アドビ システムズは、同社製品およびサービスセキュリティ担当シニアディレクターのブラッド・アーキン氏を同社初のCSOに任命しました。成熟した製品セキュリティプログラムが既に導入されているため、新セキュリティ責任者の最優先事項は、同社のホストサービスと社内インフラのセキュリティ強化です。
アーキンは過去数年間、Adobe Secure Software Engineering Team(ASSET)およびAdobe Product Security Incident Response Team(PSIRT)のリーダーとして、Adobeのソフトウェア製品のセキュリティ対策を監督してきました。この間、大規模なユーザーベースを持つため攻撃者の標的となることが多いAdobe ReaderとFlash Playerの2つのアプリケーションは、サンドボックスやサイレント自動アップデートといったエクスプロイト対策メカニズムを含む、大幅なセキュリティ強化を受けてきました。
安全なソフトウェア エンジニアリングの作業は継続されますが、Arkin 氏は Adobe Creative Cloud や Adobe Marketing Cloud などの同社のホスト型サービスのセキュリティ強化に重点を置いています。
「当社のセキュアな製品ライフサイクルと、シュリンクラップ製品に関する取り組みは非常に成熟していると考えています」とアーキン氏は述べた。「私たちはこれを何年も続けてきました。」
しかし、同社は既製ソフトウェアの開発に注力してきたため、ホスト型サービスの提供にはそれほど長く取り組んでいない。「そのため、当社はその分野で監視と運用のセキュリティを強化し続けています」とアーキン氏は述べた。
「今は、お客様のデータを守るためにできることに全力を注いでいます」と彼は述べた。「すでに多くの素晴らしい取り組みを行っていますが、さらに多くの取り組みを計画しており、今後も実施していく予定です。これは終わりのないプロセスです。これは、ホスティングサービスを運営する上で不可欠な要素なのです。」
ホスト型サービスにはセキュリティ ロードマップがあり、3 週間ごとに行われる新しいコード リリースごとに、新しいセキュリティ機能や改善点が追加されたり、これらのサービスに何らかのコード強化が行われたりすると Arkin 氏は述べた。
同社は、ホスト型サービスのセキュリティ強化に加え、攻撃に対するITインフラストラクチャと高価値な社内システムの強化にも注力する予定です。
アーキン氏は、「インターネットに接続された企業に対する攻撃は、犯罪者によって非常に巧妙に仕組まれています」と述べた。「私たちはセキュリティベンダーやその他の防御コミュニティと協力し、社内インフラに強固な防御体制を確実に構築できるよう取り組んでいます。」
アーキン氏によると、同社は過去にも高度な標的型攻撃に見舞われてきたという。その一例が、2012年9月にアドビが公表した事件だ。攻撃者は社内のコード署名サーバーの1つに侵入し、アドビのデジタル証明書を使ってマルウェアに署名したという。
アーキン氏は、この種の攻撃は企業のインフラを標的とし、企業が作成するコードやそのユーザーを標的としないため、管理と対処が必要な潜在的なリスクを示唆していると述べた。「社内業務の防御だけでなく、外部にホストされているサービスや自社で作成しているコードの防御も、私の担当業務の範囲内です。」
アーキン氏は新たな役職において、最近設立されたエンジニアリング・インフラストラクチャ・セキュリティ・チームの業務を監督します。このチームは、ASSETグループおよびPSIRTグループに加え、同社のソフトウェア構築、署名、リリースインフラの維持管理を担当します。また、ネットワークおよび製品セキュリティインシデント対応活動を全社的に調整するグループであるアドビ セキュリティコーディネーションセンターも監督します。
Adobeは、ソフトウェア製品、特に広く使用されているプログラムのセキュリティ強化に取り組んでおり、近年の脅威の状況に目に見える影響を与えています。Adobe Readerを標的としたエクスプロイトの数は大幅に減少し、攻撃者はOracleのJavaやその他の広く使用されているソフトウェアに焦点を移さざるを得なくなりました。2月に発見されたAdobe Reader Xを標的とした、これまで知られていなかったゼロデイエクスプロイトは、2010年のリリース以来、同プログラムのサンドボックス機構を回避した初めてのエクスプロイトでした。
Flash Player は現在、Windows 8 上の Google Chrome、Mozilla Firefox、Internet Explorer 10 でもサンドボックス化されており、Flash Player の脆弱性を悪用することは以前よりもはるかに困難になっています。
アーキン氏は、Flash PlayerとReaderに追加されたサイレント自動アップデートオプションと、同社がMicrosoft、Apple、Mozilla、Googleなどのプラットフォームパートナーと行ってきた取り組みにより、大多数のユーザーがこれらの製品の最新かつ最も安全なバージョンにアップグレードできたと述べた。
アーキン氏によると、コンシューマー市場ではAdobe Reader 9をまだ使用しているユーザーはごくわずかで、サポートが終了しセキュリティアップデートも受けられていない旧バージョンを使用しているユーザーは1%未満だという。エンタープライズ環境のほとんどはReader XIにアップグレードしているが、「予想以上に多くの人がバージョン9を使い続けている」とアーキン氏は述べた。
同社は、Readerバージョン9からバージョンXI、あるいは少なくともXへの移行を積極的に進めており、特にバージョン9が6月末にサポート終了を迎えることを踏まえ、その取り組みは加速しているとアーキン氏は述べた。「アップデートメカニズムを利用して、インストール済みのバージョンへのセキュリティアップデートだけでなく、最新バージョンへのアップグレードをプッシュしています。」
理想的には、最高レベルのセキュリティを提供するReader XIをユーザーに利用してもらいたいと考えています。Reader XIには、Reader Xで初めて導入されたものに加えて、「保護ビュー」と呼ばれる2つ目のサンドボックスコンポーネントが搭載されていますが、残念ながらこの機能はデフォルトでは有効になっていません。
Reader XIが保護ビューをデフォルトで有効化していない理由は、保護レベルがスクリーンリーダーや印刷などの一般的なタスクと互換性がなく、一部のワークフローに支障をきたすためだとアーキン氏は述べた。同社はアップデートのたびに、こうした非互換性を解消し、この機能をデフォルトで有効化できるように努めているとアーキン氏は述べた。しかしながら、非常に限定的な環境では、現在でもこの機能を有効化し、様々な回避策を用いて必要な機能にアクセスすることが可能だとアーキン氏は述べた。
Flash Playerに関しては、潜在的な欠陥を特定して修正するために、セキュリティテストの強化とコードの強化を重点的に実施することが当面の目標だとアーキン氏は述べた。また、プラットフォームパートナーやChromeおよびIE 10チームからのフィードバックに基づき、ActionScript Virtual Machine 2(AVM2)エンジンにも小さな変更を加え、破損したバイトコードに対する堅牢性を高めているという。
アドビでCSOの肩書きが必要になったのは、新たな種類の攻撃の出現により技術的な観点から、また米国の新たなサイバーセキュリティに関する大統領令やEUのサイバーセキュリティ戦略により規制の観点から、世界のサイバーセキュリティの重要性が高まったためだとアーキン氏は述べた。
「最高セキュリティ責任者(CSO)の職位を今新設することは、社内でセキュリティ対策に取り組んでいる規模を社外に伝える手段です」と彼は述べた。「また、問題の重大性と深刻さ、そしてアドビがいかに真摯に取り組んでいるかを伝えることにも役立ちます。」
