Adobe Secure Product Lifecycle(SPLC)
設計、開発、品質保証、テスト、展開まで、アドビの製品ライフサイクルを構成する様々な段階には、あらゆるセキュリティの基礎となるAdobe Secure Product Lifecycle(SPLC)が組み込まれています。Adobe SPLCは、ソフトウェア開発のプラクティス、プロセス、ツールを幅広く網羅し、数百項目のセキュリティ活動を具体的かつ厳密に示して、明確で反復可能なプロセスを定義したものです。その内容は、開発チームが製品・サービスにセキュリティを組み込む際の指針となり、絶えず最新の業界ベストプラクティスを取り入れて進歩し続ける活動に役立っています。アドビのセキュリティ研究者は、潜在的なセキュリティの問題点にもとづいて、アドビの製品またはサービスについてSPLCをアドバイスします。Adobe SPLCは、アドビ外部のセキュリティコミュニティに継続的に参画することによって補完され、テクノロジー、セキュリティプラクティスおよび脅威の変化に応じて最新の状態が保たれるよう進化し続けます。
アドビのSPLCは、製品およびサービスの設計、開発、導入、そして継続的な運用ライフサイクルを反映する4つの主要領域で構成されています。SPLCの管理には、セキュリティチームが「Open Web Application Security Project(OWASP)webアプリケーションの脅威Top 10」と「CWE/SANS最も危険なプログラミングエラーTop 25」に対処するためのサービスロードマップ、セキュリティツールおよびテスト方法が含まれています。
セキュアな設計
アドビの「セキュアバイデザイン」手法は、アプリケーション開発プロセスの可能な限り早い段階でセキュリティ要件を定義することを目指しています。セキュリティチームと開発チームは、「シフトレフト」アプローチを採用し、セキュリティ管理を早期に組み込み、後から導入される変更の潜在的なコストを削減することに重点を置いています。詳しくは、ホワイトペーパー「アプリケーションセキュリティ概要」を参照してください。
セキュアな開発
開発サイクル中、アドビは自動化ツールを使用して、アプリケーションが定義されたセキュリティポリシーと管理基準を満たしていることを確認します。これにより、ソフトウェア開発ライフサイクル全体を通じてセキュリティが確保されます。また、製品のセキュリティを全社規模に拡大し、急速なイノベーションに合わせて常に適切なセキュリティを提供しています。詳しくは、ホワイトペーパー「アプリケーションセキュリティ概要」を参照してください。
セキュアな運用
アドビは、複数のプロバイダーにまたがるパブリッククラウドとプライベートクラウドを含むクラウド環境を持っています。そのため、製品やサービスチームが即座に利用できる、一貫性のある再現可能な運用セキュリティ対策が不可欠です。また、Adobe Cyber Defense CenterとProduct Security Incident Response(PSIRT)チームが、継続的なセキュリティ脅威の監視と管理、および強固な脅威インテリジェンスプログラムの開発と維持のほか、アドビのソリューションに関して報告されたインシデントが、定められたポリシーと基準に従って確実に解決されるよう支援もおこなっています。詳しくは、ホワイトペーパー「運用セキュリティの概要」およびホワイトペーパー「インシデント対応の概要」を参照してください。
継続的な研修と認定
アドビは、すべての社員を対象に定期的なセキュリティ啓発研修および活動をおこなうなどして、全社に浸透するセキュリティ文化を築き上げました。エンジニアリングおよび運用部門の社員は、職務や機能に特化した追加のセキュリティ研修と認定を受け、発生し得るリスクに対して情報にもとづいた適応力のある対応ができるよう備えています。また、アドビは他社と協力し、強固なセキュリティ文化を定義し達成するためのベストプラクティスや戦略について情報交換する機会を積極的に設けています。