トレンドマイクロは、デジタル情報の交換を安全にするために世界を支援します。数十年にわたるセキュリティの専門知識、グローバルな脅威調査、継続的な革新により、トレンドマイクロのサイバーセキュリティプラットフォームは、クラウド、ネットワーク、デバイス、エンドポイント全体で何十万もの組織と何百万もの個人を保護しています。クラウドおよびエンタープライズサイバーセキュリティのリーダーとして、トレンドマイクロは、AWS、Microsoft、Googleなどの環境に最適化された強力な高度な脅威防御技術と、より迅速な検出と対応のための中央可視性を提供します。
トレンドマイクロは、お客様とそのデータのセキュリティとプライバシーを確保することに尽力しています。Trend Cloud Oneのリソースは、この取り組みを表しています。詳細については、トレンドマイクロ トラストセンターをご覧ください。
次の表は、Trend Cloud Oneのセキュリティ、プライバシー、およびコンプライアンスに関する最新情報を提供します。
![]() |
![]() |
![]() |
データプライバシー
保護された環境の性質やセキュリティイベントの対象となるオブジェクト (例えば、ファイル、メモリ、ネットワークトラフィック) によっては、セキュリティイベント内で個人情報が収集されるリスクがあります。ターゲット環境の要件を満たし、このリスクを最小限に抑えるために、セキュリティポリシーの設定とモジュールの選択が提供されています。
トレンドマイクロがデータを保護する方法に関する一般情報については、トレンドマイクログローバルプライバシーに関する通知をご覧ください。
トレンドマイクロに送信されるデータおよびそのデータに対する顧客の管理についての詳細は、Cloud Oneデータ収集通知を参照してください。
GDPR
トレンドマイクロは、GDPRを含む適用されるデータ保護法を遵守しています。詳細については、トレンドマイクロGDPRコンプライアンスをご覧ください。
- 適切な場合、トレンドマイクロはGDPRに基づくデータ処理をサポートするために技術的および組織的対策 (TOM) を実施します。
- GDPRの下でのデータ処理者として、トレンドマイクロによる個人データの処理は多くのケースで制限されています。Trend Cloud Oneによって処理されるデータの詳細およびそのデータに対する利用者の管理方法については、各Trend Cloud Oneサービスのデータ収集開示通知に記載されています。
Trend Cloud Oneデータ収集通知
各Trend Cloud Oneサービスのデータ収集通知は、Trend Cloud Oneデータ収集通知にあります。
特定のTrend Cloud Oneリージョンでアカウントが作成されると、すべてのTrend Cloud Oneインフラストラクチャはそのリージョン内にあり、データの所在やデータ主権に関する懸念に役立つ場合があります。Trend
Cloud Oneがカバーするリージョンの詳細については、Trend Cloud Oneリージョンを参照してください。
[Trend Cloud One]では、新しいユーザと役割を定義し、新しいアカウントを作成することができ、サブスクリプション情報も提供されます。その結果、Trend Cloud Oneは個人データを処理する場合があります。詳細については、Trend Cloud Oneデータ収集通知を参照してください。
[Trend Cloud One - Workload Security]はワークロードの保護を担当しています。そのため、Workload Securityは個人データを処理する場合があります。例えば、セキュリティイベントやシステムイベントが発生した場合、処理される情報にはIPアドレスなどの個人データが含まれることがあります。Workload
Securityによって作成されたログデータにも、管理者の名前やIDなどの個人データが含まれることがあります。詳細については、Trend Cloud One - Workload Securityデータ収集通知を参照してください。
[Trend Cloud One - Conformity]はルールを実行し、監視サービスを提供するためにクラウドアカウントデータへのアクセスを必要とします。アカウントアクセスは、クラウドアカウントをサービスに追加するときに最初に付与され、既存のアカウントに対して変更することができます。アカウントアクセスポリシーとルールを構成して、クラウド環境のメタデータへのアクセスと収集を許可することができます。詳細については、Trend Cloud One - Conformity Data Collection Noticeを参照してください。
[Trend Cloud One - Container Security]はAPIキーを使用してKubernetes環境に接続し、個人情報を収集しません。詳細については、Trend Cloud One - Container Securityデータ収集通知を参照してください。
[Trend Cloud One - File Storage Security]はAWS CloudFormationスタックを使用してデプロイされます。選択されたソリューションに応じて、1つから3つのスタックがデプロイされます。収集された情報はFile
Storage Securityに保存され、スタックの管理に使用され、個人情報は含まれません。詳細については、Trend Cloud One - File Storage Securityデータ収集通知を参照してください。
[Trend Cloud One - Network Security]はAWS CloudFormationスタックを使用してデプロイされます。収集された情報には個人情報は含まれません。詳細については、Trend Cloud One - Network Securityデータ収集通知を参照してください。
データのセキュリティ
トレンドマイクロはデータセキュリティの業界標準に準拠しており、一般的なセキュリティ対策の概要を提供します。さらに、Trend Cloud Oneは業界で受け入れられているベストプラクティスを使用してデータを保護します。これには、個々の顧客データの分離やデータの転送時の暗号化が含まれます。顧客データのバックアップは、業界で定義されたベストプラクティスおよびトレンドマイクロのさまざまな認証に従います。たとえば、ISO
27001 (アクセス制御と暗号化のため) およびISO 27017 (クラウドサービスの監視と環境の分離のため) は、トレンドマイクロのバックアップおよびデータ復旧のプロセスを定義するのに役立ちます。
データの隔離
各Trend Cloud Oneサービスごとに、すべての顧客情報は分離されており、顧客が自分のデータにのみアクセスできるようにしています。顧客のメールアドレスなどの連絡先情報は、機密性を確保するために保存時に暗号化されます。Trend
Cloud Oneサービスによって収集されたデータは、Trend Cloud Oneデータ収集開示通知に記載されています。
データの暗号化
保存時の暗号化は、データベースに依存しないアプリケーションレベルの暗号化を使用して、データ要素をAES 256 GCM (例えば、データベースやバックアップ) で保護します。
転送中の暗号化は、ディスクやバックアップメディアに保存されているデータを保護するのに役立ちます。すべての内部ネットワーク通信には、最低でもTLS 1.2が使用されます。セキュリティエージェントとTrend
Cloud One間の通信には、最低でもTLS 1.2が使用されます (Workload SecurityでTLS 1.2を使用するを参照)。最新の暗号化技術とセキュリティ修正を利用するために、セキュリティエージェントを最新の状態に保つ責任があります。セキュリティエージェントとTrend Cloud
Oneへの接続で使用される暗号についての詳細は、Workload Securityとエージェント間の通信を参照してください。
データアクセス
トレンドマイクロのオフィスおよびネットワークへのすべてのアクセスは、許可された個人または同伴者に対して厳密に管理されています。アクセスはキー カード システムを通じて提供され、機密エリアへの入室には承認が必要です。Trend
Cloud OneのインフラストラクチャはAWSにホストされています。
Trend Cloud Oneはインターネットアクセスのない厳しく制限されたサブネットにホストされています。限られた管理者のみがメンテナンス作業のためにTrend
Cloud Oneにアクセスできます。オペレーターアクセスは安全な暗号化接続を介して行われ、複数のネットワークおよびアクセス制御層で保護されています。
アクセスは特定の許可されたIPに制限されており、SIEMで監視されています。疑わしいアクセスがあるとアラートが生成されます。アラートの調査はインシデント管理手順に従って行われます。
トレンドCloud Oneの開発および運用には、下請業者は使用されていません。
セキュリティログ
Trend Cloud Oneサービスは、Cloud Trail、CloudWatch、およびAmazon GuardDutyを使用してサービスをモニタします。さらに、サービスでワークロードが使用されている場合、Trend
Cloud OneはTrend Cloud Oneエージェントを使用して、不正プログラム対策、ファイアウォール、IPS、変更監視、およびログインスペクションをモニタします。
Trend Cloud Oneは自動アラートを有効にし、24時間365日対応のスタッフを配置しています。すべてのシステムのセキュリティログは毎日確認されます。セキュリティインシデントが疑われる場合は、直ちにトレンドマイクロセキュリティオペレーションセンター
(SOC) に報告されます。潜在的なインシデントは、疑われるインシデントの重大度に基づいて優先順位が付けられ、SOCのチームおよび技術専門家が調査に割り当てられます。
これらのログは、Trend Cloud Oneアカウントをホスティングしているリージョンに残り、顧客はこれらのログにアクセスできません。Cloud Oneがカバーするリージョンの詳細については、Trend Cloud Oneリージョンを参照してください。
データのバックアップ
Trend Cloud Oneのバックアップは毎日実施されます。トレンドマイクロのバックアップの一貫性を検証するために、自動テストが毎週実行され、バックアップは単一地域内の問題のリスクを軽減するために保存されます。バックアップは35日間保持され、その後破棄されます。
障害復旧とビジネス継続性 (DR)
Trend Cloud Oneには、災害復旧 (DR) および事業継続計画 (BCP) があります。ISO 27001の下でバックアップデータとRTO/RPOの主張を検証するために、災害復旧
(DR) シミュレーションが少なくとも年に1回実行されます。
Trend Cloud Oneの現在のRTOおよびRPOの主張は、Trend Cloud Oneサービスレベル契約に記載されています。
R&Dオペレーションチームは、Trend Cloud Oneのいくつかの主要な指標を24時間365日監視しています。
- トレンドマイクロが監視する顧客のワークロードを表すカナリアテナント。
- メモリ、CPU、接続、ジョブおよびハートビートのスループット、ハートビートの失敗、データベーストランザクションを含むがこれらに限定されないメトリクスのSplunkモニタリング。
- Site24x7がトレンドマイクロのインターフェースを第三者にモニタさせる。
- 24/7アラートのためのPagerDuty。
トレンドマイクロの目的は、トレンドマイクロの運用指標における問題の初期兆候に対して積極的に対応し、顧客に見える前に問題を修正または軽減することです。
Trend Cloud One Workload Securityに関して、予定されたまたは予定外のサービス中断は、顧客のワークロードで実行されている既存のエージェントによって提供される保護に影響を与えません。サービス中断前にアクティブ化されたエージェントは、サービスへのアクセスが復元されるまで、実行されているコンピュータ上で保護を提供し続けます。コンピュータに十分なディスクスペースがある限り、イベントはキューに入れられ、エージェントは次回接続時にイベントをTrend
Cloud Oneに送信します。サービスが復元されると、エージェントは自動的に再接続します。
データの削除
アカウントのキャンセル手順とデータ削除のタイムラインについては、アカウントのキャンセルに記載されています。
ISO 27001にはデータ破壊に関する規定が含まれています。Trend Cloud OneとAWSの両方がISO 27001に準拠しています。
従業員のトレーニング
Trend Cloud Oneのソフトウェア開発者は、SANS 25/OWASP Top 10/PCI 6.5に基づく業界標準のカリキュラムを使用して、安全なコーディングの実践について訓練を受けています。教育キャンペーンは毎年実施され、従業員が会社に入社した際にも行われます。すべての従業員は、トレンドマイクロのインターネット、コンピュータ、リモートアクセス、およびモバイルデバイスの許容使用ポリシーを遵守する必要があります。これらのポリシーに従わない場合、懲戒処分が行われる可能性があり、解雇を含むことがあります。すべての新入社員および契約社員は、犯罪歴の確認を完了する必要があります。Trend
Cloud Oneの開発チームは、製品のセキュリティを担当する専門スタッフを雇用しています。セキュリティテスト、安全なコードレビュー、および脅威モデリングは、開発ライフサイクルの一部です。トレンドマイクロの安全なコーディングのベストプラクティスについての詳細は、トレンドマイクロコンプライアンスのためのトラストセンターをご覧ください。
トレンドマイクロでは、内規にしたがって一定以上の難度のパスワードを利用しています。
変更管理
トレンドマイクロの顧客が最新のセキュリティ機能を安全かつ信頼性の高い方法で引き続き受け取れるようにすることは、トレンドマイクロチームの重要な優先事項です。コードレビュー、機能テスト、スケールテスト、脆弱性スキャン、ペネトレーションテストに関する開発プラクティスに加えて、トレンドマイクロはサービスの更新を安全かつ管理された方法で導入するために多くの手順を踏んでいます。すべてのサービス更新は、小規模で段階的な更新として導入され、最初にステージング環境に展開され、その後本番環境に展開されます。各変更は厳密に監視され、自動および手動の複数の手順が用意されており、発生する可能性のある状況に対処します。サービスのすべての更新は顧客に対して透明に導入され、予期しない問題が発生した場合には透明にロールバックすることができます。
トレンドCloud One環境内でのアプリケーションのアップグレードは、トレンドマイクロの品質目標を達成した後に完了します。トレンドマイクロは、完全なバックアップと承認プロセスを含むベストプラクティスを変更に適用しています。トレンドCloud
Oneには、複数の専用開発およびテスト環境があります。要求された変更は、まず技術的な関係者によって緊急性と変更の潜在的な影響を判断するためにレビューされます。すべての変更には、文書化されたバックアウトプランが必要です。これらの変更は、変更管理システムで追跡および記録されます。
脆弱性管理
脆弱性は継続的に監視および追跡されます。各脆弱性にはCVSSスコアが割り当てられます。CVSSベースの深刻度に従って脆弱性に対処するための時間枠を指定するパッチ要件は、セキュア開発コンプライアンスポリシーに含まれています。Trend
Cloud One環境のTrend Cloud Oneソフトウェアは、脆弱性修正を含む最新のコードベースを使用するために毎週更新されます。Trend Cloud Oneチームは、Trend
Cloud OneソフトウェアおよびAWSサービスのパッチ適用を担当します。お客様は、ワークロードに展開されたセキュリティエージェントの更新を担当します。
コード解析
Trend Cloud Oneの本番環境の脆弱性スキャンは、PCI認定スキャンベンダー (ASV) であるTenable.ioによって毎週実施されています。PCI
ASVの証明書は四半期ごとに取得されます。同じベンダーがTrend Cloud One環境の自動週次内部スキャンにも使用されています。Trend Cloud Oneのコードベースは、主要な静的解析セキュリティツールを使用して毎週スキャンされます。新しい問題が特定された場合、開発チームは自動アラートを受け取り、各製品リリースにはクリーンスキャンが必要です。Trend
Cloud Oneに含まれるサードパーティコンポーネントは、主要なソフトウェア構成解析ツールを使用して継続的に監視されています。
ペネトレーションテスト
トレンドマイクロのCloud One本番環境は、毎年ペネトレーションテストを受けています。第三者によるペネトレーションテストの範囲には、アプリケーションセキュリティテスト、内部および外部ネットワークスキャン、ネットワークセグメンテーションテストが含まれます。トレンドマイクロは、要請に応じてペネトレーションテストの報告書を提供できます。トレンドマイクロの情報セキュリティ部門は、主要なリリースごとに、または少なくとも年に一度、主要な動的解析セキュリティツールを使用して、Cloud
Oneのウェブアプリケーション評価を実施しています。
トレンドマイクロの脆弱性対応プログラムの詳細については、トレンドマイクロ脆弱性対応を参照してください。
インシデント対応
トレンドマイクロには、トレンドマイクロのセキュリティポリシーの遵守を確保する責任を負う専任の情報セキュリティ (InfoSec) チームがあります。セキュリティインシデントが発見された場合、Cloud
Oneのエンジニアは直ちにInfoSecチームに連絡します。さらに、InfoSecは独自にCloud One環境のログを監視します。セキュリティインシデントが発見された場合、インシデントは重大度に基づいて優先順位が付けられます。技術専門家の専任チームが調査、封じ込め手順の助言、フォレンジックの実施、およびコミュニケーションの管理を担当します。インシデント後、チームは根本原因を調査し、それに応じて対応計画を修正します。顧客データが関与する侵害が発生した場合、トレンドマイクロはGDPRに基づく義務を遵守します。詳細については、トレンドマイクロGDPRコンプライアンスをご覧ください。
セキュリティインシデントの疑いがある場合は、トレンドマイクロテクニカルサポートにご連絡ください。
認証
ISO 27001、ISO 27014、ISO 27017、SOC2
トレンドマイクロおよびトレンドマイクロクラウドサービスは、業界のベストプラクティスに準拠していることを確認するために、信頼できる外部監査人による年次監査を受けています。ISO
27001は、トレンドマイクロの全体的な情報セキュリティ管理システムを定義するために使用される国際標準です。ISO 27001には、人材セキュリティ、アクセス制御、運用セキュリティ、情報セキュリティインシデント管理などの項目が含まれます。SOC
Type II認証は、トレンドマイクロのITシステムに対するセキュリティ管理を検証するために使用され、トレンドマイクロの内部システムおよびSaaS提供も含まれます。SOC
Type IIの管理には、セキュリティ (例: ファイアウォール、IPS)、可用性 (災害復旧およびインシデント対応)、機密性 (暗号化およびアクセス制御)、プライバシーおよび処理の完全性
(品質保証) などの項目が含まれます。
Trend Cloud OneはISO 27001、27014、27017の認証を取得しており、コンプライアンス証明書はトレンドマイクロコンプライアンス信頼センターでご確認いただけます。
Trend Cloud OneはSOC 2 TYPE 2評価を完了しており、SOC 3レポートおよびSOC 2レポートのリクエストフォームはトレンドマイクロコンプライアンス信頼センターでご覧いただけます。
PCI DSS
Trend Cloud Oneは、レベル1サービスプロバイダとしてPCIデータセキュリティ基準4.0の評価を完了しました。PCI-DSSは、カード所有者データに関する管理を強化することを目的としており、セキュリティネットワークおよびシステムの維持、個人データの保護、システムの保守および脆弱性管理などの管理を含みます。
トレンドマイクロCloud One PCI準拠証明書 (AOC) はトレンドマイクロコンプライアンス信頼センターで入手できます。AWSもPCI認定を受けています。
Trend Cloud One サービス
|
PCI DSS レベル 1 サービスプロバイダ
|
Workload Security
|
✔
|
Network Security
|
✔
|
Application Security
|
|
Container Security
|
✔
|
File Storage Security
|
✔
|
Conformity
|
✔
|
Cloud Sentry
|
✔
|