製品セキュリティプログラム
概要
製品開発においてセキュリティを後付けする時代は、とうの昔に終わっています。技術に関する専門家やリーダーは、製品の開発プロセスの最初からセキュリティを考慮し、製品のライフサイクル全体を通じて対処しなければならないことを理解しています。
MiRは製品セキュリティプログラムを実施しており、製品のアイデアから開発とテスト、そしてお客様への納品にいたるまで、すべての段階でセキュリティを確保します。さらにそれ以外にも、長年にわたり、お客様の現場で製品を安全に稼働させ、それらを廃棄するまでの過程を網羅しています。
以下では、MiR製品セキュリティプログラムの要素のほんの一部をご紹介します。
安全な開発
開発には、コンセプト段階から新しい製品または製品バージョンのリリースにいたるまで、製品ライフサイクルの複数の段階が含まれます。そしてこれは、製品ライフサイクルで最も複雑な部分であり、アイデアを実現するための開発がここで行われます。
MiRは、安全な企業ネットワークと産業自動化システムの運用に対するお客様のニーズを満たす、安全性の高い製品を一貫して提供することを確約するため、複数の措置を講じています。主な措置の一部は次の通りです。
産業自動化と管理システムのセキュリティに関するIEC 62443規格の遵守
すべての製品・機能設計の一部としての脅威モデリングの実施
セキュアデザイン原則の遵守
セキュア・コーディング・ガイドラインの遵守
幅広いパレットの自動セキュリティスキャンおよびテストの実施
外部侵入テストの実施
リスク管理
セキュリティ上の発見事項はすべて、その出所にかかわらず、厳格なリスク管理プロセスの対象となります。当社は、発見事項に関連するお客様のリスクを徹底的に評価し、適切なリスク対応措置を講じます。
ほとんどのMiRのソフトウェアリリースにはセキュリティの改善が含まれます。また、迅速な対応が必要な場合には、お客様に直ちにご連絡し、できるだけ早くセキュリティパッチをリリースいたします。
パッチ戦略
ほとんどのMiRソフトウェアのリリースには、セキュリティの改善およびアップデートが含まれます。迅速な対応が必要な場合は、パッチリリースが発行されます。
パッチは、いくつかの要因によってリリースされます。その要因の一つは、サードパーティの依存関係において新たに脆弱性が発見された場合です。サプライチェーンのセキュリティ管理の一環として、当社はすべての依存関係における脆弱性をモニタリングしており、問題が発見された場合は直ちに優先順位付けを行います。