Trend Micro Cloud One™セキュリティ、コンプライアンス、データプライバシー
セキュリティ分野で世界をリードするトレンドマイクロは、企業やユーザがデジタル情報を安全にやり取りできる革新的なセキュリティソリューションを開発しています。30年以上のセキュリティ専門知識を持つ当社は、サーバのセキュリティ、クラウドのセキュリティ、およびビジネスセキュリティの中小企業におけるマーケットリーダーとして評価されています。
トレンドマイクロは、お客さまの信頼を獲得し、これを維持することに努めています。次のリソースは、セキュリティ、プライバシー、透過性、および業界で認められている標準への準拠に対する当社のコミットメントを示しています。
![]() コンプライアンス |
![]() プライバシー |
![]() セキュリティ |
PCI DSS
Qualified PCI Auditor Coalfireが、Trend Micro Cloud One - Application Security、Trend Micro Cloud One - Network Security、およびTrend Micro Cloud One - Workload Security がPCIデータを完成しました。セキュリティ基準3.2.1レベル1サービスプロバイダとしての評価。
Trend Micro Cloud One PCI Attestation of Compliance(AOC)は、ご要望に応じて入手できます。 AWSもPCI認定を取得しています。
Trend Micro Cloud One サービス | PCI DSSレベル1サービスプロバイダ |
Workload Security | ✔ |
Network Security | ✔ |
Application Security | ✔ |
Container Security | |
File Storage Security |
ISO 27001
ISO 27001は、情報セキュリティ管理システムの要件を規定する国際的に認知されているセキュリティ標準です。トレンドマイクロの担当者に問い合わせるか、サポート事例を開いてこの証明書のコピーを要求してください。
ISO 27014
ISO 27014 は、情報セキュリティのガバナンスの概念と原則に関するガイダンスを提供する国際的に認知されたセキュリティ基準であり、組織内で情報セキュリティ関連の活動を評価、指揮、監視、および伝達できるようになっています。Trend Micro Cloud One のISO 27014証明書は、 トレンドマイクロ製品認定サイトで確認できます。
ISO 27017
ISO 27017 は、ISO / IEC 27002に規定された関連する統制のための追加の実装ガイダンスと具体的に関連するインプリメンテーションガイダンスを含む追加の統制を提供することにより、クラウドサービスの提供と使用に適用される情報セキュリティ管理のガイドラインを提供する、国際的に認められているセキュリティ標準です。クラウドサービスTrend Micro Cloud One のISO 27017証明書は、 トレンドマイクロ製品認定サイトで確認できます。
SOC
システムおよび組織のコントロール(SOC)レポートは、独立した第三者による調査レポートで、トレンドマイクロがどのようにコンプライアンスの主要なコントロールと目的を果たしているかを示しています。これらのレポートの目的は、運用およびコンプライアンスをサポートするためにセキュリティ管理策を確立する方法をお客様および監査担当者が理解できるよう支援することです。
トレンドマイクロ製品認定サイトには、SOC 3 Type II Security、Availability&Confidentiality Report for Trend Micro Cloud One があります。
SOC 2 Type IIのセキュリティ、可用性&Trend Micro Cloud One は、要望に応じて提供されます。このレポートを要求するには、トレンドマイクロの担当者に問い合わせるか、サポートケースを開いてください。
GDPR
Trend Micro Cloud One は、GDPRに基づく準備を完了し、すべての義務を果たしています。
- GDPRにおけるデータの処理をサポートするために、トレンドマイクロは、必要に応じて「TOM (Technical and Organization Measures: 技術的および組織的対応)」を実践します。
- GDPRに基づくデータプロセッサとして、私たちの「個人データ」の処理は多くの場合制限されています。Trend Micro Cloud One で処理されるデータの詳細と、そのデータに対して使用可能なコントロールについては、Trend Micro Cloud One サービスごとの Data Collection Disclosure に記載されています。
詳細については、トレンドマイクロの Cloud One サービスごとに、 トレンドマイクロのGDPRコンプライアンス サイト、 プライバシーのホワイトペーパー、および のプライバシーと個人情報収集の開示 を参照してください。
レコードの保護
ユーザとソフトウェアとインフラストラクチャ間の通信はすべて、業界で認められている暗号とアルゴリズムを使用して暗号化されます。それらの暗号とアルゴリズムは、古いまたは安全性の低い暗号や暗号スイートを廃止するなど、調整の必要性を判断するために絶えずレビューされます。収集して保存するレコードを保護する方法の詳細については、次のドキュメントを参照してください。
よくある質問
Trend Micro Cloud One
トレンドマイクロの従業員はどのように訓練されているのですか
トレンドマイクロの全従業員は、雇用時および年に1回セキュリティ意識トレーニングコースを受講します。すべての従業員は、トレンドマイクロのインターネット、コンピュータ、リモートアクセス、およびモバイルデバイスで使用可能なポリシーに従わなければなりません。これらのポリシーに違反した場合、懲戒処分を受ける可能性があります。懲戒処分には、解雇が含まれます。新たに採用されるすべての従業員と契約業者は、犯罪歴調査を終了している必要があります。
トレンドマイクロのパスワードポリシーと標準について教えてください。
トレンドマイクロは、次のパスワードポリシーと基準を固守しています。
- すべてのパスワードは、最低でも3か月ごとに変更する。
- メールメッセージやその他の形態の電子通信にパスワードを挿入してはならない。
- パスワードを他人と共有したり他人に明かしたりしてはならない。
- セキュリティ侵害が疑われる場合、ただちにパスワードを変更する。
- パスワードは暗号化した状態で伝送し、ソルトでハッシュ化して保存する。
- パスワードは英数字8文字以上にする。
- パスワードには、大文字と小文字の両方を含める (例: a-z、A-Z)。
- パスワードの再利用制限を実施する。
- 個人情報や名字などを使用したパスワードは使用しない。
トレンドマイクロのインフラストラクチャへのアクセスを制御するには
Trend Microインフラストラクチャへのリモートアクセスは、厳密に制御および監視されます。すべての認証方法には、業界のベストプラクティスと標準が用いられ、証明書ベースの認証や多要素認証などが取り入れられています。必要に応じて、 Active Directoryを利用するシングルサインオン(SSO)が使用されます。
Trend Micro Cloud One は、どのような変更管理慣行に従っていますか?
Trend Micro Cloud One 環境内でのアプリケーションのアップグレードは、品質目標を満たした後に完了します。トレンドマイクロでは、完全バックアップや承認プロセスなど、変更のためのベストプラクティスを用いています。Trend Micro Cloud One には、複数の開発環境とテスト環境があります。要求された変更は、まず技術関係者が確認して、その緊急性と潜在的な影響を判断します。すべての変更には、バックアウト計画を文書化しておくことが要求されます。それらの変更は、変更管理システムで追跡されて記録されます。
物理的なセキュリティにはどう対処していますか
トレンドマイクロのオフィスやネットワークへの立ち入りはすべて厳しくコントロールされ、承認を受けた者だけが許されるか、付き添いが条件となります。立ち入り許可はキーカードシステムによって与えられ、機密エリアに入るためには、あらかじめ承認が必要となります。Trend Micro Cloud One インフラストラクチャは、AWSでホストされています。
トレンドマイクロのインシデント対応計画を教えてください
トレンドマイクロには、そのセキュリティポリシーの遵守徹底を担う専門の情報セキュリティ (InfoSec) チームが存在します。トレンドマイクロの Cloud One のエンジニアは、セキュリティイベントが検出された場合にただちにInfoSecチームに問い合わせます。また、InfoSphere Control Managerは、Trend Micro Cloud One 環境ログを個別に監視します。セキュリティインシデントが発覚した場合、重大度に応じてインシデントに優先順位が付けられます。調査、封じ込め手順に関する助言、フォレンジックスの実施、通信の管理にあたる専門の技術者チームが割り当てられます。インシデントの発生後、このチームによって根本原因が調査され、それに応じて対応計画が見直されます。顧客データを含む侵害が発生した場合、トレンドマイクロは、GDPRにおけるその義務を履行します。詳細については、https://www.trendmicro.com/ja_jp/business/capabilities/solutions-for/gdpr-compliance/our-journey.htmlを参照してください。
開発チームは、セキュアコーディングプラクティスに従っていますか
Trend Micro Cloud One ソフトウェア開発者は、SANS 25 / OWASP Top 10 / PCI 6.5に準拠した業界標準のカリキュラムを使用して、安全なコーディング慣行の訓練を受けています。教育活動は、年に1回および従業員が入社したときに実施されます。トレンドマイクロの Cloud One 開発チームは、製品のセキュリティを専門とするスタッフを採用しています。セキュリティテスト、セキュアコードレビュー、脅威モデリングは、開発ライフサイクルの構成要素となっています。安全なコーディングのベストプラクティスの詳細については、 https://www.trendmicro.com/ja_jp/about/legal/product-certifications.htmlを参照してください。
脆弱性とパッチはどのように取り扱われていますか
脆弱性は絶えず監視され、追跡されます。それぞれの脆弱性には、CVSSスコアが割り当てられます。セキュア開発コンプライアンスポリシーには、CVSSベースの重大度に応じて脆弱性への対処期間を規定するパッチ要件が含まれています。トレンドマイクロの Cloud One 環境にあるTrend Micro Cloud One ソフトウェアは、脆弱性修正を含む最新の利用可能なコードベースを使用するよう毎週更新されます。Trend Micro Cloud One チームは、Trend Micro Cloud One ソフトウェアへのパッチ適用とAWSサービスのサポートを担当しています。クライアントのワークロードにインストールされているDeep Security Agentは、クライアントの責任でアップデートすることになります。
データはどのようにバックアップおよび保護されますか?
すべての機密データ要素は、AES 256 GCMを使用した、データベースに依存しないアプリケーションレベルの暗号化により保護されます。自動テストは毎週実行され、バックアップの一貫性を検証します。バックアップは、単一の地域内での問題のリスクを軽減するために保存されます。バックアップは35日間保存されてから破棄されます。少なくとも年1回、災害復旧(DR)シミュレーションが実行され、バックアップデータとRTO / RPO要求がISO 27001に基づいて検証されます。
時計同期は、トレンドマイクロの Cloud Oneの使用に関連していますか? クラウドサービスクロックとローカルクロックを同期するにはどうすればよいですか?
はい、時計の同期は関連しています。サイバーセキュリティの調査では、イベントのタイムラインを理解するために同期された時間を持つ必要があります。Trend Micro Cloud One では、公開された時刻ソースを使用してNTPを使用します。トレンドマイクロの Cloud One で使用されているシステムの時刻設定も、同期がとれるようにパブリック時刻ソースと同期する必要があります。NTPおよび公開タイムソースの詳細については、 http://www.ntp.org/を参照してください。
セキュリティインシデントはどのように処理されますか?
セキュリティイベントが発生した場合、トレンドマイクロはGDPR:https://www.trendmicro.com/en_ca/about/legal/privacy-whitepapers.html?modal=wp-deep-security-saas-gdprpdf および https://www.trendmicro.com/ja_jp/business/capabilities/solutions-for/gdpr-compliance/our-journey.html、および使用許諾契約書に記載されている職責https://www.trendmicro.com/ja_jp/about/legal.html#t4に基づく義務を遵守します。
セキュリティイベントの報告方法を教えてください。 セキュリティイベントに関する質問がある場合はどうすればいいですか?
https://success.trendmicro.com/jp/technical-supportにお問い合わせください。
脆弱性を報告できますか?脆弱性対策プログラムがありますか?
はい、できます。プログラムの詳細については、 https://success.trendmicro.com/jp/vulnerability-responseを参照してください。
Trend Micro Cloud One は脆弱性および侵入テストを実行しますか?
Trend Micro Cloud One の運用環境の脆弱性検索は、PCI認定検索ベンダー(ASV), Tenable.io)によって週1回行われます。PCI ASV認証が3か月に1回取得されます。同じベンダが、Trend Micro Cloud One 環境の自動化された週1回の内部検索に使用されます。Trend Micro Cloud One SecurityソフトウェアおよびTrend Micro Cloud One Storage Securityの本番環境では、一般的なセキュリティ上の問題を検出および修正するために、サードパーティのセキュリティエキスパートによる年間侵入テストが実施されています。サードパーティの侵入テストの範囲には、アプリケーションセキュリティテスト、内部ネットワーク検索と外部ネットワーク検索、ネットワークセグメンテーションテストが含まれます。トレンドマイクロのInfoSecでは、トレンドマイクロの Cloud One のWebアプリケーション評価を主要なリリースに対して実施しています。また、主要な動的分析セキュリティツールを少なくとも毎年使用しています。Trend Micro Cloud One コードベースは、主要な静的解析セキュリティツールを使用して毎週検索されます。新しい問題が確認されると、自動化されたアラートが開発チームに送信されます。また、製品リリースごとに駆除検索が義務付けられています。トレンドマイクロの Cloud One に含まれるサードパーティのコンポーネントは、主要なソフトウェア構成分析ツールを使用して継続的に監視されます。
Workload Security
Workload Security はどのようにセキュリティログを監視しますか?
Workload Security 保護モジュールは、 Workload Security の運用ワークロードに対するセキュリティイベントを生成します。 Workload Security から収集されたセキュリティイベントは、中央のSIEMに転送されます。セキュリティイベントは、関連したすべての保護モジュールで生成されます (不正プログラム対策、ファイアウォール、侵入防御、変更監視、セキュリティログ監視)。その他のAWSログ (CloudTrail、CloudWatch)、システムログ、データベースログは、SIEMに転送されます。 Workload Security イベント管理コンソールおよびSIEMは、役割に基づいて制限されています。
Workload Security では、自動アラートが有効になり、24時間体制のオンコールスタッフが雇用されます。セキュリティログは、すべてのシステムについて毎日確認されます。セキュリティイベントが疑われる場合は、ただちにTrend Micro Security Operations Center(SOC)に報告されます。この兆候は、疑われるインシデントの重大度に応じた優先順位が付けられ、調査要員としてSOCのチームおよび技術者が割り当てられます。
Workload Security では機密情報をどのように処理しますか?
それぞれのテナントの情報は、専用のデータベーススキーマを使用して分離されます。この情報のアクセスと保管は厳しくコントロールされ、診断とサポートの目的でのみ使用されます。クライアントの連絡先の詳細(メールアドレスなど)は、クライアントの管理目的で暗号化されて保持されます。トレンドマイクロに送信されたデータとそのデータに対するユーザコントロールは、 Workload Security データ収集ディスクロージャにあります。
どのようにしてデータを保護しますか?
すべての内部ネットワーク通信に最低限のTLS 1.2が使用されます。最小TLS 1.2は、 Deep Security Agentと Workload Security: https://cloudone.trendmicro.com/docs/jp/workload-security/crypto-tls-version/間の通信に使用されます。 お客様はDeep Security Agentが最新の状態に保たれ、最新の暗号化およびセキュリティ修正が利用可能であることを確認する責任があります。Deep Security Agentで使用される暗号の詳細と Workload Security への接続については、ここをクリックしてください: https://cloudone.trendmicro.com/docs/jp/workload-security/communication-manager-agent/。
どのようにデータを安心して保護しますか?
すべての機密データ要素は、AES 256 GCMを使用した、データベースに依存しないアプリケーションレベルの暗号化により保護されます。各テナントには、トレンドマイクロが生成する暗号化キーがあります。テナントキーは、AWS Key Management Service(KMS)を使用して保護されたマスターキーで暗号化されます。限られた数の Workload Security チームメンバーのみがKMSにアクセスできます。
Application Security
Application Security はどのようにセキュリティログを監視しますか?
Application Security から収集されたセキュリティイベントは、Amazon GuardDutyおよびAmazon Cloudwatchを使用して識別され、アラートはロールに基づいて制限され、24時間体制のオンコールコールセンターによる自動アラートが有効になります。セキュリティログは、すべてのシステムについて毎日確認されます。セキュリティイベントが疑われる場合は、ただちにTrend Micro Security Operations Center(SOC)に報告されます。この兆候は、疑われるインシデントの重大度に応じた優先順位が付けられ、調査要員としてSOCのチームおよび技術者が割り当てられます。
Application Security では機密情報をどのように処理しますか?
設計上、 Application Security は個人データを処理しません。トレンドマイクロに送信されたデータとそのデータに対するユーザコントロールは、 Application Security データ収集ディスクロージャにあります。
Container Security
Container Security はどのようにセキュリティログを監視しますか?
AWSログ(CloudTrail、CloudWatch), システム、およびセキュリティログは継続的に監視されます。Container Security では、自動アラートが有効になり、24時間体制のコール・オン・スタッフが雇用されます。セキュリティイベントが疑われる場合は、ただちにTrend Micro Security Operations Center(SOC)に報告されます。この兆候は、疑われるインシデントの重大度に応じた優先順位が付けられ、調査要員としてSOCのチームおよび技術者が割り当てられます。
Container Security では機密情報をどのように処理しますか?
各顧客の情報は、専用のデータベース・パーティションを使用して区別されます。この情報のアクセスと保管は厳しくコントロールされ、診断とサポートの目的でのみ使用されます。個人情報(PII)は、 Container Security サービスによって直接収集されることはありません。トレンドマイクロに送信されたデータとそのデータに対するユーザコントロールは、 Container Security データ収集ディスクロージャにあります。
Network Security
Network Security はどのようにセキュリティログを監視しますか?
Network Security から収集されたセキュリティイベントは、Amazon GuardDutyおよびAmazon Cloudwatchを使用して識別され、アラートはロールに基づいて制限され、24時間体制のオンコールコールセンターによる自動アラートが有効になります。セキュリティログは、すべてのシステムについて毎日確認されます。セキュリティイベントが疑われる場合は、ただちにTrend Micro Security Operations Center(SOC)に報告されます。この兆候は、疑われるインシデントの重大度に応じた優先順位が付けられ、調査要員としてSOCのチームおよび技術者が割り当てられます。
Network Security では機密情報をどのように処理しますか?
アプリケーションの秘密情報は、Amazon KVMキーを使用して暗号化されたAmazon S3バケットに保存されます。アプリケーションは、エンベロープ暗号化を使用してデータの復号化を許可されています。トレンドマイクロに送信されたデータとそのデータに対するユーザコントロールは、 Data Collection Disclosureにあります。
File Storage Security
File Storage Security はどのようにセキュリティログを監視しますか?
私たちはAWS(Amazon GuardDutyとAmazon CloudWatch)にアラートシステムを持っています。また、潜在的なセキュリティイベントが報告されるSlackチャネルもあります。
File Storage Security では機密情報をどのように処理しますか?
設計上、 File Storage Security は個人データを処理しません。トレンドマイクロに送信されたデータとそのデータに対するユーザコントロールは、 File Storage Security データ収集ディスクロージャーにあります。