このページのトピック
Trend Micro Cloud Oneのデータのプライバシー、セキュリティ、コンプライアンス
トレンドマイクロはサイバーセキュリティの世界的リーダーとして、デジタルインフォメーションを安全に交換できる世界の実現に取り組んでいます。トレンドマイクロのサイバーセキュリティプラットフォームでは、数十年にわたって蓄積したセキュリティの専門知識と国際的な脅威研究、および継続的イノベーションの成果を活用して、クラウドからネットワーク、デバイス、エンドポイントにわたり数十万の組織と数百万の個人ユーザを保護しています。トレンドマイクロのプラットフォームは、クラウドおよび企業のサイバーセキュリティの先進的存在として、AWSやMicrosoft、Googleなどの各種環境向けに最適化された高度な脅威対策を豊富に備え、一元的な可視化によって検出と対応の効率化および迅速化を実現します。
トレンドマイクロでは、お客さまおよびお客さまのデータのセキュリティとプライバシーを重視しています。以下は、セキュリティ、プライバシー、透明性、および業界標準へのコンプライアンスに対するトレンドマイクロの取り組みを紹介するTrend Micro Cloud Oneの資料です。「Trend Micro Privacy and Legal」をご覧ください。
以下に、Trend Micro Cloud Oneのセキュリティ、プライバシー、コンプライアンスの最新情報を示します。
プライバシー |
セキュリティ |
コンプライアンス |
データプライバシー
トレンドマイクロのお客さまデータの保護方針に関する一般情報については、「Trend Micro Global Privacy Notice」をご覧ください。
保護対象の環境およびセキュリティイベントの対象となるオブジェクト (ファイル、メモリ、ネットワークトラフィックなど) の性質によっては、セキュリティイベント内で個人情報が収集される可能性があります。お客さまの対象環境の要件に準拠しこの可能性を最小限に抑えるために、セキュリティポリシーの設定およびモジュールの選択が行えるようになっています。
トレンドマイクロに送信されるデータおよび当該データに対するお客さまの管理についての詳細は、「Trend Micro Cloud Oneのデータ収集について を参照してください。
GDPR
トレンドマイクロは、GDPRをはじめとする関連法令を遵守しています。詳細については、「Trend Micro GDPR」のサイトをご覧ください。
- 必要に応じ、GDPRに即したデータ処理に対応するために技術上および組織上の措置 ("TOM") を講じています。
- GDPRに定められたデータ処理者として、"個人データ"の処理はいくつかのケースに限られています。Trend Micro Cloud Oneの処理対象データの詳細、およびデータに対するお客さまの管理権限については、「Trend Micro Cloud Oneのデータ収集について」をご覧ください。
Trend Micro Cloud Oneデータ収集に関する注意事項
Trend Micro Cloud Oneサービスのデータ収集に関する通知は、Trend Micro Cloud Oneデータ収集の開示に関する通知に記載されています。
Trend Micro Cloud One地域でアカウントを作成すると、すべてのTrend Micro Cloud Oneインフラストラクチャはすべてその地域にあるため、データの常駐やデータの主権の問題に役立ちます。Cloud Oneの対象地域の詳細については、Trend Micro Cloud Oneリージョンを参照してください。
Trend Micro Cloud One: Trend Micro Cloud Oneで新しいアカウントを作成するには、新しいユーザと役割を作成し、サブスクリプション情報を指定する必要があります。その結果、Trend Micro Cloud Oneで個人データが処理されることがあります。詳細については、Trend Micro Cloud Oneデータ収集に関する開示通知 を参照してください。
Trend Micro Cloud One - Workload Security:Workload Securityはワークロードの保護を担当します。そのため、Workload Securityで個人データが処理されることがあります。たとえば、セキュリティまたはシステムイベントが発生した場合、処理される情報の一部にIPアドレスなどの個人データが含まれることがあります。Workload Securityによって作成されるログデータには、管理者の名前やIDなどの個人データも含まれる場合があります。詳細については、Trend Micro Cloud One - Workload Securityデータ収集に関する開示通知を参照してください。
Trend Micro Cloud One - Conformity:Conformityでは、ルールを実行して監視サービスを提供するために、クラウドアカウントデータにアクセスする必要があります。アカウントへのアクセスは、最初にクラウドアカウントをサービスに追加したときに付与され、既存のアカウントに対して変更できます。クラウド環境のメタデータへのアクセスと収集を許可するようにアカウントアクセスポリシー/ルールを設定できます。詳細については、Trend Micro Cloud One - Conformityデータ収集に関する開示通知を参照してください。
Trend Micro Cloud One - Container Security:Container Securityは、APIキーを使用してKubernetes環境に接続し、個人情報を収集しません。詳細については、Trend Micro Cloud One - Container Securityデータ収集に関する開示通知を参照してください。
Trend Micro Cloud One - File Storage Security:File Storage Securityは、AWS CloudFormationスタックを使用してデプロイされます。選択したソリューションに応じて、1〜3個のスタックが配置されます。収集された情報はFile Storage Securityに格納され、スタックの管理に使用されます。個人情報は含まれません。詳細については、Trend Micro Cloud One - File Storage Securityデータ収集に関する開示通知を参照してください。
Trend Micro Cloud One - Application Security:Cloud One Application Securityは、APIキーを使用してアプリケーションに接続し、個人情報を収集しません。詳細については、Trend Micro Cloud One - Application Securityデータ収集に関する開示通知を参照してください。
Trend Micro Cloud One - Network Security:Cloud One Network Securityは、AWS CloudFormationスタックを使用してデプロイされます。収集された情報には個人情報は含まれません。詳細については、Trend Micro Cloud One - Network Security データ収集に関する開示通知を参照してください。
Trend Micro Cloud One - Open Source Security by Snyk:Cloud One Open Source Security by Snykは、トレンドマイクロとSnykのパートナーシップです。そのため、Open Source Security by Snykの使用を選択すると、Snyk.ioインタフェースに切り替わります。Snyk.ioのデータプライバシー情報は、https://snyk.io/policies/privacy/にあります。詳細については、Trend Micro Cloud One - Open Source Security by Snyk データ収集に関する開示通知を参照してください。
データのセキュリティ
トレンドマイクロでは、データのセキュリティに関する業界標準を遵守し、一般的なセキュリティ手法の概要を提供しています。また、Trend Micro Cloud Oneでは、データの保護のために業界で認められたベストプラクティスを採用しています。これには、個々のお客さまデータの隔離や送信データの暗号化が含まれます。お客さまデータのバックアップは業界で定められているベストプラクティスに従って行われています。バックアップとデータ回復のプロセスは、ISO 27001 (アクセスコントロールおよび暗号化技術) や ISO 27017 (クラウドサービスの監視および環境の隔離) など、トレンドマイクロが取得済みの各種認証を参考にして定義されています。
データの隔離
Trend Micro Cloud Oneサービスごとにすべての顧客情報が隔離され、顧客は自分のデータにのみアクセスできます。メールアドレスなどの顧客の連絡先情報は、機密性を確保するために保存時に暗号化されます。Trend Micro Cloud Oneサービスによって収集されたデータは、Trend Micro Cloud One データ収集に関する開示通知に記載されています。
データ暗号化
At REST: データ要素は、データベースに依存しないアプリケーションレベルの暗号化で、AES 256 GCM(データベースやバックアップなど)を使用して保護されます。
転送中: すべての内部ネットワーク通信にTLS 1.2以上が使用されます。セキュリティエージェントと Trend Micro Cloud One との通信には、少なくともTLS 1.2が使用されます(Workload SecurityでTLS 1.2を使用するを参照)。セキュリティエージェントを最新の状態に保ち、利用可能な最新の暗号化機能とセキュリティ修正を利用できるようにする必要があります。セキュリティエージェントが使用する暗号と Trend Micro Cloud One への接続の詳細は、次のとおりです。Workload Security とエージェント間の通信。
データアクセス
トレンドマイクロのオフィスへの立ち入りやネットワークへのアクセスはすべて、承認を受けた者またはその同伴者だけが許可されるよう厳しく管理されています。立ち入りに対してはキーカードシステムを使用し、機密エリアに入るには事前に承認を受けることが義務付けられています。Trend Micro Cloud OneインフラストラクチャはAWS内に配置されています。
Trend Micro Cloud Oneは、インターネットに直接アクセスできない、厳しく制限されたサブネットでホストされています。また、Trend Micro Cloud Oneにアクセスしてメンテナンスタスクを行うのも限られた管理者のみに制限されています。オペレータによるアクセスは、暗号化された安全な接続を介して行われ、複数階層のネットワークとアクセスコントロールによって保護されます。
アクセスは許可された特定のIPアドレスに制限され、SIEMを使用して監視されます。不審なアクセスがあればアラートが生成され、インシデント管理手順に従ってアラートの調査が行われます。
Trend Micro Cloud Oneの処理者/復処理者については、こちらのページをご確認ください。 https://www.trendmicro.com/ja_jp/about/legal/subprocessors.html
セキュリティログ
Trend Micro Cloud Oneサービスは、Cloud Trace、CloudWatch、およびAmazon GuardDutyを使用してサービスを監視します。さらに、サービスでワークロードが使用されている場合、Trend Micro Cloud OneはTrend Micro Cloud Oneエージェントで、不正プログラム対策、ファイアウォール、侵入防御、変更監視、およびセキュリティログ監視を使用します。
Trend Micro Cloud Oneは、自動アラートを有効にし、24時間年中無休のスタッフを配置しています。セキュリティログは、すべてのシステムについて毎日確認されます。セキュリティインシデントが疑われる場合は、ただちにトレンドマイクロのセキュリティオペレーションセンター(SOC)に報告されます。潜在的なインシデントは、疑わしいインシデントの重大度に基づいて優先順位が付けられ、SOCのチームとテクニカルエキスパートが調査を割り当てられます。
これらのログはTrend Micro Cloud Oneアカウントをホストしているリージョンに残り、ユーザはこれらのログにアクセスできません。Cloud Oneの対象地域の詳細については、Trend Micro Cloud Oneリージョンを参照してください。
データのバックアップ
Trend Micro Cloud One のバックアップは毎日実行されます。自動テストは毎週実行され、バックアップの整合性を検証します。バックアップは単一リージョン内の問題のリスクを軽減するために保存されます。バックアップは35日間保存されてから破棄されます。
障害復旧とビジネス継続性(DR)
Trend Micro Cloud One には、ディザスタリカバリ(DR)と事業継続計画(BCP)があります。少なくとも年1回、災害復旧(DR)シミュレーションが実行され、バックアップデータとRTO / RPO要求がISO 27001に基づいて検証されます。
Trend Micro Cloud One の現在のRTOおよびRPO要求については、Trend Micro Cloud One サービス・レベル・アグリーメント (SLA)に記載されています。
R&Dの運用チームは、 Trend Micro Cloud One のさまざまな主要な指標を24時間365日体制で監視しています。
- 監視対象の顧客ワークロードを表すカナリアテナント
- メモリ、CPU、接続、ジョブ/ハートビートのスループット、ハートビートの失敗、データベーストランザクションなどのメトリックのSplunkによる監視
- Site24x7でサードパーティにインタフェースを監視させる
- 年中無休のアラート機能を提供するPagerDuty
弊社の目的は、運用上の指標で問題の初期兆候に積極的に対処し、問題が発生してもお客様が確認できるようにすることです。
Cloud One Workload Security: スケジュールされているかどうかにかかわらず、サービスへの影響は、ユーザのワークロードで実行されている既存のエージェントによる保護には影響しません。サービスが影響を受ける前に有効化されたエージェントは、サービスへのアクセスが復元されるまで、実行中のコンピュータを引き続き保護します。コンピュータに十分なディスク容量があり、次回接続時にエージェントからTrend Micro Cloud Oneにイベントが送信される限り、イベントはキューに登録されます。サービスが復元されると、エージェントは自動的に再接続します。
データ削除
アカウントをキャンセルするプロセスとデータ削除のタイムラインは次のとおりです。アカウントのキャンセル。
ISO 27001には、データの破棄に関する規定があります。Trend Micro Cloud OneとAWSはISO 27001に準拠しています。
お客さまは、トレンドマイクロ (privacy@trendmicro.co.jp) へのメールで、データ削除を要請できます。
従業員のトレーニング
Trend Micro Cloud Oneのソフトウェア開発者は、SANS 25/OWASP Top 10/PCI 6.5に基づく業界標準のカリキュラムでセキュアなコード開発手法についての研修を受けています。年1回、および新規従業員の入社時には、一連の教育を実施しています。全従業員には、トレンドマイクロのインターネット、コンピュータ、リモートアクセス、モバイルデバイスに関する利用ポリシーの遵守が義務付けられています。これらのポリシーに違反した場合、解雇を含む懲戒処分の対象となることがあります。すべての新入社員と契約者は、犯罪歴調査を完了する必要があります。Trend Micro Cloud Oneの開発チームには、製品のセキュリティを担当する専属のスタッフが配置されています。開発ライフサイクルの一環として、セキュリティテスト、セキュアコードレビュー、脅威モデリングを実施しています。トレンドマイクロのセキュアコーディングに関するベストプラクティスの詳細については、「Trend Micro Compliance」をご覧ください。
トレンドマイクロでは、内規にしたがって一定以上の難度のパスワードを利用しています。
変更管理
トレンドマイクロチームでは、お客さまに最新のセキュリティ機能を絶えず安全にお届けするため、なによりも手法の確実性を優先しています。コードレビューや機能テスト、スケールテスト、脆弱性検査、ペネトレーションテストなどを軸とした開発手法に加えて、すべてのサービスのアップデートを安全かつ管理された手法で導入できるように多数の手段を講じています。サービスのアップデートはすべて小規模な差分アップデートとして行い、まずステージング環境にロールアウトしてから、本番環境にロールアウトします。変更はすべて綿密に監視しており、問題発生時に対応するための自動手順および手動手順を複数用意しています。サービスの更新はすべて透明性を確保してお客さまに提供しており、不測の事態が生じた場合には透過的にロールバックを行います。
Trend Micro Cloud One環境におけるアプリケーションのアップグレードは、トレンドマイクロの品質目標を満たして初めて完成になります。トレンドマイクロでは、完全バックアップや承認プロセスなど、変更に関するベストプラクティスを実践しています。Trend Micro Cloud Oneには、専用の開発環境とテスト環境が複数用意されています。要望があった変更はすべて、まず技術関係者がレビューし、当該変更の緊急性および考えられる影響を判断します。すべての変更について、バックアウト計画の文書化を必須としています。これらの変更は、変更管理システムで追跡および記録されています。
脆弱性管理
脆弱性は、絶えず監視され、追跡されています。各脆弱性にはCVSSスコアが割り当てられます。CVSSベースの重大度に応じて脆弱性への対処期間を規定するパッチ要件が、セキュア開発コンプライアンスポリシーに定められています。Trend Micro Cloud One環境内にあるTrend Micro Cloud Oneソフトウェアは、脆弱性の修正を含む、利用可能な最新のコードベースが使用されるように、毎週アップデートされます。Trend Micro Cloud Oneソフトウェアへのパッチ適用とAWSサービスのサポートは、Trend Micro Cloud Oneチームが責任を持って対応しています。お客さまには、ワークロードに配信されたセキュリティエージェントをアップデートする責任があります。
コード分析
Trend Micro Cloud One実稼働環境の脆弱性検索は、PCI認証の検索ベンダ(ASV)Tenable.ioによって毎週実行されます。PCI ASV認証が3か月に1回取得されます。同じベンダが、Trend Micro Cloud One環境の自動化された週1回の内部検索に使用されます。Trend Micro Cloud Oneコードベースは、主要な静的分析セキュリティツールを使用して毎週検索されます。新しい問題が確認されると、自動化されたアラートが開発チームに送信されます。また、製品リリースごとに駆除検索が義務付けられています。Trend Micro Cloud Oneに含まれるサードパーティコンポーネントは、最先端のソフトウェア構成分析ツールを使用して継続的に監視されます。
ペネトレーションテスト
Trend Micro Cloud Oneの実稼働環境に対しては年1回ペネトレーションテストが実施されています。このサードパーティのペネトレーションテストの対象には、アプリケーションセキュリティテスト、内部および外部ネットワークの調査、ネットワーク分離テストなどが含まれています。トレンドマイクロでは、ご要望に応じてペネトレーションテストのレポートをご提供しています。トレンドマイクロのInfoSecチームでは、動的セキュリティ解析ツールを使用し、Trend Micro Cloud OneのWebアプリケーション評価を少なくとも年1回実施しています。
トレンドマイクロの脆弱性対応プログラムの詳細については、「Trend Micro Vulnerability Response」サイトをご覧ください。
インシデント対応
トレンドマイクロでは、トレンドマイクロのセキュリティポリシーへのコンプライアンス確保を担当する専任の情報セキュリティ (InfoSec) チームを設置しています。セキュリティインシデントが確認された場合、Trend Micro Cloud OneのエンジニアからInfoSecチームへの連絡が即座に行われます。さらに、InfoSecチームはTrend Micro Cloud One環境ログを独立して監視しています。セキュリティインシデントが認められた場合、インシデントには重大度に応じた優先度が付けられます。調査、封じ込め措置に関する助言、フォレンジック調査の実施、および通信の管理には、専任の技術専門家チームが割り当てられます。このチームは、インシデントの発生後に根本原因を調査し、調査結果に応じて対応計画の改訂を行います。お客さまデータがかかわる侵害の発生時には、トレンドマイクロはGDPRに定められた義務を履行します。詳細については、「Trend Micro GDPR Compliance」のサイトをご覧ください。
セキュリティ上の問題が疑われる場合は、トレンドマイクロテクニカルサポートサイトまでお問い合わせください。
認証
ISO 27001、ISO 27014、ISO 27017、およびSOC 2
トレンドマイクロおよびトレンドマイクロのクラウドサービスは、業界のベストプラクティスへの遵守を徹底するために、信頼できる外部の監査機関による監査を毎年受けています。ISO 27001は国際規格の1つで、トレンドマイクロの情報セキュリティマネジメントシステム全体を定義するために使用しています。ISO 27001では、人的資源のセキュリティ、アクセスコントロール、運用のセキュリティ、情報セキュリティインシデント管理など、さまざまな項目が対象となっています。SOC 2 Type II認証は、トレンドマイクロのITシステムに対するセキュリティ管理を検証するために使用しています。対象には社内システムだけでなく、SaaSサービスも含まれています。SOC 2 Type IIの項目には、セキュリティ (ファイアウォール、IPSなど)、可用性 (障害復旧、インシデント対応)、機密性 (暗号化、アクセスコントロール)、プライバシー、処理の完全性 (品質保証) があります。
Trend Micro Cloud Oneは、ISO 27001、27014、および27017の認証を取得しています。コンプライアンス証明書は、Trend Micro Privacy and Legal for Complianceでご確認いただけます。
Trend Micro Cloud OneのSOC 2 Type IIの評価が完了しました。Trend Micro Privacy and Legal for Complianceで、SOC 3レポートを入手できます。
PCI DSS
Trend Micro Cloud One は、レベル1サービスプロバイダとしてPCI Data Security Standards 3.2.1の評価を完了しました。PCI-DSSは、カード所有者データに関する制御を強化することを目的としており、セキュリティネットワークとシステムの維持、個人データの保護、システムのメンテナンスと脆弱性の管理などの制御が含まれます。
Trend Micro Cloud One PCIコンプライアンス証明書(AOC)は、Trend Micro Trust Center for Complianceで入手できます。AWSもPCI認定を取得しています。
| Trend Micro Cloud One サービス | PCI DSSレベル1サービスプロバイダ |
|---|---|
| Workload Security | ✔ |
| Network Security | ✔ |
| Application Security | ✔ |
| Container Security | ✔ |
| File Storage Security | ✔ |
| Conformity | ✔ |
| Open Source Security by Snyk |