私のデータはどのように保護されますか?
タレス オンデマンド データ保護はどのような認証を取得していますか?
タレス オンデマンド データ保護(Thales Data Protection on Demand/DPoD)は独立して監査されており、FIPS 140-2レベル3、ISO 27001、SOCタイプ2の認証を取得しています。
タレス オンデマンド データ保護(DPoD)はFIPS認証を取得していますか?
タレス オンデマンド データ保護(DPoD)に使用されるHSMは、FIPS 140-2レベル3認証を取得しています。
私のデータはどのように保護されていますか?
私のデータは他の顧客のデータとどのように区分されていますか?
テナント管理者は、自分のアカウントに属するデータにのみアクセスできます。テナント固有の詳細やメタデータは、保存中にボリューム暗号化を使用して保護されます。
サービスプロバイダーであるタレス、または他者は、Luna クラウド HSMサービスに保存されている私の暗号鍵にアクセスできますか?
HSMオンデマンドのインスタンスが初期化されると、サービス所有者は、セキュリティ責任者と暗号化責任者の両方の役割向けにパスワードまたはフレーズを作成します。
これらのシークレットは派生スキームで使用され、HSMが暗号化マテリアルを開封できるようにするために必要となります。
セキュリティ責任者/暗号化責任者のみがこれらのシークレットを保持できます。必要に応じた資格情報の共有は、これらの責任者の裁量に任されています。
暗号化とデータの整合性はどの程度強力ですか?
テナント固有の詳細やメタデータは、保存中にボリューム暗号化を使用して保護されます。
各PoP内では、ルーターとファイアウォールの高度なネットワークにより、ネットワーク分離、データの整合性と機密性、そのデータへのアクセスが保証されます。
ネットワーク自体の内部では、内部ファイアウォールがアプリケーション層とデータベース層の間でトラフィックを分離することで、機密性と整合性を確保し、高レベルの可用性を実現します。
サービス侵入テスト
タレス オンデマンド データ保護(DPoD)には、アプリケーションおよびネットワーク侵入テストを定期的に実施していますか?
タレスのアプリケーションには、サードパーティによるアプリケーションおよびネットワーク侵入テストを定期的に実施しており、タレス オンデマンド データ保護はこの慣行に準拠しています。評価方法には、ISECOMのオープンソースセキュリティテスト方法論マニュアル(OSSTMM)、オープンWebアプリケーションセキュリティプロジェクト(OWASP)、Webアプリケーションセキュリティコンソーシアム(WASC)、およびISO 27001:2013情報セキュリティ標準などの方法で定義される、認知された「最高クラスの」プラクティスに基づく構造化されたレビュープロセスが含まれます。
監査の目的で、アプリケーションセキュリティ監査のグレーボックスアプローチが採用されています。次の図は、テストされているセキュリティ攻撃ベクトルの一部を示しています。見つかった問題は、通常の開発サイクルの一部として解決されます。
脆弱性の管理
脆弱性管理プログラムの証拠を示すことはできますか?
タレスのアプリケーションには、サードパーティによるアプリケーションおよびネットワーク侵入テストを定期的に実施しています。
評価方法には、ISECOMのオープンソースセキュリティテスト方法論マニュアル(OSSTMM)、オープンWebアプリケーションセキュリティプロジェクト(OWASP)、Webアプリケーションセキュリティコンソーシアム(WASC)、およびISO 27001:2013情報セキュリティ標準などの方法で定義される、認知された「最高クラスの」プラクティスに基づくレビュープロセスが含まれます。
脆弱性の修正プロセスはどのように行われますか?
潜在的なセキュリティインシデントが検出されると、定義されたインシデント管理プロセスが認可された担当者によって開始されます。定義されたポリシーと手順に従って、是正措置が実行されます。
実際のサービス更新の前に、次のタスクが実行されます。
- プロビジョニングテスト:タレスのサービス運用チームにより、制御された環境において更新されたサービスを対象に実行されます。最終的にこのテストでは、それぞれ異なるグループによって実施される3種類のテスト(開発者による単体テスト、QAグループによるスプリントコードテスト、サービス運用チームによるサービス更新プロビジョニングテスト)にコードが合格する必要があります。
- リリース予定通知(PRN)がすべての既存ユーザーに送信され、更新の範囲と実際のサービス更新の予定日が通知されます。
- 侵入テスト:侵入テストは専用の非本番システム上で実施されますが、運用サービスと同じ環境下で実行されます。
- 最終段階では、すべてのデータが運用サービスからバックアップされます。これによりタレスは、予期しない問題が発生した場合に即座にロールバックすることができます。
ネットワークとアプリケーションの脆弱性を調査する頻度はどれくらいですか?
サーバーとネットワーク機器のすべてのパッチの評価を毎月実施しています。
タレスの内部管理と手順
タレスは多くの内部サービス管理を行っていますか?
はい。タレスはISO27001およびSOC2の範囲に沿って、内部ネットワークと情報のセキュリティ、テクノロジーベース制御、物理的アクセスと環境制御、問題管理、変更管理、職務の分離、システムソフトウェア変更管理を含むがこれらに限定されない内部サービス管理を多く実行しています。
データセンターの物理的セキュリティ
データセンターの物理的セキュリティにはどのようなものが含まれますか?
物理的セキュリティはクラウドベースのサービスを支えています。そのため、すべてのデータセンターでは、巡回警備や業界のベストプラクティスに準拠したアクセス制御による境界検査など、24時間体制の有人セキュリティを採用しています。その方法はデータセンターによって異なる場合がありますが、近接型、生体認証、キー、PIN、これらの制御のいずれかを組み合わせたものが含まれます。
データセンターでは、各施設とその周辺全体でデータ資産の削除を追跡するビデオ監視システムが完備されており、これにより機器とその機器内に保持されているデータのセキュリティの安全性が保証されます。またデータセンターでは、接続性、電力、安全性、セキュリティの冗長性を確保できるよう最先端のテクノロジーを利用しています。
タレス オンデマンド データ保護(DPoD)サービスにはどのような物理的セキュリティ機能がありますか?
- ビデオ監視カメラを各施設全体に設置
- 24時間365日体制の有人セキュリティ — データセンターへのすべてのアクセスの安全性を確保
- データセンターへの入場には常に多要素認証を使用
ネットワークの回復力
タレスはどのようにして常に最も回復力のあるネットワークを選択していますか?
プライベートデータセンターは、主要なインターネットサービスプロバイダー(ISP)へのマルチベンダー接続およびニュートラルネットワーク接続を備えており、主要なインターネットハブの近くに位置しています。
データセンターへのネットワーク接続はどのように行われますか?
データセンターへのネットワーク接続は、ファイバー接続を介して大容量帯域幅の安全なリンクを使用して提供され、これにより認証要求のターンアラウンドの遅延を最小限に抑えます。ファイバーベースの接続はすべて、安全なコンクリート造保管庫を経由してデータセンターの建物に入ります。
PoPの内部ネットワークインフラストラクチャの構築基盤は何ですか?
PoPの内部ネットワークインフラストラクチャは、大容量のスループットを確保するために、高速ファイバーベースのネットワーク上に構築されています。このインフラストラクチャは、高度にセキュリティ保護されたネットワークファイアウォールとルーターを介した複数の接続を使用して、完全な冗長性と最適なトラフィック配信を実現します。
タレスのDPoD( オンデマンドデータ保護)サービスのPoPにはどのようなネットワークセキュリティ機能がありますか?
- ネットワークキャリアニュートラルなデータセンター
- 各データセンターに複数のファイバーチャネル
- 複数のインターネットサービスプロバイダーを使用することで、継続的かつ高帯域幅のインターネットACを確保
電源の冗長性
電力はデータセンターにどのように供給されますか?
電力は、地下の商用電力供給システムを使用してデータセンターに供給され、その後、各地域で貯蔵されるディーゼル燃料を利用したオンサイトの冗長(N+1)ディーゼル発電機によって補完・バックアップされます。
電力は、継続的な供給を確保するために冗長(N+1)CPS/UPSシステムを介して部屋に供給され、冗長配電ユニット(PDU)を使用してPoP機器ラックに供給されます。これにより、継続的かつ高帯域幅のインターネットアクセスが保証されます。
データのバックアップと復旧
タレスは何に依存してストレージボリュームのコピーを保持していますか?
クラウド内において、タレスはスナップショットに依存することで、アプリケーションインスタンスに関連付けられたストレージボリュームのコピーを保持します。
スナップショットは頻繁に取得および削除されます。データベースのバックアップは、リレーショナルデータベースのバックアップを使用して管理されます。アプリケーションログはオンラインで保持され、決められた期間安全に保存されます。データは、データが保存されている地域で適用されるコンプライアンスに関連する期間にわたって保持されます。
サービス全体の復元テストはどのくらいの頻度で実施していますか?
サービス全体の復元テストは毎年実施されます。このテストでは、テープをオフサイトのストレージからリコールし、データをテスト環境に復元します。
タレスには災害復旧計画がありますか?
はい。タレスは正式な災害復旧計画を展開しており、毎年、計画のメンテナンスとテストが行われます。テスト中に特定された問題はすべて正式に協議され、計画に改善が加えられます。さらに、タレスには正式な事業継続計画があり、更新が必要かどうかを判断するために毎年見直されます。軽微な処理上のエラーと停止に対する対処手順が文書化されています。