ESET Inspectのセキュリティ
はじめに
このドキュメントの目的は、ESET Inspectで適用されるセキュリティ手順とセキュリティ統制についてまとめることです。セキュリティの手順と統制は、お客様情報の機密性、完全性、可用性を保護するために設計されています。セキュリティ手順および統制は変更される場合があります。
スコープ
このドキュメントでは、ESET Inspectインフラストラクチャ、組織、要員、運用プロセスに関するセキュリティ手順およびセキュリティ統制の要約を示します。セキュリティ手順および統制には、次の内容が含まれます。
- 情報セキュリティポリシー
- 情報セキュリティの組織
- 人事セキュリティ
- 資産管理
- アクセス制御
- 暗号化
- 物理および環境セキュリティ
- 運用セキュリティ
- 通信セキュリティ
- システムの取得、開発、メンテナンス
- サプライヤーの関係
- 情報セキュリティインシデント管理
- 事業継続管理の情報セキュリティ要素
- コンプライアンス
セキュリティの概念
ESET, spol. s r.o.は、統合管理システムの範囲にESET Inspectサービスが明示的に含まれているISO 27001:2013で認証されています。
このため、情報セキュリティの概念では、処理者が認証を受け、ネットワーク、オペレーティングシステム、データベース、アプリケーション、要員および業務プロセスの改造でセキュリティ統制を適用するときには、ISO 27001フレームワークを使用して、階層型の防御セキュリティ戦略を実装します。適用されたセキュリティ方針とセキュリティ制御は、相互に重なり、補完することを目的としています。
セキュリティ手順および統制
1.情報セキュリティポリシー
ESETは情報セキュリティポリシーを使用して、情報セキュリティガバナンスおよびセキュリティの統制と規制を含むISO 27001標準のすべての項目に対応します。ポリシーは定期的に見直され、大幅な変更の後には更新され、適合性、適格性、有効性の継続を保証します。
ESETは、このポリシーの年次見直しと内部セキュリティチェックを実施し、このポリシーとの整合性を保証します。情報セキュリティポリシーに準拠しない場合、ESET従業員の懲戒処分またはサプライヤーの契約上の罰則(最悪の場合は契約解除)が適用されます。
2.情報セキュリティの組織
ESET Inspectの情報セキュリティの組織は、情報セキュリティとITに関連する複数のチームや個人で構成されます。次のような組織があります。
- ESET経営管理
- ESET内部セキュリティチーム
- ビジネスアプリケーションITチーム
- その他のサポートチーム
情報セキュリティの責任は、導入されている情報セキュリティポリシーに従って割り当てられます。内部プロセスは、不正または過失によるESET資産の修正あるいは悪用のリスクが特定、評価されます。リスクがあったり注意が必要であったりする内部プロセス活動は、リスクを低減するために、職務分離の原則が適用されます。
ESET法務チームは、サイバーセキュリティと個人データ保護に関するスロバキア規制を含む政府当局との連絡に責任を負っています。ESET内部セキュリティチームは、ISACAなどの特殊な利益グループに連絡する責任を負っています。ESETリサーチラボチームは、他のセキュリティ会社およびサイバーセキュリティコミュニティとのコミュニケーションを担当しています。
情報セキュリティは、概念からプロジェクト完了まで適用されたプロジェクト管理フレームワークを使用して、プロジェクト管理において考慮されます。
リモート作業と通信はモバイルデバイスに導入されたポリシーを通して実行されます。これには、信頼できないネットワーク経由での転送中にモバイルデバイスで強力な暗号化データを使用することが含まれます。モバイルデバイスのセキュリティ統制は、ESET内部ネットワークおよび内部システムとは独立して動作するように設計されています。
3.人事セキュリティ
ESETは、情報セキュリティを保護するために設計されたポリシーを含む標準の人事手順を使用します。これらの活動は従業員のライフサイクル全体に対応し、ESET Inspect環境にアクセスするすべてのチームに適用されます。
4.資産管理
ESET Inspectインフラストラクチャは、資産タイプと感度に従って適用された厳密な所有権とルールに基づいて、ESET資産インベントリに含まれています。ESETでは内部分類体系が定義されています。すべてのESET Inspectデータと設定は機密として分類されます。
5.アクセス制御
ESETのアクセス制御ポリシーは、ESET Inspectのすべてのアクセスを制御します。アクセス制御は、インフラストラクチャ、ネットワークサービス、オペレーティングシステム、データベース、およびアプリケーションレベルで設定されます。アプリケーションレベルでの完全ユーザーアクセス管理は自律的です(Microsoft Azureロールベースのアクセス制御を使用します)。
ESETバックエンドアクセスは、許可された個人とロールに厳しく制限されています。ユーザー登録(解除)、プロビジョニング(解除)、権限管理、およびユーザーアクセス権のレビューに関するESETの標準プロセスは、ESET従業員のESET Inspectインフラストラクチャおよびネットワークへのアクセスを管理するために使用されます。
すべてのESET Inspectデータへのアクセスを保護するために、強力な認証が導入されています。
6.暗号化
ESET Inspectデータを保護するために、強力な暗号化が使用され、保管中のデータと転送中データが暗号化されます。
7.物理および環境セキュリティ
ESET Inspectはクラウドベースです。ESETはプライベートクラウドとMicrosoft Azureクラウドを利用しています。プライベートクラウドデータセンターの物理的な拠点は欧州連合(EU)加盟国内のみです。Microsoft AzureはEU域外にもあります。ただし、個人データを含めずに、送信されたファイルから作成された単方向的なハッシュを保存するためにのみ使用されます。転送中に顧客データを保護するために強力な暗号化が導入されています。
8.運用セキュリティ
このESET Inspectサービスは、厳密な運用手順と設定テンプレートに基づき、自動運用されます。設定の変更と新しいパッケージ展開を含むすべての変更は、本番展開前に承認され、専用テスト環境でテストされます。開発、テスト、および本番環境は相互から分離されています。ESET Inspectデータは本番環境にのみ保存されます。
ESET Inspect環境は運用監視を使用して監視され、迅速に問題を識別し、ネットワークおよびホストレベルですべてのサービスに十分な能力を提供します。
すべての設定データは定期的にバックアップされたリポジトリに保存されているため、環境の設定を自動的に回復できます。ESET Inspectデータバックアップは、オンサイトとオフサイトの両方に保存されます。
バックアップは暗号化され、事業継続性テストの一部として定期的に回復可能かどうかがテストされます。
システムの監査は、内部標準およびガイドラインに従って実行されます。インフラストラクチャ、オペレーティングシステム、データベース、アプリケーションサーバー、およびセキュリティ統制のログとイベントは、継続的に収集されます。ログはITおよび内部セキュリティチームによってさらに処理され、プロセスとセキュリティの異常および情報セキュリティインシデントが特定されます。
ESETは、一般的な技術的な脆弱性管理プロセスを使用して、ESET Inspectおよび他のESET製品を含む、ESETインフラストラクチャの脆弱性の発生を処理します。このプロセスには、プロアクティブな脆弱性検査のほか、インフラストラクチャ、製品、およびアプリケーションの反復侵入テストが含まれます。
ESETは、内部インフラストラクチャ、ネットワーク、オペレーティングシステム、データベース、アプリケーションサーバー、およびアプリケーションのセキュリティに関する内部ガイドラインを規定します。これらのガイドラインは、技術的なコンプライアンス監視と内部情報セキュリティ監査プログラムによって確認されます。
9.通信セキュリティ
ESET Inspect環境はネイティブクラウドによってセグメント化され、ネットワークアクセスがネットワークセグメント間の必要なサービスにのみ制限されます。ネットワークサービスの可用性は、可用性ゾーン、ロードバランシング、冗長化など、ネイティブクラウドコントロールによって実現されます。専用のロードバランシングコンポーネントが展開され、ESET Inspectインスタンスルーティングの特定のエンドポイントを提供し、トラフィックの認可とロードバランシングを施行します。ネットワークトラフィックは、動作とセキュリティの異常について継続的に監視されます。潜在的な攻撃は、ネイティブクラウドコントロールまたは展開されたセキュリティソリューションを使用することで解決できます。すべてのネットワーク通信は、IPsecおよびTLSを含む一般的に使用可能な手法で暗号化されます。
10.システムの取得、開発、メンテナンス
ESET Inspectシステムの開発は、ESETの安全なソフトウェア開発ポリシーに従って実行されます。内部セキュリティチームは、最初のフェーズからESET Inspect開発プロジェクトに参加し、すべての開発およびメンテナンス活動を監督します。内部セキュリティチームは、ソフトウェア開発のさまざまな段階で、セキュリティ要件の実行を定義および確認します。新しく開発されたサービスを含むすべてのサービスのセキュリティは、リリース後に継続的にテストされます。
11.サプライヤーの関係
関連するサプライヤーの関係は有効なESETガイドラインに従って実施されます。これは、情報セキュリティとプライバシーの観点から、関係管理全体と契約要件に適用されます。重要なサービス供給者によって提供されるサービスの品質とセキュリティは定期的に評価されます。
さらに、ESETはESET Inspectの移植性の原則を利用し、供給者のロックアウトを回避します。
12.情報セキュリティ管理
ESET Inspectでの情報セキュリティインシデント管理は、他のESETインフラストラクチャと同様に実行され、定義済みのインシデント対応手順に基づきます。インシデント対応内の役割が定義され、IT、セキュリティ、法務、人事、広報、経営陣を含む複数のチームで割り当てられます。インシデントのインシデント対応チームは、内部セキュリティチームによってインシデントトリアージに基づいて決定されます。そのチームは、インシデントを処理する他のチームをさらに調整します。また、内部セキュリティチームは証拠収集と事後分析の責任を負っています。インシデントの発生と解決は影響を受ける当事者に通知されます。ESETの法務チームは、ネットワークおよび情報セキュリティ指令(NIS)を規定する一般データ保護規制(GDPR)およびサイバーセキュリティ法に従って、必要に応じて規制団体に通知する責任を負います。
13.事業継続管理の情報セキュリティ要素
ESET Inspectサービスの事業継続性は、提供されるサービスの可用性を最大化するために使用される堅牢なアーキテクチャでコード化されています。ESET InspectコンポーネントまたはESET Inspectサービスのすべての冗長ノードの致命的な障害が発生した場合には、オフサイトバックアップおよび構成データからの完全な復元が可能です。復元プロセスは定期的にテストされます。
14.コンプライアンス
ESET Inspectの規制要件および契約要件の遵守は、他のインフラストラクチャおよびESETのプロセスに対して同様に定期的に評価され、確認されます。また、コンプライアンスのための必要な手順が継続的に実施されます。ESETは、ESET Inspectを含む複数のESETサービスに対応するクラウドコンピューティングデジタルサービスの供給者として登録されています。ESETコンプライアンス活動は、必ずしもお客様の全体的なコンプライアンス要件が満たされていることを意味するとは限りません。