脆弱性の管理

ソフトウェアの脆弱性を管理することは極めて重要な活動です。 お客様が脆弱性にさらされるリスクを最小限に抑えるため、Axisは脆弱性を透過的に管理する業界のベストプラクティスを実践しています。 これには、お客様に脆弱性を認識していただき、タイムリーに対処できるようにすることも含まれています。

ID446826

脆弱性の管理が重要な理由

ソフトウェアの脆弱性とは、悪用されるとセキュリティ侵害を引き起こし、機密性、データの完全性、可用性の喪失につながる可能性のある弱点のことです。 脆弱性が100%ないソフトウェアは存在しません。 脆弱性の管理は、弱点を継続的に特定して修正する継続的なプロセスです。

脆弱性管理により、Axis製品とサービスのセキュリティと信頼性が強化され、お客様は可能な限り安全に運用できるようになります。 当社は、脆弱性の管理と開示の透明性は、セキュリティと説明責任を強化し、リスクを軽減して信頼を構築するのに役立つと考えています。

よくある誤った認識

ID387043

脆弱性は品質の悪さを意味するものではありません

脆弱性は品質の悪さを意味するというのはよくある誤解です。 エラーやバグがまったくないソフトウェアは存在しないため、脆弱性の存在は製品やベンダーの品質にとってあまり意味がありません。 さらに重要なのは、ベンダーが脆弱性を管理するために取るアプローチです。 Axisでは、製品のライフサイクル全体にわたって脆弱性を発見し、修正するという積極的なアプローチを採用しています。 最初からエラーを最小限に抑えるために、当社は開発プロセスにセキュリティ活動を取り入れています。 リリース後、当社は外部の関係者とオープンに協力し、新たに発見された脆弱性を管理および修正して、責任ある開示プロセスを適用します。 

これらの取り組みは、このページの下部で説明しているAxis Security Development Model (ASDM) によって説明され、ガイドされています。

ID383821

開示は悪用につながりません

よくある誤解のもう1つは、脆弱性を公開するとハッカーが自由に悪用できるようになるため、脆弱性を公開すべきではないというものです。 当社がAxisセキュリティアドバイザリーを通じて脆弱性を公開するときは、必要最小限の詳細しか提供しません。 これにより、攻撃者が脆弱性を悪用するリスクを最小限に抑え、お客様を保護します。 当社は、脆弱性を公開する前に、その脆弱性に対するパッチを提供することを目指しています。

Axisは業界のベストプラクティスを導入しています

2015年以来、Axisは脆弱性管理のためのプロセスとツールを開発してきました。 脆弱性管理は終わりのない取り組みであるため、当社は業界のベストプラクティスに沿ってプロセスの改善に常に努めています。 脆弱性を特定し、修正して開示するために、当社は研究者、倫理的ハッカー、エンドカスタマー、パートナーなどの外部関係者と連携しながら、透明性と責任を持って協力しています。 当社は協調的な脆弱性開示のベストプラクティスに従っているため、脆弱性を安全に報告することができます。

2016年 - 修正された脆弱性を公開しました。

2017年 - Axis Security Development Model (ASDM) を設計しました。 ASDMは、サイバーセキュリティの考慮事項がAxis製品およびソリューションのライフサイクルに統合されることを保証します。

2020年 - 初の外部侵入テストを実施しました。

2021年 - Axis脆弱性管理ポリシーを作成しました。 これは、当社の製品およびサービスにおける脆弱性の管理方法と、信頼できるベンダーとしてのAxisに期待できることについて説明しています。

2021年 - 4月に、当社はCommon Vulnerabilities and Exposuresプログラム (CVE) に参加し、CVE Numbering Authority (CNA) になりました。当社はCVE IDを通じて脆弱性を公開し、CVEプログラムで説明されているベストプラクティスフレームワークに従っています。

2022年 - 12月、Bugcrowdと提携して、AXIS OSベースのネットワーク製品向けのプライベートバグ報奨金プログラムを開始しました。

2023年 - 当社はAxisサイバーセキュリティフレームワークを公開しました。 これは、AxisのITインフラストラクチャーと製品提供の両方において、セキュリティ関連のリスクに継続的に対処するためにAxisが実施しているプロセスと手順について説明しています。

2024年 - 当社は、AXIS OSプライベートバグ報奨金プログラムをAXIS OSパブリックバグ報奨金プログラムに変更しました。つまり、Bugcrowdアカウントを持つすべてのセキュリティ研究者および倫理的なハッカーは、AXIS OSに関連する脆弱性を報告できるようになりました。

2024年 - 当社はAXIS Camera Station Proの新しいプライベートバグ報奨金プログラムを開始しました。

ID403982

Axis Security Development Model (ASDM)

ASDMの目的は、ガイダンスを提供し、サイバーセキュリティのベースラインを確立することにより、脆弱性と開発コストを削減することです。 当社は、自社の製品とサービスに合わせてASDMを独自に開発しました。 これにより、製品のリリース前に何千もの脆弱性を積極的に発見して排除し、製品のライフサイクル全体を通じて脆弱性に対処し続けることができます。 当社の目標は、プロセスや認証要件に準拠することだけでなく、サイバーセキュリティを向上させることです。 したがって、Axisの開発チームは、開発しているソフトウェアの種類に応じて、どのアクティビティに参加するかを決定します。

ID449996

Bugcrowdとの協力によるバグ報奨金プログラム

Bugcrowdは、信頼できる研究者と倫理的なハッカーのグローバルコミュニティへのアクセスを提供することで、弊社の製品とソリューションのセキュリティを大幅に強化するのに役立っています。 脆弱性が特定された場合、現金報酬 (報奨金) を提供します。 報奨金の額は脆弱性の深刻度に応じて異なります。 当社では、プログラムの魅力と競争力を維持するために、現金報酬の額を定期的に見直しています。 

当社のCVE開示の多くは、Axisバグ報奨金プログラムによる調査結果によるものです。

ID449979

侵入テスト

外部侵入テストは、特定の時点における製品のセキュリティに関する洞察と保証を提供します。 これらは専門の第三者企業によって毎年実施されています。 クライアントのステートメントについては、サイバーセキュリティリソースページをご覧ください。

脆弱性に簡単に対応

Axisは、お客様がさまざまな装置に脆弱性パッチやセキュリティ更新を含む新しいソフトウェアバージョンを簡単に展開できるようにするソフトウェアを提供しています。   AXIS CompanionAXIS Camera StationなどのAxisビデオ管理ソフトウェア、およびMilestone XProtect®やGenetec™ Security Centerなどのパートナービデオ管理ソフトウェアは、動作中の製品の新しいAXIS OSバージョンをユーザーに警告します。 AXIS Device ManagerおよびAXIS Device Manager Extendはアラートも提供し、お客様が複数の装置のオペレーティングシステムを一度に更新できるようにする機能も備えています。

ID380295

脆弱性レポートフォーム

セキュリティ強化のため、知見や発見を当社と共有してください。 AxisのPGP公開鍵で機密性の高いコンテンツを暗号化できます。

ID380294

文書化された製品の脆弱性

Axisは、Axis製品およびサービスの脆弱性を文書化し、透明性をもって開示しています。

ID380298

セキュリティ通知

Axisは、製品の脆弱性およびその他のセキュリティ関連の問題に関する情報の通知サービスを提供しています。

関連するリソース

ID449978

Axisセキュリティの殿堂

Axisセキュリティの殿堂では、Axisのお客様の安全を守るために協力している独立系研究者や企業の貢献を称えています。

man and woman working with computer

サイバーセキュリティポータル

連携して、より優れたサイバー保護を実現。

ID380296

サイバーセキュリティリソース

強化ガイドやポリシードキュメントなど、分かりやすくまとめられた多数のサイバーセキュリティリソースにアクセスできます。

To top