Cure53 セキュリティ監査により、VNC Connect Remote Access サービスは強固で安定したセキュリティ体制であることが判明
英ケンブリッジ–(BUSINESS WIRE)–世界中で数億人に利用されているリモートアクセスサービス、RealVNCのVNC Connectは、Mozilla VPN、1Password、Bitwardenなどの業界大手ソフトウェアも監査したドイツ・ベルリン拠点のITセキュリティコンサルティング企業Cure53による監査を受けました。Linux、Windows、Mac上のVNC ServerとVNC Viewer、iOSおよびAndroid向けVNC Viewer、VNC Connect management portal and backend servicesを対象とし、86人日を要した包括的な監査では、セキュリティに関連する38件の指摘が確認されましたが、重大なものはなく、高 severity と判断されたのは3件のみで、それらは直ちに修正されました。報告書は、RealVNCがそのすべてのコンポーネントのセキュリティ態勢に強い重点を置いていることを結論として述べています。
「リモートアクセスを大衆市場にもたらしてきた技術者として、私たちは今日、現代のIT環境が抱える課題を踏まえ、セキュリティにおける新たな基準と期待を打ち立てています。リモートアクセス技術を導入するIT購買担当者は、ベンダーの主張について、独立した包括的な第三者による検証を当然求めるべきです。特にリモートアクセスソフトウェアは重要性が高く、ひとたび誤りがあれば、評判の毀損や、場合によっては企業存続に関わる事態につながりかねません。Cure53のレポートにより、購入者は、リモートアクセスベンダーとしてRealVNCを選ぶことを決して後悔しないと確信できます」と、RealVNCのCEOであるAdam Greenwood-Byrneは述べています。
ホワイトボックスのセキュリティ監査は、一般的なブラックボックスのペネトレーションテスト(RealVNC も毎年外部機関に依頼している)よりも、監査人がすべてのソースコード、バイナリ、API/プロトコルのドキュメントにアクセスできるため、かなり詳細なものです。テスト対象となった各種ソフトウェアおよびサービス全体で発見された38件の脆弱性のうち、32件は適切に対処され、その修正はCure53によって確認されました。一方、残る6件は誤検知または想定どおりの挙動として分類され、リスクは比較的低いと評価されました。
「当社では、ソフトウェアが安全であるというベンダーの主張を、そのまま受け入れるべきではないという立場を取っています。そのため、その事実を証明するべく、高く評価されているセキュリティコンサルティング企業とともにホワイトボックス監査を完了することを選びました」と、RealVNCのCIOであるAndrew Woodhouse氏は述べています。
Cure53 チームは、ホワイトボックスのペネトレーションテストを完了する際、問題を発見することに非常に意欲的です。致命的な脅威が発見されなかったという事実は、RealVNCが、お客様がVNC Connectを使用する際に脅威から保護されるよう注力していることを裏付けています。
「Cure53は、テスト準備、テスト実施、そしてこのような監査で最も重要な部分の一つである修正検証が、円滑かつ専門的に進められたことを嬉しく思います。RealVNCがVNC Connectのセキュリティ確保に真摯な関心を示し、私たちが確認した高い水準を維持するための準備ができており、その維持に尽力していることは明らかです」と、Cure53創設者のDr.-Ing. Mario Heiderich氏は述べています。
ケンブリッジに本社を置くRealVNCのデスクトップ、モバイル、組み込みプラットフォーム向け製品は、ユーザーがリモートでデバイスにアクセスし、操作することを容易にすると同時に、リモートユーザーが技術者と協力して問題を簡単に解決できるようにします。
「私たちは、この報告書で見つかったいかなる問題からも目を背けてはいません。問題が発生するたびに積極的に修正してきました。セキュリティは常に変化し続ける領域であるため、今後も本サービスの将来の反復において、VNC Connectのセキュリティ確保を継続していきます」と、RealVNCのサイバーセキュリティ責任者であるBen Mayは述べています。
Cure53による監査の要約をご確認いただくには、こちらをクリックしてください。また、RealVNCがCure53監査の実施を選択した理由の詳細については、こちらをクリックしてください。
RealVNCについて
RealVNCのセキュアなリモートアクセスと管理ソフトウェアは、世界中で数億人に利用されています。RealVNCのソフトウェアは、リモートワークの実現だけでなく、リモートデバイスやアプリケーションのサポートにおけるコスト削減と品質向上を支援します。RealVNCは、英国を拠点とするVNCリモートアクセスソフトウェアの元祖開発企業であり、デスクトップ、モバイル、組み込みの各プラットフォームにおいて比類のない組み合わせをサポートしています。
CURE53について
Cure53 では、古典的なブラックボックス侵入テスト(ゼロ知識)だけでなく、ホワイトボックステストやコード監査も提供しています。ウェブアプリケーションやモバイルアプリケーションの開発者は多くの言語を扱い、私たちも同様です。PHP、JavaScript、ActionScript、Java、Ruby、Python、Perlのような古典的な言語から、C++やDelphiで記述されたWebバックエンドのようなより特殊なものまで、私たちはそれらを見てきました。
Cure53 は 2007 年の設立以来、あらゆる種類のウェブアプリケーション、オンラインサービス、 ハードウェアインターフェース、モバイルアプリケーション、ライブラリ、暗号化ツールに対して、何百回ものペネトレーション テストを実施してきました。私たちは、手作業による徹底的なテスト、人間同士の対話とコミュニケーション、そして誰も見たくないようなオーバーヘッドや円グラフのない、短いながらもポイントを押さえたペネトレーションテストレポートを大切にしています。
