Lenovo の製品のセキュリティについて

 

Lenovo: 製品のセキュリティに関するアクション

速いペースの製品開発と常に存在するハッカーの脅威の板挟みで、メーカーは「自社製品が脆弱性と100%無縁である」とは保証できない状況にあります。しかし Lenovo は、私たちが提供する製品やソリューションはお客様が求める機能性だけでなく、お客様のデータの機密性、完全性、可用性を守るのに必要なテクノロジーもまた提供しなければならないことを理解しています。この課題を克服するために、Lenovo は常に進化するセキュリティの脅威からお客様を守るための努力を絶えることなく続けています。

これにしたがって、Lenovo は以下の領域における知見を持つセキュリティのプロフェッショナルで構成された専任チームを組織しています。

  • セキュリティ アーキテクチャ - 製品デザイン&ストラテジーについて技術的な側面からコンプライアンスを促進
  • BIOS/ファームウェア/アプリケーションのセキュリティ - コードのレビューおよび認証
  • 倫理的ハッキング -「ホワイト ハット (善玉ハッカー)」による脆弱性テストの実施
  • サプライ チェーン - コンポーネント、アセンブリ、ファームウェア、ソフトウェア、ユーザー設定を提供するサプライヤー各社のセキュリティを徹底的にレビュー
  • カスタマー サポート - お客様の懸念や疑問に対応
  • インシデント対策 - リスクの緩和、問題への対処
  • プロジェクト管理 - 契約ベンダーの監督、プログラム導入の管理
  • 顧客への周知 - セキュリティ インシデントおよび戦略を伝達

以上の知見を終結することで、私たちは Lenovo の製品&サービスに関するセキュリティ懸念の解消に努めると同時に、継続的に潜在的なリスクとその解決方法を探し出すことに尽力しています。当社のチームの編成については、こちらをご覧ください。

Lenovo の製品セキュリティ管理システムは、開発・製造を経てカスタマーサポートに至る、製品ライフサイクル全体を通じてセキュリティを促進するように構築されています。Lenovo 製品のセキュリティが「後付け」でなく、最初から「組み込まれているもの」とするための努力です。

  • 製品セキュリティの監視 (ガバナンス) を管理プロセスに組み込むことで、製品開発、特にBIOSやファームウェアの作成・配布の領域で、適切かつ安全なプロセスに従うことを確実なものとしています。
  • 製品の構想段階から、お客様が必要とする重要なセキュリティ機能を組み込むように努力しています。
  • 開発およびテストプロセスを通じて、Lenovo の倫理的ハッキング プログラムによりユーザー側で起こり得る潜在的な問題のヒントが与えられるので、出荷前に問題解決を図ることができます。
  • 継続的なトレーニング プログラムにより、鍵となる人員には、重要なセキュリティ問題に関する最新情報、特定製品上でのその問題の対処方法が確実に伝えられます。

製品サプライヤーの資格を与える際には、供給能力や品質基準など、厳格な評価プロセスがあります。Lenovo はまた、各サプライヤーの開発・製造の全プロセスを評価することで、セキュリティ面のリスクを特定・軽減する手助けもしています。サプライヤーは契約により Lenovo のセキュリティ要件を満たすことが義務付けられています。資格が与えられた後も、サプライヤーは定期的に再評価され、セキュリティ関連の技術と実践を最新の状態に保つ努力が継続的に求められます。

Lenovo はサプライ チェーン全体を通じて製品を守ることを目指しています。主要なコンポーネントにはラベルを貼り、偽造のリスクに対処しています。重要なパーツはサプライヤーによって制限され、組立てプロセスのどこからでも追跡できるようにしています。サプライヤーによるファームウェアおよびソフトウェアのロード プロセスは、悪意あるプログラム (マルウェア) が製品に紛れ込む可能性を最小化するために入念に評価されます。最後に、Lenovo は安全な梱包材と、出荷から納品まで製品を追跡できる技術を採用しています。

Lenovo の製品とサプライ チェーンのセキュリティを確保するための取り組みは、米国の大手セキュリティ企業の 1 つである Chain Security, LLC に認められました。Lenovo のセキュリティ プロセス、コーポレート ガバナンス、およびサプライヤー プログラムに対する約 3 年間にわたる詳細な研究の末、このような結論に達したのです。この分析結果は 20 ページにわたる証明書であり、そこでは、Chain Security と Lenovo との連携、Lenovo がこの 2 年間に行ってきた変更と改善、これらのセキュリティ プロセスに関して Lenovo はおそらく業界の先を行っているという Chain Security の結論が詳しく述べられています。

証明書の全文を読むには、こちらをクリックしてください。

Lenovo は販売後の製品についても次のようなセキュリティ関連のサポートを提供しています。 1) ソフトウェアやファームウェアのセキュリティ アップデート、および 2) 指定パーツの交換。これらはお客様を守るために用意された手続きで、お使いの製品を安全な状態に保ちます。

Lenovo Product Security Office の中でも重要な部分が、Product Security Incident Response Team (PSIRT) です。セキュリティの脅威や脆弱性と無縁で 100% 安全な製品などありません。そのため、Lenovo は、製品に影響を及ぼすリスクや脆弱性を最小限に抑えるために取り組んでいます。Lenovo PSIRTは業界のエキスパートと協力して、Lenovo 製品にリスクをもたらし得る新たな脆弱性や脅威の発見・理解に努め、それに対処するための修正プログラムなどを提供しています。Lenovo の製品セキュリティに関するアドバイザリーはhttps://support.lenovo.com/product でご覧になれます。 新たに脆弱性が見つかった場合には、Product Security Incident Response Team (psirt@lenovo.com) にご報告ください。

Lenovo 製品の中で息づくテクノロジーにより、Lenovo は業界リーダーに加わりました。Lenovo は、お客様およびセキュリティ コミュニティの方々の信頼と信頼の確保のために絶えず努力する必要があることをわきまえ、理解しています。私たちは常に改善の余地があることを認識すると同時に、業界のベストプラクティスを追求し、これを守っていくことに邁進しています。

共有