製品実現のあらゆる段階でセキュリティを最優先
AI Summary
Armでは、アーキテクチャの開始から市場投入後の監視に至るまで、セキュリティが組み込まれています。弊社の調整されたセキュリティ開発ライフサイクル(SDL)により、コンセプト、設計、実装、検証、リリースなど、あらゆるマイルストーンにセキュリティが組み込まれることを保証します。このライフサイクルは継続性、レジリエンス、適応性があり、製品と実現されるエコシステムを保護するというArmの約束を反映しています。
セキュリティは、一度きりの訓練ではありません
Armのセキュリティ開発ライフサイクルにより、Armは積極的なリスク管理が可能になり、脆弱性が悪用される前に特定して対処できるようになります。
- 設計によるセキュリティ:セキュリティは最初から組み込まれており、後からパッチを適用するのではありません。
- エコシステムの信頼:Arm IPは数十億台のデバイスの基盤であり、堅牢なSDLによりエコシステムの信頼を獲得し、維持しています。
- 確実な効果:独立した保証とコミュニティの連携により、SDLの深さと最新性が保証されます。
- 透明性と応答性:PSIRTは、構造化された説明責任のある脆弱性の管理と開示を提供します。
- 継続的な改善:新たな脅威やテクノロジーの出現に応じて、SDLプラクティスを適応させます。
セキュリティは、一度きりの訓練ではありません。SDLは、変化する脅威の状況に応じ、Arm製品が進化することを保証します。
ARMの調整されたセキュリティ開発ライフサイクル
Armは、共通のフレームワークを中心に動作するソフトウェア、ハードウェア、ソリューション(Arm Neoverse Computeシステムなど)向けにセキュリティ開発ライフサイクルプロセスを調整しています。
SDLにおけるリスク評価
Armは、製品開発から初期段階までのセキュリティを統合しています。各プロジェクトは、製品の用途、市場環境、製品が直面するかもしれない脅威の種類を反映したセキュリティ要件を定義することから始まります。これらの要件は、保護が必要な資産、潜在的な敵対者は誰か、製品がどのように展開されるかを特定します。この基盤により、当社のエンジニアは構造化された脅威モデリングを実行し、起こりうる攻撃シナリオを予測します。これにより、高レベルのセキュリティ目標が早期に達成され、設計チームはリスクを最も効果的に軽減する方法について十分な情報に基づいた判断を下すことができます。
この評価の結果は、製品のライフサイクル全体を通じてアクティブなままになる文書のセキュリティリスク評価(SRA)に記録されます。SRAでは、脅威が特定の対策にどのように対応しているか、設計にどのようなセキュリティ制御が組み込まれているか、パートナーが認識しておくべき残存リスクなどについて説明します。Armは、この作業の概要をパートナーと共有することで、当社の取り組みの透明性を高め、当社のテクノロジーが最初から堅牢で明確に文書化されたセキュリティ対策を備えて設計されていることをパートナーに確信させます。
リスク軽減
リスクが特定されると、Armは製品がパートナーに届く前にリスクを軽減するための意図的な措置を講じます。セキュリティ目標は、特定の設計および検証要件に変換され、ハードウェアとソフトウェアに最初から保護が組み込まれることを保証します。エンジニアは攻撃重視のテスト方法を使用し、意図的に敵のパースペクティブを取り入れて、見逃す可能性のある弱点を明らかにします。このプロセスにより、対策が有効であることを検証し、必要に応じて対策を改良できます。
これらの尽力は、1回限りのチェックではなく、標準的な設計および検証手法に統合されています。仕様が進化するにつれ、関連するセキュリティ要件とテスト計画も進化します。セキュリティの継続的インテグレーションにより、脆弱性が早期に解決され、修正のコストと複雑さが軽減されるとともに、製品の全体的な信頼性が強化されます。
リスク管理
製品の出荷後もセキュリティは停止しません。Armは、グローバルエコシステムで発生するリスクを監視、評価し、対応するための継続的なフィードバックループを維持しています。その中心となるのが、研究者、顧客、パートナーと緊密に連携して新たな脆弱性を発見、分析、解決する当社の製品セキュリティインシデント対応チーム(PSIRT)です。ArmはCVE採番機関(CNA)として、問題が透明性を持って追跡され、責任を持って開示されることを保証し、ステークホルダーに緩和策を効果的に展開するために必要な時間とガイダンスを提供します。
PSIRTの活動を通じて得られた洞察は、セキュリティ開発ライフサイクル(SDL)に直接フィードバックされます。これにより、実際のインシデントから得られた教訓が将来の設計と更新に反映され、製品のレジリエンスの水準が継続的に向上します。Armは、構造化されたSDLプロセスと継続的なインシデント対応を組み合わせることで、今日の展開を保護しながら将来の脅威に備えるライフサイクルの取り組みを提供します。
継続的な成功の確保
SDLは静的ではありません。Armは、次の状況に対応するため、プラクティスを定期的に更新しています。
- 新たな脅威(例:サイドチャネル攻撃、投機的実行の問題)。
- 世界市場における顧客および規制の要件。
- ハードウェアとソフトウェアの開発メソドロジーの進歩。
Armは、以下の反復プロセスを活用して、ArmのSDL、テクノロジー、ソフトウェアが堅牢かつ将来的にも有効で、業界から信頼されるものとなることを保証します。
独立した製品セキュリティ保証
- 専任の保証チームがArmのSDLおよびPSIRTプロセスを継続的にレビューおよび検証し、同プロセスが進化する脅威に対して有効かつ適合していることを保証します。
積極的なコミュニティと標準への取り組み
- Armは、IEEE、IETF、MITREなどの学術、業界、標準コミュニティに積極的に貢献しており、Armブランドの製品と管理されたオープンソースプロジェクトにおいて、CVE採番機関(CNA)としての地位を保持しています。
積極的なセキュリティテスト
- ペネトレーションテストおよびレッドチームからなるチームは、Armテクノロジーとソフトウェアのセキュリティ上の弱点を継続的に調査します。
- Armのバグバウンディプログラムは、外部の専門知識を活用して脆弱性を早期に発見し、製品のレジリエンスのより迅速な修復と継続的な改善を保証します。
重要なポイント
Key Takeaways
- 連続したクローズドループプロセス
- 多様なテクノロジーとソフトウェアに応じたカスタマイズ
- 早期および継続的な脅威モデリングと要件把握
- 開発全体にわたる検証と文書化