスト: Fortinet は、ビルド プロセスに統合された静的アプリケーション セキュリティ テスト (SAST) やソフトウェア構成分析、動的アプリケーション セキュリティ テスト (DAST)、各リリース前の脆弱性スキャンとファジング、侵入テスト、手動コード レビューなどのツールとテクニックを活用しています。

信頼できるサプライヤー: 主要な製造パートナーの厳格な選定と能力の正確な評価を確実にするために、Fortinet は NIST 800-161: システムおよび組織向けのサイバーセキュリティ サプライ チェーン リスク管理プラクティスに準拠しています。フォーティネットのデータ プライバシーとセキュリティへの取り組みは、同社の事業運営のあらゆる側面、および製品の開発、製造、流通のあらゆる段階に反映されています。

情報セキュリティ プログラム: Fortinet の情報セキュリティ プログラムは、ISO 27001/2、ISO 27017 および 27018、NIST 800-53 などの業界をリードするセキュリティ標準とフレームワーク、および GDPR や CCPA などのデータ プライバシー規制に準拠して開発されています。

サードパーティの認定: Fortinet 製品は、NIST FIPS 140-2 および NIAP Common Criteria NDcPP / EAL4+ などのサードパーティの製品品質標準によって定期的に認定および検証されています。

さらに、フォーティネットの製品セキュリティ インシデント対応チーム (PSIRT) は、フォーティネット製品のセキュリティ標準を維持する責任を負っており、プロアクティブで透明性の高い脆弱性開示を含む、業界で最も堅牢な PSIRT プログラムの 1 つを運用しています。 2023 年に発見されたフォーティネットの脆弱性の約 80% は、同社の厳格な社内テスト プロセスを通じて特定されました。このプロアクティブなアプローチにより、Fortinet はマルウェアによる悪用が発生する前に修正プログラムを開発して展開することができます。 Fortinet は、最高のセキュリティ インシデント対応機能を確保するために、顧客、独立系セキュリティ研究者、コンサルタント、業界団体、その他のベンダーと緊密に連携しています。

徹底した透明性と責任ある企業行動の文化への取り組みをさらに強化するために、フォーティネットは当社の使命に合致する公的および民間のパートナーとの長期的なパートナーシップを維持しています。

ファン・ミン