ソフトウェアの脆弱性とは、悪用されるとセキュリティ侵害を引き起こし、機密性、データの完全性、可用性の喪失につながる可能性のある弱点のことです。脆弱性が100%ないソフトウェアは存在しません。脆弱性管理は、脆弱性の継続的な識別とパッチ適用を伴う継続的なプロセスです。
脆弱性管理により、Axisの製品およびサービスのセキュリティと信頼性が強化され、顧客は可能な限り安全に運用できるようになります。当社は、脆弱性の管理と開示の透明性は、セキュリティと説明責任を強化し、リスクを軽減して信頼を構築するのに役立つと考えています。
脆弱性は品質の悪さを意味するというのはよくある誤解です。エラーやバグがまったくないソフトウェアは存在しないため、脆弱性の存在は製品やベンダーの品質にとってあまり意味がありません。さらに重要なのは、ベンダーが脆弱性を管理するために取るアプローチです。Axisでは、製品のライフサイクル全体にわたって脆弱性を発見し、修正するという積極的なアプローチを採用しています。最初からエラーを最小限に抑えるために、当社は開発プロセスにセキュリティ活動を取り入れています。リリース後、当社は外部の関係者とオープンに協力し、新たに発見された脆弱性を管理および修正して、責任ある開示プロセスを適用します。
これらの取り組みは、このページの下部で説明しているAxis Security Development Model (ASDM) によって説明され、ガイドされています。
よくある誤解のもう1つは、脆弱性を公開するとハッカーが自由に悪用できるようになるため、脆弱性を公開すべきではないというものです。当社がAxisセキュリティアドバイザリーを通じて脆弱性を公開するときは、必要最小限の詳細しか提供しません。これにより、攻撃者が脆弱性を悪用するリスクを最小限に抑え、お客様を保護します。当社は、脆弱性を公開する前に、その脆弱性に対するパッチを提供することを目指しています。
2015年以来、Axisは脆弱性管理のためのプロセスとツールを開発してきました。脆弱性管理は終わりのない取り組みであるため、当社は業界のベストプラクティスに沿ってプロセスの改善に常に努めています。脆弱性を特定し、修正して開示するために、当社は研究者、倫理的ハッカー、エンドカスタマー、パートナーなどの外部関係者と連携しながら、透明性と責任を持って協力しています。当社は協調的な脆弱性開示のベストプラクティスに従っているため、脆弱性を安全に報告することができます。
ASDMの目的は、ガイダンスを提供し、サイバーセキュリティのベースラインを確立することにより、脆弱性と開発コストを削減することです。当社は、自社の製品とサービスに合わせてASDMを独自に開発しました。これにより、製品のリリース前に何千もの脆弱性を積極的に発見して排除し、製品のライフサイクル全体を通じて脆弱性に対処し続けることができます。当社の目標は、プロセスや認証要件に準拠することだけでなく、サイバーセキュリティを向上させることです。したがって、Axisの開発チームは、開発しているソフトウェアの種類に応じて、どのアクティビティに参加するかを決定します。
外部侵入テストは、特定の時点における製品のセキュリティに関する洞察と保証を提供します。これらは専門の第三者企業によって毎年実施されています。クライアントのステートメントについては、サイバーセキュリティリソースページをご覧ください。
Axisは、お客様がさまざまな装置に脆弱性パッチやセキュリティ更新を含む新しいソフトウェアバージョンを簡単に展開できるようにするソフトウェアを提供しています。 AXIS Companion、AXIS Camera StationなどのAxisビデオ管理ソフトウェア、およびMilestone XProtect®やGenetec™ Security Centerなどのパートナービデオ管理ソフトウェアは、動作中の製品の新しいAXIS OSバージョンをユーザーに警告します。AXIS Device ManagerおよびAXIS Device Manager Extendはアラートも提供し、お客様が複数の装置のオペレーティングシステムを一度に更新できるようにする機能も備えています。
セキュリティ強化のため、知見や発見を当社と共有してください。AxisのPGP公開鍵で機密性の高いコンテンツを暗号化できます。
Axisは、Axis製品およびサービスの脆弱性を文書化し、透明性をもって開示しています。
Axisは、製品の脆弱性およびその他のセキュリティ関連の問題に関する情報の通知サービスを提供しています。
Axisセキュリティの殿堂では、Axisのお客様の安全を守るために協力している独立系研究者や企業の貢献を称えています。
連携して、より優れたサイバー保護を実現。
強化ガイドやポリシードキュメントなど、分かりやすくまとめられた多数のサイバーセキュリティリソースにアクセスできます。