NexthinkはSolarWindsのリーチの影響を受けていますか？

質問

最近のSolarWindsの侵害の影響をNexthinkは受けていますか？

回答

いいえ、受けていません。 NexthinkはSolarWinds Orionを使用しておらず、これまで使用したこともありません。 したがって、今回のデータ侵害の影響を受けていません。 それでも独立したセキュリティ企業が当社の環境で妥協の指標（IoC）を検索することを含め、追加の予防措置を講じました。 この調査はNexthinkが影響を受けていないことを確認しました。

背景

SolarWindsは、ITモニタリングのためのOrion Platformという製品ファミリーを提供しています。 SolarWindsによると、バージョン2019.4 HF 5、2020.2（ホットフィックス未適用）、および2020.2 HF 1には、潜在的にOrion製品が稼働しているサーバーを侵害する可能性がある脆弱性が挿入されていました。 メディアの報道によると、この脆弱性は国家が後援する脅威アクターによって挿入され、米国の複数の連邦政府機関を含む高価値のターゲットをさらなる侵害をするために使用されたとされています。

このようなサプライチェーン攻撃からNexthinkはどのように製品を保護していますか？

安全なソフトウェア開発は、私たちのセキュリティプログラムの一部です。 そのため、設計の初期段階から顧客への製品提供までの脆弱性を検出するためのいくつかのセキュリティコントロールが実装されています。 これには、設計レビュー、サードパーティライブラリ評価、コードレビュー、継続的な脆弱性スキャンおよびペネトレーションテストが含まれますが、これに限定されません。 加えて、ソフトウェアのサプライチェーンの全てのコンポーネントを重要と分類し、さらなるセキュリティコントロールを適用しています。 Nexthinkのバイナリは、強力な整合性と適合性の要件を確保するハードウェアセキュリティモジュール（HSM）を使用した厳格な署名プロセスに従って署名されています。

Nexthinkは、Nexthink ExperienceクラウドプラットフォームにおいてISO 27001、27017、および27018の認証も取得しています。