お客様各位

2021年5月10日
株式会社ソリトンシステムズ
ITセキュリティ事業部

当社では、お客様に安心して当社製品/サービスをご利用いただくために、 セキュリティを強く意識して開発を進めるとともに、定期的にセキュリティ検査を実施し、 製品のセキュリティ確保に取り組んでいます。

セキュリティを意識した製品/サービス開発

不要なプロセス、通信ポートを使わない、また通信の方向やその認証に電子証明書を利用するなど、 設計時からセキュリティを意識した製品作りを行っております。
また、安全に運用いただけるように利用者の通信にも電子証明書を利用できるように策を用意し開発を進めております。 アプライアンス製品においては、専用のセキュアOS(NAOS:NetAttest OS)を開発しOSレベルから堅牢化をはかっております。 NAOSはOSを保護し、悪意のある第三者の攻撃により改ざんが行われても、 再起動することで攻撃の事実をログに残しつつOSを復元します。

セキュリティ検査

脆弱性のない製品を目指し開発に取り組んでおりますが、完璧は無いと言うセキュリティ対策の現実を認識し、
・複数の脆弱性検査ツールによる検査
・開発者によるソースコードチェック
・製品以外の開発者によるソースコードチェック
・複数の第三者による脆弱性診断
を定期的に実施し、製品の健全性を確認しております。
ファイル転送アプライアンス：FileZenにおいては、上記の検査に加え、
・第三者によるソースコードチェック
を実施しており、他製品も順次実施してまいります。

未知の脆弱性への対応

日々、巧妙になり複雑化していく攻撃手法に対応するため、NAOSにはOS監視機能を実装しており、
・起動時のファームウェアハッシュ、システム情報
・プロセス、CPU、メモリ、ストレージ
・ネットワーク通信量、通信先、ポート、TCPコネクション数
・システム領域へのファイル操作
をログに出力します。
このログによりシステム管理者は、起動時にシステムの健全性を確認でき、 攻撃によりシステムに侵入されたことを知ることが可能で、すぐに対処することができます。
なお、FileZenにおいては、最新V4.2.8/V5.0.3から、改ざんを検知した際メールによる通知も可能となっており、 他製品も順次対応を予定しております。

脆弱性発見時の対応

新たな脆弱性を発見した時、また、当社製品に関する脆弱性の情報を入手した場合には、 即時に組織横断の対応体制(PSIRT)を発足させ、事実確認を行います。 脆弱性が判明した際には、JPCERT/CCなどの機関に報告、被害防止のための応急策、 あるいは脆弱性に対処したアップデート版を開発、お客様へ通知します。 緊急の対処版の開発で常に製品セキュリティを確保し、情報公開も速やかに実施します。

以上のような複数のチェックを実施し、ご利用の皆様が安全にご利用いただけるよう、日夜、努力しています。

以上