TP-Linkのセキュリティ対策

TP-Linkにとってセキュリティは、単に“チェックさえすれば良い”というものではなく、製品戦略および企業理念の中核を成す重要な要素となっています。私たちは長年に渡り、迅速かつ透明性を保ちながらリスクを予測・特定・対処するための包括的なセキュリティフレームワークを開発し、改善を重ねてきました。

堅牢なセキュリティ対策と独立した検証

TP-Linkでは、家庭向けルーターからスマートホームデバイスまで、あらゆるデバイスに対して社内外で厳しいセキュリティ試験を行っています。脆弱性を検証する社内ペネトレーションテストチームは、IoTや組み込みシステムセキュリティに精通した経験豊富な専門家によって構成されており、継続的な脅威モデリングと実環境における攻撃シミュレーションを実施。各評価はOWASP IoT Top 10等、業界で標準的に認識されているフレームワークを基準にしています。また、認定を受けたサードパーティーラボと連携して製品を精査し、潜在的な脆弱性を特定して優先順位を付け、迅速に対処することで、お客さまへの影響を最小限に収めるべく努めています。

データに基づくTP-Linkのセキュリティ体制

私たちはネットワーク業界全体で脆弱性が存在することを十分に認識していますが、ある比較データによると、TP-Linkのセキュリティ対策は他社と同等あるいはそれ以上とされています。例えば、公開されている脆弱性データ（参照元：CVE DetailsやVulDB等の公認セキュリティリポジトリ）では、TP-Linkにおける製品あたりの脆弱性発生率が、他の主要メーカーよりも大幅に低いことが明らかになりました。脆弱性の深刻度は重要ですが、私たちは問題に対して常に迅速に対処しています。同じ情報源によると、脆弱性の深刻度を評価するCVSSにおけるTP-Linkの平均スコアは、他のルーターやIoT機器の主要メーカーとほぼ同等でした。

Secure by Designと透明性への取り組み

私たちは、IoTエコシステムを1社単体では完全に保護できないと考えているため、政府主導のセキュリティイニシアチブや業界標準の策定を強く支持しています。TP-Linkによる米国CISA（Cybersecurity and Infrastructure Security Agency）の“Secure by Design（セキュア・バイ・デザイン）”誓約への参加・EUのCRA（Cyber Resilience Act）の積極的な支持・U.S. Cyber Trust Markへの賛同は、透明性のある標準および規制に基づく業界全体の進歩が、全ての人々にとってのセキュリティ基準向上に繋がる－という私たちの信念を反映したものです。
製品の構成要素に関する情報をより明確に提供すべく、SBOM（Software Bills of Materials）の配布等、サプライチェーンの透明性向上に向けた取り組みを継続的に実施。それと同時に迅速なファームウェアアップデートを提供し、詳細なセキュリティアドバイザリを公開することで、ユーザーの安全を守るためのセキュリティパッチや強化を速やかに提供できるようにしています。また、明確なサポート終了ポリシーを維持し、デバイスが可能な限り重要なアップデートを受け続けられるように努めています。

セキュリティコミュニティとの関わり

TP-Linkでは、積極的に世界的なセキュリティイニシアチブに参加し、脆弱性開示プログラムを展開。security@tp-link.comには、独立した研究者やセキュリティコミュニティから潜在的な問題の報告が寄せられており、5営業日以内にご回答できるように努めています。また、Zero Day Initiative（ZDI）のPwn2Own等のイベントへ継続的に参加することで、世界最高峰のセキュリティ専門家によるテストを受け入れ、発見された問題を迅速に対応・修復するというTP-Linkの姿勢を示しています。

継続的な改善と説明責任

私たちは有言実行に努めます。CI/CD（継続的インティグレーション/継続的デリバリー）によって問題を早期に発見し、ペネトレーションテストで得られた知見を直接製品ロードマップに反映。その成果は、脆弱性への対応スピード・削減効果・お客様からのフィードバックから評価します。

TP-Linkは、“セキュリティに終わりはなく常に進化いくもの”であるという考えを念頭に置きながら、IoTおよびネットワークセキュリティのリーダーを目指していきます。業界の専門家と連携し、政府のガイダンスや基準に準拠しつつ常に改善に努めていくことで、現在、そして未来も、ユーザーからの信頼を得られるように取り組んでいきます。