フォーティネットは、組織や企業向けの高度なセキュリティへの取り組みを再確認しました。

米国で先日開催されたサイバーセキュリティ、セキュリティ技術、データ保護に関するRSA 2024年次会議において、フォーティネットは、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が策定した「セキュリティ・バイ・デザイン」規制に準拠するコミットメントにいち早く署名し、透明性と責任あるセキュリティ部門となるというコミットメントを再確認しました。

セキュリティ業界へのこの自主的なコミットメントは、フォーティネットの既存のソフトウェアセキュリティのベストプラクティスに加え、CISA、米国標準技術研究所（NIST）、その他の米国連邦政府機関、そして業界および国際的なパートナーによって策定されたベストプラクティスに基づいています。このコミットメントは、フォーティネットの製品セキュリティ開発プロセスにおいて既に不可欠な要素となっている、責任ある脆弱性開示ポリシーを含む目標を概説しています。

CISAの最新の取り組みは、セキュリティ・バイ・デザインとセキュリティ・バイ・デフォルト（SBI）の原則に基づくフォーティネットの既存の製品開発プロセスと整合しています。フォーティネットは、製品開発ライフサイクルのあらゆる段階において厳格な製品セキュリティ監視に取り組んでおり、以下の方法により、各製品の設計段階から完成に至るまで、セキュリティが確実に組み込まれるよう支援しています。

セキュア製品開発ライフサイクル (SPDLC): Fortinet は、NIST 800-53、NIST 800-161、NIST 800-218、米国大統領令 14028、英国電気通信セキュリティ法などの主要な標準規格に準拠したプロセスを採用しています。

厳格なセキュリティ製品テスト: Fortinet は、ビルド プロセスに統合された静的アプリケーション セキュリティ テスト (SAST) やソフトウェア構成分析、動的アプリケーション セキュリティ テスト (DAST)、各リリース前の脆弱性スキャンとファジング、侵入テスト、手動コード レビューなどのツールとテクニックを活用しています。

信頼できるサプライヤー：主要な製造パートナーの厳格な選定と正確な資格認定を確保するため、フォーティネットはNIST 800-161「システムおよび組織のためのサイバーセキュリティ・サプライチェーン・リスク管理プラクティス」に準拠しています。フォーティネットのデータプライバシーとセキュリティへの取り組みは、事業運営のあらゆる側面、そして製品開発、製造、流通のあらゆる段階において明確に示されています。

情報セキュリティ プログラム: Fortinet の情報セキュリティ プログラムは、ISO 27001/2、ISO 27017 および 27018、NIST 800-53 などの業界をリードするセキュリティ標準とフレームワーク、および GDPR や CCPA などのデータ プライバシー規制に準拠して開発されています。

サードパーティの認定: Fortinet 製品は、NIST FIPS 140-2 および NIAP Common Criteria NDcPP / EAL4+ などのサードパーティの製品品質標準によって定期的に認定および検証されています。

さらに、フォーティネットの製品セキュリティインシデント対応チーム（PSIRT）は、フォーティネット製品のセキュリティ基準維持を担い、業界で最も堅牢なPSIRTプログラムの1つを運用しています。このPSIRTプログラムには、プロアクティブで透明性のある脆弱性開示が含まれています。2023年に発見されたフォーティネットの脆弱性の約80%は、同社の厳格な社内テストプロセスを通じて特定されました。このプロアクティブなアプローチにより、フォーティネットは悪意のある攻撃が行われる前に修正プログラムを開発・展開することができます。フォーティネットはまた、お客様、独立系セキュリティ研究者、コンサルタント、業界団体、そして他のベンダーと緊密に連携し、クラス最高のセキュリティインシデント対応能力を確保しています。

徹底した透明性と責任ある企業行動の文化への取り組みをさらに強化するために、フォーティネットは当社の使命に合致する公的および民間のパートナーとの長期的なパートナーシップを維持しています。

ファン・ミン