ESETオンラインヘルプ

カテゴリを選択
トピックを選択

ESET PROTECT Hubのセキュリティ

はじめに

このドキュメントの目的は、ESET PROTECT Hubで適用されるセキュリティ手順とセキュリティ統制についてまとめることです。セキュリティの手順と統制は、お客様情報の機密性、完全性、可用性を保護するために設計されています。セキュリティ手順および統制は変更される場合があります。

スコープ

このドキュメントでは、ESET PROTECT Hubインフラストラクチャ、組織、要員、運用プロセスに関するセキュリティ手順およびセキュリティ統制の要約を示します。セキュリティ手順および統制には、次の内容が含まれます。

  1. 情報セキュリティポリシー
  2. 情報セキュリティの組織
  3. 人事セキュリティ
  4. 資産管理
  5. アクセス制御
  6. 暗号化
  7. 物理および環境セキュリティ
  8. 運用セキュリティ
  9. 通信セキュリティ
  10. システムの取得、開発、メンテナンス
  11. サプライヤーの関係
  12. 情報セキュリティインシデント管理
  13. 事業継続管理の情報セキュリティ要素
  14. コンプライアンス

セキュリティの概念

ESET s.r.o.は、明示的にESET PROTECT Hubを対象とする統合管理システムの範囲で、ISO 27001:2013の認証を受けています。

このため、情報セキュリティの概念では、処理者が認証を受け、ネットワーク、オペレーティングシステム、データベース、アプリケーション、要員および業務プロセスの改造でセキュリティ統制を適用するときには、ISO 27001フレームワークを使用して、階層型の防御セキュリティ戦略を実装します。適用されたセキュリティ方針とセキュリティ制御は、相互に重なり、補完することを目的としています。

セキュリティ手順および統制

1.情報セキュリティポリシー

ESETは情報セキュリティポリシーを使用して、情報セキュリティガバナンスおよびセキュリティの統制と規制を含むISO 27001標準のすべての項目に対応します。ポリシーは定期的に見直され、大幅な変更の後には更新され、適合性、適格性、有効性の継続を保証します。

ESETは、このポリシーの年次見直しと内部セキュリティチェックを実施し、このポリシーとの整合性を保証します。情報セキュリティポリシーに準拠しない場合、ESET従業員の懲戒処分またはサプライヤーの契約上の罰則(最悪の場合は契約解除)が適用されます。

2.情報セキュリティの組織

ESET PROTECT Hubの情報セキュリティの組織は、情報セキュリティとITに関連する複数のチームや個人で構成されます。次のような組織があります。

  • ESET経営管理
  • ESET内部セキュリティチーム
  • ビジネスアプリケーションITチーム
  • その他のサポートチーム

情報セキュリティの責任は、導入されている情報セキュリティポリシーに従って割り当てられます。内部プロセスは、不正または過失によるESET資産の修正あるいは悪用のリスクが特定、評価されます。リスクがあったり注意が必要であったりする内部プロセス活動は、リスクを低減するために、職務分離の原則が適用されます。

ESET法務チームは、サイバーセキュリティと個人データ保護に関するスロバキア規制を含む政府当局との連絡に責任を負っています。ESET内部セキュリティチームは、ISACAなどの特殊な利益グループに連絡する責任を負っています。ESETリサーチラボチームは、他のセキュリティ会社およびサイバーセキュリティコミュニティとのコミュニケーションを担当しています。

情報セキュリティは、概念からプロジェクト完了まで適用されたプロジェクト管理フレームワークを使用して、プロジェクト管理において考慮されます。

リモート作業と通信はモバイルデバイスに導入されたポリシーを通して実行されます。これには、信頼できないネットワーク経由での転送中にモバイルデバイスで強力な暗号化データを使用することが含まれます。モバイルデバイスのセキュリティ統制は、ESET内部ネットワークおよび内部システムとは独立して動作するように設計されています。

3.人事セキュリティ

ESETは、情報セキュリティを保護するために設計されたポリシーを含む標準の人事手順を使用します。これらの活動は従業員のライフサイクル全体に対応し、ESET PROTECT Hub環境にアクセスするすべてのチームに適用されます。

4.資産管理

ESET PROTECT Hubインフラストラクチャは、資産タイプと感度に従って適用された厳密な所有権とルールに基づいて、ESET資産インベントリに含まれています。ESETでは内部分類体系が定義されています。すべてのESET PROTECT Hubデータと設定は機密として分類されます。

5.アクセス制御

ESETのアクセス制御ポリシーは、ESET PROTECT Hubのすべてのアクセスを制御します。アクセス制御は、インフラストラクチャ、ネットワークサービス、オペレーティングシステム、データベース、およびアプリケーションレベルで設定されます。アプリケーションレベルでの詳細ユーザーアクセス管理は自律的であり、Microsoft Azureのロールベースのアクセス制御を使用しています。

ESETバックエンドアクセスは、許可された個人とロールに厳しく制限されています。ユーザー登録(解除)、プロビジョニング(解除)、権限管理、およびユーザーアクセス権のレビューに関するESETの標準プロセスは、ESET従業員のESET PROTECT Hubインフラストラクチャおよびネットワークへのアクセスを管理するために使用されます。

すべてのESET PROTECT Hubデータへのアクセスを保護するために、強力な認証が導入されています。

6.暗号化

ESET PROTECT Hubデータベースは、転送中のデータをTLSで暗号化することで、データを保護します。さらに、保管中のデータも暗号化され、組み込みのサーバー証明書によってデータベース暗号化キーが保護されます。

一般的に信頼できる認証局は、パブリックサービスの証明書を発行するために使用されます。

7.物理および環境セキュリティ

ESET PROTECT Hubはクラウドベースであり、物理的および環境的セキュリティの面では、Microsoft Azureを使用しています。データセンターの物理的な場所は、欧州連合(EU)のみにあります。転送中に顧客データを保護するために強力な暗号化が導入されています。

8.運用セキュリティ

ESET PROTECT Hubは、厳密な運用手順と設定テンプレートに基づき、自動で運用されます。設定の変更と新しいパッケージ展開を含むすべての変更は、本番展開前に承認され、専用テスト環境でテストされます。開発、テスト、および本番環境は相互から分離されています。ESET PROTECT Hubデータは本番環境にのみ保存されます。

ESET PROTECT Hub環境は運用監視を使用して監視され、迅速に問題を識別し、ネットワークおよびホストレベルですべてのサービスに十分な能力を提供します。

すべての設定データは定期的にバックアップされ、冗長化機能が適用されています。

バックアップは暗号化され、事業継続性テストの一部として定期的に回復可能かどうかがテストされます。

システムの監査は、内部標準およびガイドラインに従って実行されます。インフラストラクチャ、オペレーティングシステム、データベース、アプリケーションサーバー、およびセキュリティ統制のログとイベントは、継続的に収集されます。ログはITおよび内部セキュリティチームによってさらに処理され、プロセスとセキュリティの異常および情報セキュリティインシデントが特定されます。

ESETは、一般的な技術的な脆弱性管理プロセスを使用して、ESET PROTECT Hubおよび他のESET製品を含む、ESETインフラストラクチャの脆弱性の発生を処理します。このプロセスには、プロアクティブな脆弱性検査のほか、インフラストラクチャ、製品、およびアプリケーションの反復侵入テストが含まれます。

ESETは、内部インフラストラクチャ、ネットワーク、オペレーティングシステム、データベース、アプリケーションサーバー、およびアプリケーションのセキュリティに関する内部ガイドラインを規定します。これらのガイドラインは、技術的なコンプライアンス監視と内部情報セキュリティ監査プログラムによって確認されます。

9.通信セキュリティ

ESET PROTECT Hubネットワークアクセスは、必要なサービスにのみ制限されます。

ネットワークトラフィックは、動作とセキュリティの異常について継続的に監視されます。潜在的な攻撃は、ネイティブクラウドコントロールまたは展開されたセキュリティソリューションを使用することで解決できます。すべてのネットワーク通信は、IPsecおよびTLSを含む一般的に使用可能な手法で暗号化されます。

10.システムの取得、開発、メンテナンス

ESET PROTECT Hubシステムの開発は、ESETの安全なソフトウェア開発ポリシーに従って実行されます。内部セキュリティチームは、最初のフェーズからESET PROTECT Hub開発プロジェクトに参加し、すべての開発およびメンテナンス活動を監督します。内部セキュリティチームは、ソフトウェア開発のさまざまな段階で、セキュリティ要件の実行を定義および確認します。新しく開発されたサービスを含むすべてのサービスのセキュリティは、リリース後に継続的にテストされます。

11.サプライヤーの関係

関連するサプライヤーの関係は有効なESETガイドラインに従って実施されます。これは、情報セキュリティとプライバシーの観点から、関係管理全体と契約要件に適用されます。重要なサービス供給者によって提供されるサービスの品質とセキュリティは定期的に評価されます。

さらに、ESETはESET PROTECT Hubの移植性の原則を利用し、供給者のロックアウトを回避します。

12.情報セキュリティ管理

ESET PROTECT Hubでの情報セキュリティインシデント管理は、他のESETインフラストラクチャと同様に実行され、定義済みのインシデント対応手順に基づきます。インシデント対応内の役割が定義され、IT、セキュリティ、法務、人事、広報、経営陣を含む複数のチームで割り当てられます。インシデントのインシデント対応チームは、内部セキュリティチームによってインシデントトリアージに基づいて決定されます。そのチームは、インシデントを処理する他のチームをさらに調整します。また、内部セキュリティチームは証拠収集と事後分析の責任を負っています。インシデントの発生と解決は影響を受ける当事者に通知されます。ESETの法務チームは、ネットワークおよび情報セキュリティ指令(NIS)を規定する一般データ保護規制(GDPR)およびサイバーセキュリティ法に従って、必要に応じて規制団体に通知する責任を負います。

13.事業継続管理の情報セキュリティ要素

ESET PROTECT Hubサービスの事業継続性は、提供されるサービスの可用性を最大化するために使用される堅牢なアーキテクチャでコード化されています。ESET PROTECT HubコンポーネントまたはESET PROTECT Hubサービスのすべての冗長ノードの致命的な障害が発生した場合には、オフサイトバックアップおよび構成データからの完全な復元が可能です。復元プロセスは定期的にテストされます。

14.コンプライアンス

ESET PROTECT Hubの規制要件および契約要件の遵守は、他のインフラストラクチャおよびESETのプロセスに対して同様に定期的に評価され、確認されます。また、コンプライアンスのための必要な手順が継続的に実施されます。ESETは、ESET PROTECT Hubを含む複数のESETサービスに対応するクラウドコンピューティングデジタルサービスの供給者として登録されています。ESETコンプライアンス活動は、必ずしもお客様の全体的なコンプライアンス要件が満たされていることを意味するとは限りません。