ESET PROTECTのセキュリティ
はじめに
このドキュメントの目的は、ESET PROTECTで適用されるセキュリティ手順とセキュリティ統制についてまとめることです。セキュリティの手順と統制は、お客様情報の機密性、完全性、可用性を保護するために設計されています。セキュリティ手順および統制は変更される場合があります。
スコープ
このドキュメントでは、ESET PROTECTインフラストラクチャ、ESET Business Account (以下、「EBA」と表記」)、ESET MSP Administrator (以下、「EMA」と表記)、インフラストラクチャ、組織、要員、運用プロセスに関するセキュリティ手順およびセキュリティ統制の要約を示します。セキュリティ手順および統制には、次の内容が含まれます。
- 情報セキュリティポリシー
- 情報セキュリティの組織
- 人事セキュリティ
- 資産管理
- アクセス制御
- 暗号化
- 物理および環境セキュリティ
- 運用セキュリティ
- 通信セキュリティ
- システムの取得、開発、メンテナンス
- サプライヤーの関係
- 情報セキュリティインシデント管理
- 事業継続管理の情報セキュリティ要素
- コンプライアンス
セキュリティの概念
ESET s.r.o.は、統合管理システムの範囲にESET PROTECT、EBAおよびEMAサービスが明示的に含まれているISO 27001:2013で認証されています。
このため、情報セキュリティの概念では、処理者が認証を受け、ネットワーク、オペレーティングシステム、データベース、アプリケーション、要員および業務プロセスの改造でセキュリティ統制を適用するときには、ISO 27001フレームワークを使用して、階層型の防御セキュリティ戦略を実装します。適用されたセキュリティ方針とセキュリティ制御は、相互に重なり、補完することを目的としています。
セキュリティ手順および統制
1.情報セキュリティポリシー
ESETは情報セキュリティポリシーを使用して、情報セキュリティガバナンスおよびセキュリティの統制と規制を含むISO 27001標準のすべての項目に対応します。ポリシーは定期的に見直され、大幅な変更の後には更新され、適合性、適格性、有効性の継続を保証します。
ESETは、このポリシーの年次見直しと内部セキュリティチェックを実施し、このポリシーとの整合性を保証します。情報セキュリティポリシーに準拠しない場合、ESET従業員の懲戒処分またはサプライヤーの契約上の罰則(最悪の場合は契約解除)が適用されます。
2.情報セキュリティの組織
ESET PROTECTの情報セキュリティの組織は、情報セキュリティとITに関連する複数のチームや個人で構成されます。次のような組織があります。
- ESET経営管理
- ESET内部セキュリティチーム
- ビジネスアプリケーションITチーム
- その他のサポートチーム
情報セキュリティの責任は、導入されている情報セキュリティポリシーに従って割り当てられます。内部プロセスは、不正または過失によるESET資産の修正あるいは悪用のリスクが特定、評価されます。リスクがあったり注意が必要であったりする内部プロセス活動は、リスクを低減するために、職務分離の原則が適用されます。
ESET法務チームは、サイバーセキュリティと個人データ保護に関するスロバキア規制を含む政府当局との連絡に責任を負っています。ESET内部セキュリティチームは、ISACAなどの特殊な利益グループに連絡する責任を負っています。ESETリサーチラボチームは、他のセキュリティ会社およびサイバーセキュリティコミュニティとのコミュニケーションを担当しています。
情報セキュリティは、概念からプロジェクト完了まで適用されたプロジェクト管理フレームワークを使用して、プロジェクト管理において考慮されます。
リモート作業と通信はモバイルデバイスに導入されたポリシーを通して実行されます。これには、信頼できないネットワーク経由での転送中にモバイルデバイスで強力な暗号化データを使用することが含まれます。モバイルデバイスのセキュリティ統制は、ESET内部ネットワークおよび内部システムとは独立して動作するように設計されています。
3.人事セキュリティ
ESETは、情報セキュリティを保護するために設計されたポリシーを含む標準の人事手順を使用します。これらの活動は従業員のライフサイクル全体に対応し、ESET PROTECT環境にアクセスするすべてのチームに適用されます。
4.資産管理
ESET PROTECTインフラストラクチャは、資産タイプと感度に従って適用された厳密な所有権とルールに基づいて、ESET資産インベントリに含まれています。ESETでは内部分類体系が定義されています。すべてのESET PROTECTデータと設定は機密として分類されます。
5.アクセス制御
ESETのアクセス制御ポリシーは、ESET PROTECTのすべてのアクセスを制御します。アクセス制御は、インフラストラクチャ、ネットワークサービス、オペレーティングシステム、データベース、およびアプリケーションレベルで設定されます。アプリケーションレベルでの完全ユーザーアクセス管理は自律的です。ESET PROTECTとESET Business Accountのシングルサインオンは集中管理されたIDプロバイダーによって制御されます。これにより、ユーザーは許可されたテナントにのみアクセスできることが保証されます。アプリケーションは標準のESET PROTECT権限を使用して、テナントのロールベースのアクセス制御を施行します。
ESETバックエンドアクセスは、許可された個人とロールに厳しく制限されています。ユーザー登録(解除)、プロビジョニング(解除)、権限管理、およびユーザーアクセス権のレビューに関するESETの標準プロセスは、ESET従業員のESET PROTECTインフラストラクチャおよびネットワークへのアクセスを管理するために使用されます。
すべてのESET PROTECTデータへのアクセスを保護するために、強力な認証が導入されています。
6.暗号化
ESET PROTECTデータを保護するために、強力な暗号化が使用され、保管中のデータと転送中データが暗号化されます。一般的に信頼できる認証局は、パブリックサービスの証明書を発行するために使用されます。内部ESET公開鍵インフラストラクチャは、ESET PROTECTインフラストラクチャ内の鍵を管理するために使用されます。データベースに保存されたデータは、クラウドが生成した暗号化鍵で保護されます。すべてのバックアップデータは、ESETで管理された鍵によって保護されます。
7.物理および環境セキュリティ
ESET PROTECTおよびESET Business Accountはクラウドベースのため、物理および環境セキュリティの制御においてはMicrosoft Azureが使用されています。Microsoft Azureは堅牢な物理セキュリティ対策で認証されたデータセンターを使用しています。データセンターの物理的な場所は、お客様の地域の選択によって異なります。強力な暗号化機能は、クラウド環境からオフサイトへの転送中(物理バックアップデータストレージへの転送中など)に顧客データを保護するために使用されます。
8.運用セキュリティ
このESET PROTECTサービスは、厳密な運用手順と設定テンプレートに基づき、自動運用されます。設定の変更と新しいパッケージ展開を含むすべての変更は、本番展開前に承認され、専用テスト環境でテストされます。開発、テスト、および本番環境は相互から分離されています。ESET PROTECTデータは本番環境にのみ保存されます。
ESET PROTECT環境は運用監視を使用して監視され、迅速に問題を識別し、ネットワークおよびホストレベルですべてのサービスに十分な能力を提供します。
すべての設定データは定期的にバックアップされたリポジトリに保存されているため、環境の設定を自動的に回復できます。ESET PROTECTデータバックアップは、オンサイトとオフサイトの両方に保存されます。
バックアップは暗号化され、事業継続性テストの一部として定期的に回復可能かどうかがテストされます。
システムの監査は、内部標準およびガイドラインに従って実行されます。インフラストラクチャ、オペレーティングシステム、データベース、アプリケーションサーバー、およびセキュリティ統制のログとイベントは、継続的に収集されます。ログはITおよび内部セキュリティチームによってさらに処理され、プロセスとセキュリティの異常および情報セキュリティインシデントが特定されます。
ESETは、一般的な技術的な脆弱性管理プロセスを使用して、ESET PROTECTおよび他のESET製品を含む、ESETインフラストラクチャの脆弱性の発生を処理します。このプロセスには、プロアクティブな脆弱性検査のほか、インフラストラクチャ、製品、およびアプリケーションの反復侵入テストが含まれます。
ESETは、内部インフラストラクチャ、ネットワーク、オペレーティングシステム、データベース、アプリケーションサーバー、およびアプリケーションのセキュリティに関する内部ガイドラインを規定します。これらのガイドラインは、技術的なコンプライアンス監視と内部情報セキュリティ監査プログラムによって確認されます。
9.通信セキュリティ
ESET PROTECT環境はネイティブクラウドによってセグメント化され、ネットワークアクセスがネットワークセグメント間の必要なサービスにのみ制限されます。ネットワークサービスの可用性は、可用性ゾーン、ロードバランシング、冗長化など、ネイティブクラウドコントロールによって実現されます。専用のロードバランシングコンポーネントが展開され、ESET PROTECTインスタンスルーティングの特定のエンドポイントを提供し、トラフィックの認可とロードバランシングを施行します。ネットワークトラフィックは、動作とセキュリティの異常について継続的に監視されます。潜在的な攻撃は、ネイティブクラウドコントロールまたは展開されたセキュリティソリューションを使用することで解決できます。すべてのネットワーク通信は、IPsecおよびTLSを含む一般的に使用可能な手法で暗号化されます。
10.システムの取得、開発、メンテナンス
ESET PROTECTシステムの開発は、ESETの安全なソフトウェア開発ポリシーに従って実行されます。内部セキュリティチームは、最初のフェーズからESET PROTECT開発プロジェクトに参加し、すべての開発およびメンテナンス活動を監督します。内部セキュリティチームは、ソフトウェア開発のさまざまな段階で、セキュリティ要件の実行を定義および確認します。新しく開発されたサービスを含むすべてのサービスのセキュリティは、リリース後に継続的にテストされます。
11.サプライヤーの関係
関連するサプライヤーの関係は有効なESETガイドラインに従って実施されます。これは、情報セキュリティとプライバシーの観点から、関係管理全体と契約要件に適用されます。重要なサービス供給者によって提供されるサービスの品質とセキュリティは定期的に評価されます。
さらに、ESETはESET PROTECTの移植性の原則を利用し、供給者のロックアウトを回避します。
12.情報セキュリティ管理
ESET PROTECTでの情報セキュリティインシデント管理は、他のESETインフラストラクチャと同様に実行され、定義済みのインシデント対応手順に基づきます。インシデント対応内の役割が定義され、IT、セキュリティ、法務、人事、広報、経営陣を含む複数のチームで割り当てられます。インシデントのインシデント対応チームは、内部セキュリティチームによってインシデントトリアージに基づいて決定されます。そのチームは、インシデントを処理する他のチームをさらに調整します。また、内部セキュリティチームは証拠収集と事後分析の責任を負っています。インシデントの発生と解決は影響を受ける当事者に通知されます。ESETの法務チームは、ネットワークおよび情報セキュリティ指令(NIS)を規定する一般データ保護規制(GDPR)およびサイバーセキュリティ法に従って、必要に応じて規制団体に通知する責任を負います。
13.事業継続管理の情報セキュリティ要素
ESET PROTECTサービスの事業継続性は、提供されるサービスの可用性を最大化するために使用される堅牢なアーキテクチャでコード化されています。ESET PROTECTコンポーネントまたはESET PROTECTサービスのすべての冗長ノードの致命的な障害が発生した場合には、オフサイトバックアップおよび構成データからの完全な復元が可能です。復元プロセスは定期的にテストされます。
14.コンプライアンス
ESET PROTECTの規制要件および契約要件の遵守は、他のインフラストラクチャおよびESETのプロセスに対して同様に定期的に評価され、確認されます。また、コンプライアンスのための必要な手順が継続的に実施されます。ESETは、ESET PROTECTを含む複数のESETサービスに対応するクラウドコンピューティングデジタルサービスの供給者として登録されています。ESETコンプライアンス活動は、必ずしもお客様の全体的なコンプライアンス要件が満たされていることを意味するとは限りません。