Trend Micro Cloud One™セキュリティ、コンプライアンス、データプライバシー

トレンドマイクロの全従業員は、雇用時および年に1回セキュリティ意識トレーニングコースを受講します。すべての従業員は、トレンドマイクロのインターネット、コンピュータ、リモートアクセス、およびモバイルデバイスで使用可能なポリシーに従わなければなりません。これらのポリシーに違反した場合、懲戒処分を受ける可能性があります。懲戒処分には、解雇が含まれます。新たに採用されるすべての従業員と契約業者は、犯罪歴調査を終了している必要があります。

トレンドマイクロは、次のパスワードポリシーと基準を固守しています。

• すべてのパスワードは、最低でも3か月ごとに変更する。
• メールメッセージやその他の形態の電子通信にパスワードを挿入してはならない。
• パスワードを他人と共有したり他人に明かしたりしてはならない。
• セキュリティ侵害が疑われる場合、ただちにパスワードを変更する。
• パスワードは暗号化した状態で伝送し、ソルトでハッシュ化して保存する。
• パスワードは英数字8文字以上にする。
• パスワードには、大文字と小文字の両方を含める (例: a-z、A-Z)。
• パスワードの再利用制限を実施する。
• 個人情報や名字などを使用したパスワードは使用しない。

Trend Microインフラストラクチャへのリモートアクセスは、厳密に制御および監視されます。すべての認証方法には、業界のベストプラクティスと標準が用いられ、証明書ベースの認証や多要素認証などが取り入れられています。必要に応じて、 Active Directoryを利用するシングルサインオン（SSO）が使用されます。

Trend Micro Cloud One 環境内でのアプリケーションのアップグレードは、品質目標を満たした後に完了します。トレンドマイクロでは、完全バックアップや承認プロセスなど、変更のためのベストプラクティスを用いています。Trend Micro Cloud One には、複数の開発環境とテスト環境があります。要求された変更は、まず技術関係者が確認して、その緊急性と潜在的な影響を判断します。すべての変更には、バックアウト計画を文書化しておくことが要求されます。それらの変更は、変更管理システムで追跡されて記録されます。

トレンドマイクロのオフィスやネットワークへの立ち入りはすべて厳しくコントロールされ、承認を受けた者だけが許されるか、付き添いが条件となります。立ち入り許可はキーカードシステムによって与えられ、機密エリアに入るためには、あらかじめ承認が必要となります。Trend Micro Cloud One インフラストラクチャは、AWSでホストされています。

トレンドマイクロには、そのセキュリティポリシーの遵守徹底を担う専門の情報セキュリティ (InfoSec) チームが存在します。トレンドマイクロの Cloud One のエンジニアは、セキュリティイベントが検出された場合にただちにInfoSecチームに問い合わせます。また、InfoSphere Control Managerは、Trend Micro Cloud One 環境ログを個別に監視します。セキュリティインシデントが発覚した場合、重大度に応じてインシデントに優先順位が付けられます。調査、封じ込め手順に関する助言、フォレンジックスの実施、通信の管理にあたる専門の技術者チームが割り当てられます。インシデントの発生後、このチームによって根本原因が調査され、それに応じて対応計画が見直されます。顧客データを含む侵害が発生した場合、トレンドマイクロは、GDPRにおけるその義務を履行します。詳細については、https://www.trendmicro.com/ja_jp/business/capabilities/solutions-for/gdpr-compliance/our-journey.htmlを参照してください。

Trend Micro Cloud One ソフトウェア開発者は、SANS 25 / OWASP Top 10 / PCI 6.5に準拠した業界標準のカリキュラムを使用して、安全なコーディング慣行の訓練を受けています。教育活動は、年に1回および従業員が入社したときに実施されます。トレンドマイクロの Cloud One 開発チームは、製品のセキュリティを専門とするスタッフを採用しています。セキュリティテスト、セキュアコードレビュー、脅威モデリングは、開発ライフサイクルの構成要素となっています。安全なコーディングのベストプラクティスの詳細については、 https://www.trendmicro.com/ja_jp/about/legal/product-certifications.htmlを参照してください。

脆弱性は絶えず監視され、追跡されます。それぞれの脆弱性には、CVSSスコアが割り当てられます。セキュア開発コンプライアンスポリシーには、CVSSベースの重大度に応じて脆弱性への対処期間を規定するパッチ要件が含まれています。トレンドマイクロの Cloud One 環境にあるTrend Micro Cloud One ソフトウェアは、脆弱性修正を含む最新の利用可能なコードベースを使用するよう毎週更新されます。Trend Micro Cloud One チームは、Trend Micro Cloud One ソフトウェアへのパッチ適用とAWSサービスのサポートを担当しています。クライアントのワークロードにインストールされているDeep Security Agentは、クライアントの責任でアップデートすることになります。

すべての機密データ要素は、AES 256 GCMを使用した、データベースに依存しないアプリケーションレベルの暗号化により保護されます。自動テストは毎週実行され、バックアップの一貫性を検証します。バックアップは、単一の地域内での問題のリスクを軽減するために保存されます。バックアップは35日間保存されてから破棄されます。少なくとも年1回、災害復旧（DR）シミュレーションが実行され、バックアップデータとRTO / RPO要求がISO 27001に基づいて検証されます。

はい、時計の同期は関連しています。サイバーセキュリティの調査では、イベントのタイムラインを理解するために同期された時間を持つ必要があります。Trend Micro Cloud One では、公開された時刻ソースを使用してNTPを使用します。トレンドマイクロの Cloud One で使用されているシステムの時刻設定も、同期がとれるようにパブリック時刻ソースと同期する必要があります。NTPおよび公開タイムソースの詳細については、 http://www.ntp.org/を参照してください。

セキュリティイベントが発生した場合、トレンドマイクロはGDPR：https://www.trendmicro.com/en_ca/about/legal/privacy-whitepapers.html?modal=wp-deep-security-saas-gdprpdf および https://www.trendmicro.com/ja_jp/business/capabilities/solutions-for/gdpr-compliance/our-journey.html、および使用許諾契約書に記載されている職責https://www.trendmicro.com/ja_jp/about/legal.html#t4に基づく義務を遵守します。

https://success.trendmicro.com/jp/technical-supportにお問い合わせください。

はい、できます。プログラムの詳細については、 https://success.trendmicro.com/jp/vulnerability-responseを参照してください。

Trend Micro Cloud One の運用環境の脆弱性検索は、PCI認定検索ベンダー（ASV), Tenable.io）によって週1回行われます。PCI ASV認証が3か月に1回取得されます。同じベンダが、Trend Micro Cloud One 環境の自動化された週1回の内部検索に使用されます。Trend Micro Cloud One SecurityソフトウェアおよびTrend Micro Cloud One Storage Securityの本番環境では、一般的なセキュリティ上の問題を検出および修正するために、サードパーティのセキュリティエキスパートによる年間侵入テストが実施されています。サードパーティの侵入テストの範囲には、アプリケーションセキュリティテスト、内部ネットワーク検索と外部ネットワーク検索、ネットワークセグメンテーションテストが含まれます。トレンドマイクロのInfoSecでは、トレンドマイクロの Cloud One のWebアプリケーション評価を主要なリリースに対して実施しています。また、主要な動的分析セキュリティツールを少なくとも毎年使用しています。Trend Micro Cloud One コードベースは、主要な静的解析セキュリティツールを使用して毎週検索されます。新しい問題が確認されると、自動化されたアラートが開発チームに送信されます。また、製品リリースごとに駆除検索が義務付けられています。トレンドマイクロの Cloud One に含まれるサードパーティのコンポーネントは、主要なソフトウェア構成分析ツールを使用して継続的に監視されます。

Workload Security 保護モジュールは、 Workload Security の運用ワークロードに対するセキュリティイベントを生成します。 Workload Security から収集されたセキュリティイベントは、中央のSIEMに転送されます。セキュリティイベントは、関連したすべての保護モジュールで生成されます (不正プログラム対策、ファイアウォール、侵入防御、変更監視、セキュリティログ監視)。その他のAWSログ (CloudTrail、CloudWatch)、システムログ、データベースログは、SIEMに転送されます。 Workload Security イベント管理コンソールおよびSIEMは、役割に基づいて制限されています。

Workload Security では、自動アラートが有効になり、24時間体制のオンコールスタッフが雇用されます。セキュリティログは、すべてのシステムについて毎日確認されます。セキュリティイベントが疑われる場合は、ただちにTrend Micro Security Operations Center（SOC）に報告されます。この兆候は、疑われるインシデントの重大度に応じた優先順位が付けられ、調査要員としてSOCのチームおよび技術者が割り当てられます。

それぞれのテナントの情報は、専用のデータベーススキーマを使用して分離されます。この情報のアクセスと保管は厳しくコントロールされ、診断とサポートの目的でのみ使用されます。クライアントの連絡先の詳細（メールアドレスなど）は、クライアントの管理目的で暗号化されて保持されます。トレンドマイクロに送信されたデータとそのデータに対するユーザコントロールは、 Workload Security データ収集ディスクロージャにあります。

すべての内部ネットワーク通信に最低限のTLS 1.2が使用されます。最小TLS 1.2は、 Deep Security Agentと Workload Security： https://cloudone.trendmicro.com/docs/jp/workload-security/crypto-tls-version/間の通信に使用されます。 お客様はDeep Security Agentが最新の状態に保たれ、最新の暗号化およびセキュリティ修正が利用可能であることを確認する責任があります。Deep Security Agentで使用される暗号の詳細と Workload Security への接続については、ここをクリックしてください： https://cloudone.trendmicro.com/docs/jp/workload-security/communication-manager-agent/。

すべての機密データ要素は、AES 256 GCMを使用した、データベースに依存しないアプリケーションレベルの暗号化により保護されます。各テナントには、トレンドマイクロが生成する暗号化キーがあります。テナントキーは、AWS Key Management Service（KMS）を使用して保護されたマスターキーで暗号化されます。限られた数の Workload Security チームメンバーのみがKMSにアクセスできます。

Application Security から収集されたセキュリティイベントは、Amazon GuardDutyおよびAmazon Cloudwatchを使用して識別され、アラートはロールに基づいて制限され、24時間体制のオンコールコールセンターによる自動アラートが有効になります。セキュリティログは、すべてのシステムについて毎日確認されます。セキュリティイベントが疑われる場合は、ただちにTrend Micro Security Operations Center（SOC）に報告されます。この兆候は、疑われるインシデントの重大度に応じた優先順位が付けられ、調査要員としてSOCのチームおよび技術者が割り当てられます。

設計上、 Application Security は個人データを処理しません。トレンドマイクロに送信されたデータとそのデータに対するユーザコントロールは、 Application Security データ収集ディスクロージャにあります。

AWSログ（CloudTrail、CloudWatch), システム、およびセキュリティログは継続的に監視されます。Container Security では、自動アラートが有効になり、24時間体制のコール・オン・スタッフが雇用されます。セキュリティイベントが疑われる場合は、ただちにTrend Micro Security Operations Center（SOC）に報告されます。この兆候は、疑われるインシデントの重大度に応じた優先順位が付けられ、調査要員としてSOCのチームおよび技術者が割り当てられます。

各顧客の情報は、専用のデータベース・パーティションを使用して区別されます。この情報のアクセスと保管は厳しくコントロールされ、診断とサポートの目的でのみ使用されます。個人情報（PII）は、 Container Security サービスによって直接収集されることはありません。トレンドマイクロに送信されたデータとそのデータに対するユーザコントロールは、 Container Security データ収集ディスクロージャにあります。

Network Security から収集されたセキュリティイベントは、Amazon GuardDutyおよびAmazon Cloudwatchを使用して識別され、アラートはロールに基づいて制限され、24時間体制のオンコールコールセンターによる自動アラートが有効になります。セキュリティログは、すべてのシステムについて毎日確認されます。セキュリティイベントが疑われる場合は、ただちにTrend Micro Security Operations Center（SOC）に報告されます。この兆候は、疑われるインシデントの重大度に応じた優先順位が付けられ、調査要員としてSOCのチームおよび技術者が割り当てられます。

アプリケーションの秘密情報は、Amazon KVMキーを使用して暗号化されたAmazon S3バケットに保存されます。アプリケーションは、エンベロープ暗号化を使用してデータの復号化を許可されています。トレンドマイクロに送信されたデータとそのデータに対するユーザコントロールは、 Data Collection Disclosureにあります。

私たちはAWS（Amazon GuardDutyとAmazon CloudWatch）にアラートシステムを持っています。また、潜在的なセキュリティイベントが報告されるSlackチャネルもあります。

設計上、 File Storage Security は個人データを処理しません。トレンドマイクロに送信されたデータとそのデータに対するユーザコントロールは、 File Storage Security データ収集ディスクロージャーにあります。