概要

Armにおける専門の製品セキュリティインシデント対応

AI Summary

セキュリティは設計だけでは終わりません。脆弱性はいつでも発生する可能性があり、セキュリティ責任者にとって明らかなリスクは、ダウンタイム、データの損失、規制違反などです。Armの製品セキュリティインシデント対応チーム(PSIRT)は、導入されている数十億台のデバイスにわたるリスクを管理するための、信頼性の高い構造化された方法を提供します。


ArmのPSIRTは、Armテクノロジーの脆弱性を検出、分析、管理するために活動しています。ArmのPSIRTは、責任ある、タイムリーな、調整された開示を保証することで、脅威が早期に特定され、一貫して処理され、透明性のある形で伝達されることをセキュリティ責任者に確信させます。これにより、予期せぬ事態が減り、リスク軽減が迅速化され、顧客、パートナー、規制当局に対する保証が強化されます。


あなたにとって何を意味するのか:


  • Armは、自社の製品とエコシステム全体のレポートを継続的に監視することで、脆弱性が迅速に特定され、一貫して処理されるという確信を得ています。
  • 脆弱性の情報は、公開前に責任を持って共有されるため、協調するパートナーの対応を通じてリスクによる影響を軽減できます。
  • 透明性の高い採番を目的とするCVE採番機関(CNA)としてのArmの役割を果たすことで、明確で透明性の高い更新情報を社内のステークホルダーや規制当局と共有できます。
  • ArmのPSIRTが、継続的な保護のためにArmの広範なセキュリティ開発ライフサイクルの一部を担当することで、セキュリティがライフサイクル全体に統合されることを保証します。
PSIRTプロセス

Armの4段階のPSIRTプロセス

Armのプロセスは、問題を解決するだけではなく、あらゆる段階でセキュリティ責任者に自信を与えるように設計されています。


  1. 発見:潜在的なセキュリティ上の弱点は、社内調査、パートナーのレポート、コミュニティからの提出物を通じて特定されます。ArmのPSIRTは、脆弱性レポートの受け取りから2営業日以内に確認し、提出ごとに一意の識別子を提供します。

  2. 分析:範囲、重大性、および顧客、パートナーやエコシステムへの潜在的な影響を評価します。ArmのPSIRTは、外部の報告者と連携して、エコシステムが緩和策を展開する時間を確保します。

  3. 解決:ArmのPSIRTは、社内チームおよび外部パートナーと連携して、確認された脆弱性に対するパッチまたは緩和策を開発し、テストし、検証します。

  4. 通信:ArmのPSIRTは、緩和策がエコシステムに展開されることを保証するために、公開前と公開後にパートナーにガイダンスを定期的に責任を持って伝えることに尽力しています。

一般公開時には、コンプライアンスとレポートのための信頼できる文書を提供するために、CVE識別子が付されたセキュリティ速報がArmセキュリティセンターで公開されます。


製品セキュリティインシデント対応プロセスのインフォグラフィック

協調的な脆弱性の開示

あなたが信頼できる、責任ある情報開示

Armは、協調的脆弱性開示(CVD)のベストプラクティスに従います。可能な場合、脆弱性は公開される前に安全かつ責任を持ってパートナーに伝えられ、パートナーが準備して軽減策を適用する時間を作ります。


エンバーゴ期間中、パートナーは必要に応じて、一般公開前にタイムリーな緩和を促進するために、特定のエコシステムのステークホルダーとパッチを秘密裏に共有できます。この協調的な取り組みにより、透明性とセキュリティのバランスが保たれ、リスクを増大させることなく情報が共有されます。

セキュリティライフサイクル

総合的なセキュリティライフサイクルの一部としてのArmのPSIRT

ArmのPSIRTは、Armのより広範なセキュリティ戦略の一部であり、セキュリティ開発ライフサイクル(SDL)、社内のレッドチーム、セキュリティ研究者と連携して活動しています。これらの機能を組み合わせることで、製品設計から長期サポートに至るまでセキュリティが確実に組み込まれます。


Armの製品セキュリティ保証(PSA)チームによる独立した検証により、実践が堅牢かつ一貫して適用されることが保証されます。これにより、セキュリティ責任者は、Armテクノロジーがパフォーマンスに優れているだけではなく、進化する脅威に対するレジリエンスもあるという信頼を持てます。

コミュニティコラボレーション

セキュリティの専門家やコミュニティとの連携

セキュリティはコラボレーションに基づいて構築されると最も強力になります。ArmのPSIRTは、強力なパートナー関係を維持し、レポートと開示の実践がパートナーやArmエコシステム全体のニーズと期待に応えることで最も強力になります。


Armは、以下の組織と連携して、グローバルなセキュリティ標準とベストプラクティスに積極的に貢献しています。


CVE採番機関(CNA)として、Armは自社製品に影響する脆弱性にCVE IDを割り当て、業界全体の透明性と一貫性に貢献しています。

お問い合わせ

Armテクノロジーにおける脆弱性の疑いを報告する必要がありますか?報告ガイダンスの詳細については、Arm開発者セキュリティセンターをご覧ください。

Arm開発者セキュリティセンター