フォーティネット、安全な製品開発と責任ある脆弱性開示ポリシーへの取り組みを推進

フォーティネットは、CISAのセキュアバイデザインの指針に最初に署名したサイバーセキュリティベンダーの1社として、お客様の安全を第一に考え、責任ある徹底的な透明性の文化をさらに発展させます





サイバーセキュリティの世界的リーダーで、ネットワークとセキュリティの融合を牽引するフォーティネット（Fortinet®）は本日、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）が策定した「セキュアバイデザインの指針」（Secure by Disign Pledge）の早期署名者として、責任ある徹底的な透明性を推進していくと発表しました。これは、CISA、NISTをはじめとする米連邦政府機関や国際的および業界パートナーが策定したものも含め、既存のフォーティネットソフトウェアセキュリティのベストプラクティスを補完し、強化するものです。指針には、責任ある脆弱性開示ポリシーを含む7つの目標が示されており、それらはすでに、当社の製品セキュリティ開発に不可欠な要素となっています。
Secure by Disign Pledge:https://www.cisa.gov/securebydesign/pledge
当社の製品セキュリティ開発:https://www.fortinet.com/content/dam/fortinet/assets/flyer/flyer-fortinet-commitment-to-product-security-and-integrity.pdf

セキュアバイデザインの原則と責任ある開示プロセスに対するフォーティネットの取り組みを推進
フォーティネットの既存の製品開発プロセスは、「セキュアバイデザイン」と「セキュアバイデフォルト」の原則に則っており、CISAの「セキュアバイデザインの指針」と既に緊密に連携しています。フォーティネットは、製品開発ライフサイクルの全段階で製品のセキュリティを徹底して監査し、導入から使用終了に至るまで各製品のセキュリティを確保しており、これを担保するため、以下のような諸施策を不断に実施しています。

セキュア製品開発ライフサイクル（SPDLC）：当社は、NIST 800-53、NIST 800-161、NIST 800-218、US EO 14028、英国電気通信セキュリティ法など、主要な規格に従ってプロセスを調整しています。
厳格なセキュリティ製品テスト：当社では、ビルドプロセスに組み込まれた静的アプリケーションセキュリティテスト（SAST）とソフトウェア構成分析、動的アプリケーションセキュリティテスト（DAST）、脆弱性スキャン、各リリース前のファジングのほか、侵入テストや手動コード監査などのツールと手法を採用しています。
信頼性の高いサプライヤープログラム：主要な製造業者を厳選して認定するために、フォーティネットは「NIST 800-161：システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティス」を順守しています。データのプライバシーとセキュリティを重視する当社の方針は、当社のビジネスのあらゆる側面と、製品開発、製造、および納品プロセスの全段階に浸透しています。
情報セキュリティプログラム：フォーティネット情報セキュリティプログラムは、ISO 27001/2、ISO 27017および27018、NIST 800-53のほか、データプライバシー規則のGDPRやCCPAなど、業界の主要なセキュリティ規格とフレームワークを基盤とし、それらに適合しています。
第三者機関による認証：当社の製品は定期的に規格の認証を受け、NIST FIPS 140-2、NIAP Common Criteria NDcPP / EAL4+ など第三者機関の製品品質基準によって検証されています。