Adob​​eの最初のCSOのホスティングサービスのセキュリティが最優先です。

アドビシステムズ社は、製品、サービスを提供して、最初のCSOになります。成熟した製品セキュリティプログラムが既に導入されているため、アドビの新しいセキュリティ責任者の最優先事項は、ホスティングサービスとその内部インフラストラクチャのセキュリティを強化することです。

Adob​​eの最高セキュリティ責任者Brad Arkin

過去数年間Arkinは、Adobeセキュアソフトウェアエンジニアリングチーム（ASSET）とAdobe製品セキュリティインシデント対応チーム（PSIRT）のリーダーとして、Adobeのソフトウェア製品セキュリティの取り組みを監督してきました。この間、Adobe ReaderとFlash Playerは、ユーザー数が多いために攻撃者のターゲットとなることが多い2つのアプリケーションで、サンドボックスやサイレント自動更新などの悪用防止メカニズムを含む大幅なセキュリティ強化を受けています。あなたのWindows PCからマルウェアを除去するために]

安全なソフトウェアエンジニアリング作業は継続されますが、ArkinはAdobe Creative CloudやAdobe Marketing Cloudなどのホスティングサービスのセキュリティを強化しています。当社の安全な製品ライフサイクルとシュリンクラップ製品で行ってきた作業は非常に成熟しています。 「これまで数年にわたってこれをやってきた。しかし、同社は既製のソフトウェアを開発していれば、ホスティングサービスを行っていない」と述べ、監視と運用を引き続き強化している現在、私は顧客データを守るためにできることに集中しています」とArkin氏は述べています。 「私たちはすでに多くの素晴らしい仕事をしていますが、私たちが計画している仕事はさらに増えています。それは終わりのないプロセスです。これは、ホストされたサービスを実行することの一部なのです」。

ホスティングサービスのセキュリティロードマップがあり、3週間ごとに新しいコードがリリースされるたびに、新しいセキュリティ機能や改善点が追加されたり、

ホスティングサービスのセキュリティ強化に加えて、ITインフラストラクチャの強化と攻撃に対する高価値の内部システムに焦点を当てる計画もある。

悪者は本当にArkin氏は、インターネットに接続されている企業に対して攻撃の種類が創造的であると指摘した。 「私たちは、セキュリティベンダーやディフェンダーコミュニティの他のメンバーと協力して、社内インフラストラクチャ上で堅牢な防御策を講じていることを確認しています」。Arkin氏は、過去に洗練された標的型攻撃を経験しました。その一例は、攻撃者が社内のコード署名サーバーの1つを侵害し、Adobeのデジタル証明書でマルウェアに署名するために使用された2012年9月のAdobeによる攻撃です。 Arkin氏は、同社のインフラストラクチャをターゲットとし、それが生産するコードやユーザーではなく、潜在的なリスクを管理し対処する必要があると指摘する。 「私たちの社内業務や外部ホスティングサービス、そして私たちが作成しているコードを守ることは、私が取り組んでいる業務の責任範囲にあります。」彼の新しい地位から、Arkin氏はASSETおよびPSIRTグループに加えて、ソフトウェアの構築、署名および公開インフラストラクチャを維持する、最近作成されたエンジニアリングインフラストラクチャセキュリティチームの作業。また、同社全体でネットワークと製品のセキュリティインシデント対応活動の両方を調整するグループであるAdobeセキュリティコーディネーションセンターを監督する予定です。

ソフトウェア製品、特に幅広く使用されているプログラムのセキュリティを強化するためのAdobeの取り組みは、近年脅威環境に目に見える影響を与えています。アクティブな攻撃で使用されるAdobe Readerを対象とした攻撃の数は大幅に減少し、攻撃者はOracleのJavaや広く使用されている他のソフトウェアに焦点を当てるようになりました。 2月に発見されたAdobe Reader Xのゼロデイ以前に未知の脆弱性が発見されたのは、2010年にリリースされて以来、プログラムのサンドボックスメカニズムを迂回した最初のものでした。

Flash Playerは、Google Chrome、Mozilla Firefox、 Flash Playerの脆弱性を悪用しようとするWindows 9のInternet Explorer 10が過去よりもはるかに難しい

Flash PlayerとReaderに加えられた自動自動更新オプションとMicrosoft、 Apple、Mozilla、Googleなどの多くのユーザーが、最新の最も安全なバージョンにアップグレードするようになったとArkin氏は述べています。

消費者市場ではまだAdobe Reader 9以降を使用しているユーザーは少ない1％以上がサポートされておらず、セキュリティアップデートを受け取っていない古いバージョンを実行している、とArkinは述べている。ほとんどのエンタープライズ環境はReader XIにアップグレードされていますが、「もっと多くの人がまだバージョン9を使用したいと思っています」とArkin氏は言います。

Reader Version 9からバージョンXIまたは少なくともX特に、バージョン9は6月末に終わりに達するだろうと、Arkin氏は述べている。 「私たちは、アップデートされたメカニズムを使用して、インストールされたバージョンのセキュリティアップデートだけでなく、最新バージョンへのアップグレードを推進しています」。

理想的には、Reader XIは最高レベルのセキュリティを提供するため、 Reader XIには、Reader Xで最初に導入されたものに加えて、Protected Viewと呼ばれる2番目のサンドボックスコンポーネントがありますが、残念ながらこの機能はデフォルトで有効になっていません。デフォルトでは、スクリーンリーダーや印刷などの一般的なタスクと互換性がないため、いくつかのワークフローが壊れているという。すべてのアップデートで、同社は非互換性のいくつかを解決しようとしており、デフォルトでこの機能を有効にできるとArkin氏は述べている。しかし、高度にターゲットを絞った環境の人々は、今のところそれを有効にして、必要な機能にアクセスするために様々な回避策を講じることができると同氏は述べている。

Flash Playerに関する限り、直接の目標は、潜在的な欠陥を特定し修正するためにコードを強化すると、Arkin氏は述べています。彼は、Flash Virtual Machine 2（AVM2）エンジンには、プラットフォームパートナーやChromeチームやIE 10チームからのフィードバックに基づいて、小さな変更が行われているため、破損したバイトコードに対してより堅牢にすることができるという。アドビではCSOのタイトルが必要でした。なぜなら、新しいタイプの攻撃を伴う技術的観点からも、規制の観点からも、サイバーセキュリティの重要性はますます高まっています。現在の最高セキュリティ責任者の地位を確立することは、内部的にセキュリティ上の仕事の規模を外部から伝達する手段となる、と彼は述べた。 「これはまた、問題の重さと深刻な性質を伝え、Adobeがどのようにそれに取り組んでいるかを伝えるのにも役立ちます」。