製品セキュリティ プログラムを支えるために、Lenovo はチェックおよびバランス機構を備えたガバナンス システムを整えて、全社で各種プロセスや慣行が常に順守されているか確認しています。このガバナンス システムは、セキュリティに関するレビューを確実に製品開発とサプライチェーンのライフ サイクル プロセスの一部とする管理体制も備えています。このガバナンス システムは、Lenovo の製品セキュリティ ガバナンス文書 (Lenovo Product Security Governance Documentation) に以下のような概略図で示されています。

ポリシー文書には CEO によって署名され、全従業員に対して製品セキュリティの重要性が説かれています。プログラム文書は最高製品セキュリティ責任者 (CPSO) によるもので、製品セキュリティの各プロセスを実施する作業が紹介されています。最後に、実際のプログラム、標準、およびプロセスに関する文書は、実施される特定の作業に関連付けられています。

ガバナンス プロセスの有効性を確実なものとするために、従業員に対して Lenovo の製品セキュリティへのアプローチに関する理解と知識を教え広めるためのトレーニング カリキュラムが開発されました。このカリキュラムは製品セキュリティの概念の基本知識から始まり、3 つのレベル で構成されます。Security Basics、Software Security Associate、および Professional の各レベルの修了時に認定が行われます。カリキュラムは、職務要件に応じた個々の従業員のニーズに合わせてカスタマイズできます。Security Basics は、製品セキュリティを理解するために、誰でも履修できるコースです。Associate および Professional レベルは、ソフトウェア関連の経歴を持つ従業員向けであり、高度なセキュア ソフトウェア設計概念につながります。これらのほかに、さらに学習を進めるために利用可能なコースもあります。

Lenovo の製品とサプライ チェーンのセキュリティを確保するための取り組みは、米国の大手セキュリティ企業の 1 つである Chain Security, LLC に認められました。Lenovo のセキュリティ プロセス、コーポレート ガバナンス、およびサプライヤー プログラムに対する約 3 年間にわたる詳細な研究の末、このような結論に達したのです。この分析結果は 20 ページにわたる証明書であり、そこでは、Chain Security と Lenovo との連携、Lenovo がこの研究中に行った変更と改善、これらのセキュリティ プロセスに関して Lenovo はおそらく業界の先を行っているという Chain Security の結論が詳しく述べられています。

証明書の全文を読むには、こちらをクリックしてください。

上記のプロセスの実施に関するご質問は、Product Security Office までお寄せください。