脆弱性の管理が重要な理由
ソフトウェアの脆弱性とは、悪用されるとセキュリティ侵害を引き起こし、機密性、データの完全性、可用性の喪失につながる可能性のある弱点のことです。脆弱性が100%ないソフトウェアは存在しません。脆弱性管理とは、弱点を継続的に特定して修正する継続的なプロセスです。
脆弱性管理により、Axisの製品およびサービスのセキュリティと信頼性が強化され、顧客は可能な限り安全に運用できるようになります。当社は、脆弱性の管理と開示の透明性は、セキュリティと説明責任を強化し、リスクを軽減して信頼を構築するのに役立つと考えています。
よくある誤った認識
脆弱性が品質を揺るがすことはない
脆弱性は品質の悪さを意味すると誤解されがちです。エラーやバグがまったくないソフトウェアは存在しないため、脆弱性の存在は製品やベンダーの品質にとってあまり意味がありません。さらに重要なのは、ベンダーが脆弱性を管理するために取るアプローチです。Axisでは、製品のライフサイクル全体にわたって脆弱性を発見し、修正するという積極的なアプローチを採用しています。最初からエラーを最小限に抑えるために、当社は開発プロセスにセキュリティ活動を取り入れています。リリース後、当社は外部の関係者とオープンに協力し、新たに発見された脆弱性を管理および修正して、責任ある開示プロセスを適用します。
これらの取り組みは、このページの下部で説明しているAxis Security Development Model (ASDM) によって説明され、ガイドされています。
開示が悪用につながるわけではない
よくある誤解のもう1つは、脆弱性を公開するとハッカーが自由に悪用できるようになるため、脆弱性を公開すべきではないというものです。当社がAxisセキュリティアドバイザリーを通じて脆弱性を公開するときは、必要最小限の詳細しか提供しません。これにより、攻撃者が脆弱性を悪用するリスクを最小限に抑え、顧客を保護します。当社は、 脆弱性を公開する前に、その脆弱性に対するパッチを提供することを目指しています。
Axisは業界のベストプラクティスを導入しています
2015年以来、Axisは脆弱性管理のためのプロセスとツールを開発してきました。脆弱性管理は終わりのない取り組みであるため、当社は業界のベストプラクティスに沿ってプロセスの改善に常に努めています。脆弱性を特定し、修正して開示するために、当社は研究者、倫理的ハッカー、最終顧客、パートナーなどの外部関係者と連携しながら、透明性と責任を持って協力しています。当社は協調的な脆弱性開示のベストプラクティスに従っているため、脆弱性を安全に報告することができます。
脆弱性管理に対するAxisのアプローチ
Axisが脆弱性にどのように対処し、業界のベストプラクティスを実装しているかについて詳しくご覧ください。
AxisがBugcrowdと連携してバグバウンティプログラムに尽力
AXIS OSバグバウンティプログラムに参加しているAxisの担当者やエシカルハッカーの声をお聞きください。
2016年 - 修正された脆弱性を公開しました。
2017年 - Axisセキュリティ開発モデル (ASDM) を設計しました。ASDMは、サイバーセキュリティの考慮事項がAxis製品およびソリューションのライフサイクルに統合されることを保証します。
2020年 - 初の外部侵入テストを実施しました。
2021年 - Axis脆弱性管理ポリシーを作成しました。これは、当社の製品およびサービスにおける脆弱性の管理方法と、信頼できるベンダーとしてのAxisに期待できることについて説明しています。
2021年 - 4月に当社はCommon Vulnerabilities and Exposuresプログラム (CVE) に参加し、CVE Numbering Authority (CNA) になりました。 当社はCVE IDを通じて脆弱性を公開し、CVEプログラムで説明されているベストプラクティスフレームワークに従っています。
2022年 - 12月にBugcrowdと提携し、AXIS OSベースネットワーク製品向けの非公開バグバウンティプログラムを開始しました。
2023年 - 当社はAxisサイバーセキュリティフレームワークを公開しました。これは、AxisのITインフラストラクチャーと製品提供の両方において、セキュリティ関連のリスクに継続的に対処するためにAxisが実施しているプロセスと手順について説明しています。
2024年 - 当社はバグバウンティプログラムのポートフォリオを拡大しました。当社は当社のAXIS OS非公開バグバウンティプログラムを当社の AXIS OS公開バグバウンティプログラムに変更しました。それにより、Bugcrowdアカウント を持つ全てのセキュリティ研究者およびエシカルハッカーがAXIS OSに関連した脆弱性を報告できるようになりました。当社はまた、AXIS Camera Station Pro向けに新たな非公開バグバウンティプログラムを開始しました。
Axis Security Development Model (ASDM)
Axis Security Development Model (ASDM)
ASDMの目的は、ガイダンスを提供し、サイバーセキュリティのベースラインを確立することにより、脆弱性と開発コストを削減することです。当社は、自社の製品とサービスに合わせてASDMを独自に開発しました。これにより、製品のリリース前に何千もの脆弱性を積極的に発見して排除し、製品のライフサイクル全体を通じて脆弱性に対処し続けることができます。当社の目標は、プロセスや認証要件に準拠することだけでなく、サイバーセキュリティを向上させることです。したがって、Axisの開発チームは、開発しているソフトウェアの種類に応じて、どのアクティビティに参加するかを決定します。
Bugcrowdとの協力によるバグ報奨金プログラム
Bugcrowdとの協力によるバグ報奨金プログラム
当社のバグバウンティプログラムとBugcrowdは、信頼できる研究者と倫理的なハッカーのグローバルコミュニティへのアクセスを提供することで、弊社の製品とソリューションのセキュリティを大幅に強化するのに役立っています。脆弱性が特定された場合、現金報酬 (報奨金) を提供します。報奨金の額は脆弱性の深刻度に応じて異なります。当社では、プログラムの魅力と競争力を維持するために、現金報酬の額を定期的に見直しています。
当社のCVE開示の多くは、Axisバグバウンティプログラムによる調査結果によるものです。
Bugcrowdとのパートナーシップの詳細について関心がありますか? 2024年10月に録画されたQ&A webセミナーをこちらからご覧ください。
侵入テスト
侵入テスト
外部侵入テストは、特定の時点における製品のセキュリティに関する洞察と保証を提供します。これらは専門の第三者企業によって毎年実施されています。お客様向けの声明については、AXIS OS ベースの製品向けのAXIS Trust Centerにアクセスしてください。
脆弱性に簡単に対応
脆弱性に簡単に対応
Axisは、顧客がさまざまなデバイスに脆弱性パッチやセキュリティ更新を含む新しいソフトウェアバージョンを簡単に展開できるようにするソフトウェアを提供しています。AXIS Camera Station Edge は、スケジュール設定された更新または自動更新を提供する一方で、AXIS Camera Station Pro は新しい更新を通知し、スケジュール設定を行うことができます。パートナーのビデオ管理ソフトウェアの XProtect®やGenetec™ Security Centerなどは、動作中の製品の新しいAXIS OSバージョンをユーザーに通知します。Axisデバイス管理ソフトウェア はアラートも提供し、顧客が複数のデバイスのオペレーティングシステムを一度に更新できるようにする機能を備えています。
脆弱性レポートフォーム
セキュリティ強化のため、 知見や発見を当社と共有してください。AxisのPGP公開鍵で機密性の高いコンテンツを暗号化できます。
文書化された製品の脆弱性
Axisは、自社の製品およびサービスに関する脆弱性を文書化し、透明性をもって開示しています。
セキュリティ通知
Axisは、製品の脆弱性およびその他のセキュリティ関連の問題に関する情報の通知サービスを提供しています。
関連するリソース
Axisセキュリティの殿堂
Axisセキュリティの殿堂では、 Axisの顧客の安全を守るために協力している独立系研究者や企業の貢献を称えています。
サイバーセキュリティポータル
連携して、より優れたサイバー保護を実現。
サイバーセキュリティリソース
強化ガイドやポリシードキュメントなど、分かりやすくまとめられた多数のサイバーセキュリティリソースにアクセスできます。