アドビにとって、お客様との信頼関係とセキュリティは、常に最重要課題となっています。サイバー脅威はますます巧妙化しており、ハッカーはパッチが適用されていないアプリケーションの脆弱性を悪用する、新しい攻撃方法を常に模索しています。

そこでアドビは、Adobe Commerceをお使いのお客様がこれらのリスクを効果的に低減できるよう、重要なセキュリティパッチを迅速かつ効率的に配信するための一連の予防対策を実施しています。こうしたパッチ適用プロセスの改善策は、お客様のデジタル環境を保護するというアドビの継続的な取り組みを反映しています。

重大な脆弱性に対する個別パッチの導入

アドビは、主要なAdobe Commerce PHPアプリケーションの各サポート対象リリースラインに対して、セキュリティパッチをリリースしました。パッチのリリースにより、プラットフォームの安全性、信頼性、パフォーマンスを維持するために、主要なコードベースをアップグレードできます。

2024年6月より、Adobe Commerceの標準セキュリティパッチのリリースに加えて、個別パッチのリリースを開始しました。これらの個別パッチは、優先度の高いセキュリティ脆弱性に対処するように設計されています。これにより、完全なセキュリティアップデートを適用することなく、重大な問題に迅速にパッチを適用できるため、差し迫った脅威に対するタイムリーな保護を実現できます。

アドビでは、個別パッチの必要性を判断する際に、次の3つの重要な基準に焦点を当てます。

1. 重大な脆弱性： 個別パッチは、Common Vulnerability Scoring System（CVSS）スコアが9.0以上の重大な脆弱性を対象としています。
2. ストアフロントへの影響： ストアフロントの主要な機能に影響を及ぼす可能性のある脆弱性に対しても、パッチをリリースする予定です。これらの脆弱性は、お客様の取引やwebサイト全体の整合性に直接影響を及ぼす可能性があります。
3. 高リスクの脆弱性： 場合によっては、アドビの社内セキュリティツールとリスク評価プロセスにもとづいて、悪用されるリスクが高いと判断された脆弱性に対して、個別パッチが発行されることがあります。

Adobe Commerceは、これらの個別パッチをリリースすることで、お客様が重大な脆弱性に迅速に対処し、悪意のある攻撃者が脆弱性を悪用できる時間を短縮できるように支援します。Adobe Commerceの個別パッチは、関連するリリースラインのすべてのセキュリティパッチ対象バージョンで利用可能になるため、お客様は最新の修正プログラムにアクセスできます。対象リリースラインの詳細については、Adobe Commerceのライフサイクルポリシーをご覧ください。

これらの個別パッチは、より緊急性の高い脆弱性に対処することを目的としています。アドビでは、完全なセキュリティパッチが利用可能になった場合、できるだけ早くそのセキュリティパッチを適用することを推奨しています。完全なセキュリティパッチは、重大な問題を修正するだけでなく、システム全体の健全性や整合性に影響を与える可能性のある、より広範なセキュリティとコンプライアンスの問題にも対処します。

Cloud Patches for Commerceを使用した、迅速かつ効率的なパッチの展開

Adobe Commerceは、従来のパッチ適用方法に加えて、Cloud Patches for Commerceを介して個別パッチを提供することで、プロセスをさらに合理化しました。このツールは、アドビのクラウド基盤を使用してAdob​​e Commerceをお使いのお客様にセキュリティ修正を直接提供し、重要なパッチを迅速に展開できるようにします。クラウドパッケージを使用して重要なパッチを適用する方法については、パッチの適用に関するAdobe Commerceクラウド版のガイドをご覧ください。

クラウド向けのwebアプリケーションファイアウォール（WAF）の保護

アドビは、Adobe Commerceクラウド版をお使いのお客様向けに、個別パッチのリリースだけでなく、webアプリケーションファイアウォール（WAF）ルールを追加の保護レイヤーとして導入します。これにより、お客様がインスタンスをアップグレードする前に保護を強化できます。これらのWAFルールは、インフラストラクチャー層またはアプリケーション層において、個別パッチで対処した脆弱性をサイバー犯罪者が悪用するのを防ぐように設計されています。

Adobe Commerce Managed Services向けのセキュリティパッチの適用

アドビは、Adobe Commerce Managed Servicesをお使いのお客様向けに、パッチ適用プロセス中にパーソナライズされたサポートを提供することで、セキュリティをさらに強化します。お客様一人ひとりに専任のカスタマーサクセスエンジニア（CSE）を割り当て、個別パッチをいつ、どのように効率的かつ効果的に適用するのかを、お客様が決定できるように支援します。中断を最小限に抑えるために、CSEはお客様と協力して、本番環境に展開する前に、専用のステージング環境でパッチを検証します。このテストは、パッチが既存のワークフローに干渉するのを防ぎ、修正が正しく適用されているかどうか確認するのに役立ちます。

Adobe Commerce Managed Servicesチームの専門知識を活用することで、より効果的でスムーズなパッチ適用プロセスを実現し、セキュリティ問題やシステムダウンタイムのリスクを低減できます。

プロアクティブな通知：お客様に最新情報を常に提供

アドビは、タイムリーな認識とコミュニケーションが、サイバー脅威に先手を打つための鍵となることを認識しています。多くの攻撃者は、パッチが適用されていないシステムを標的にするため、明確で積極的なコミュニケーションが不可欠です。

今後のセキュリティアップデートについては、メール通知やAdob​​e Commerce内の通知を通じて直接お知らせします。このデュアルチャネルアプローチにより、マーチャントや管理者は最新のパッチを常に把握し、ストアのセキュリティを確保するために迅速に対応できるようになります。

Adobe Commerceのセキュリティ通知の重要な要素は、次のとおりです。

• メールアラート： 対処された脆弱性に関する重要な情報やリリースノートなど、今後のセキュリティパッチと個別パッチに関する詳細なメール通知をお客様に送信します。このメールは、アドビのリリーススケジュールに従って、パッチのリリース日に送信されます。

• 製品内通知： Adob​​e Commerceの管理者は、管理者パネルを通じて製品内アラートを受信します。これにより、重要なセキュリティアップデートを見逃すことがなくなります。

• セキュリティ情報： 各通知には、対処された脆弱性に関する包括的な情報を提供する、セキュリティ情報やリリースノートへのリンクが含まれています。お客様は、アドビがアップデートのリリースやセキュリティ情報の公開を行った際に通知を直接受け取るために、サブスクリプションサービスにオプトインすることができます。通常、セキュリティ情報には次の詳細情報が含まれます。

  • Adobe Commerceの影響を受けるバージョンと修正されたバージョン
  • 影響を受けるセキュリティ問題に関する、共通脆弱性識別子（CVE）参照情報
  • 各脆弱性、その重大度、顧客のシステムへの潜在的な影響に関する詳細な概要

Adobe CommerceのCVEの詳細情報は、MITREやNational Vulnerability Database（NVD）などのパブリックデータベースで公開されており、セキュリティ研究者やユーザーに外部検証と透明性を提供します。お客様は、利用可能な修正プログラムの通知を受け取ることで、迅速に行動し、できるだけ早くセキュリティパッチを適用できるようになります。

アドビは、進化するサイバー脅威に先手を打つために必要なツール、リソース、サポート、コミュニケーションを、お客様に提供することに尽力しています。プロアクティブなパッチ適用を実施することで、お客様のデジタルストアを脅威や脆弱性から保護するのに役立つ、包括的なセキュリティエコシステムの構築を目指します。

Smita Vermaは、Adob​​e Commerce担当シニアプロダクトマネージャーです。サイバーセキュリティソリューションやコンプライアンスフレームワークの豊富な経験を有しています。Smitaは、サイバーセキュリティの教育とコミュニティの構築に注力しています。戦略的な製品管理と、セキュリティに関する豊富な専門知識を組み合わせることで、ユーザーエクスペリエンスを損なうことなく企業のセキュリティを強化する、革新的な機能を開発しています。Smitaは、複雑なセキュリティ要件を直観的で効果的なソリューションに変換し、企業環境全体で目に見える価値を生み出しています。

https://business.adobe.com/fragments/resources/cards/thank-you-collections/commerce