ビュー:
トレンドマイクロはサイバーセキュリティの世界的リーダーとして、デジタルインフォメーションを安全に交換できる世界の実現に取り組んでいます。トレンドマイクロのサイバーセキュリティプラットフォームでは、数十年にわたって蓄積したセキュリティの専門知識と国際的な脅威研究、および継続的イノベーションの成果を活用して、クラウドからネットワーク、デバイス、エンドポイントにわたり数十万の組織と数百万の個人ユーザを保護しています。トレンドマイクロのプラットフォームは、クラウドおよび企業のサイバーセキュリティの先進的存在として、AWSやMicrosoft、Googleなどの各種環境向けに最適化された高度な脅威対策を豊富に備え、一元的な可視化によって検出と対応の効率化および迅速化を実現します。
トレンドマイクロでは、お客さまおよびお客さまのデータのセキュリティとプライバシーを重視しています。以下は、セキュリティ、プライバシー、透明性、および業界標準へのコンプライアンスに対するトレンドマイクロの取り組みを紹介するウイルスバスター ビジネスセキュリティサービスの資料です。詳細については、「Trend Micro Privacy and Legal」をご覧ください。
以下に、ウイルスバスター ビジネスセキュリティサービスのセキュリティ、プライバシー、コンプライアンスの最新情報を示します。

データプライバシー

トレンドマイクロのお客さまデータの保護方針に関する一般情報については、「Trend Micro Global Privacy Notice」をご覧ください。
保護対象の環境およびセキュリティイベントの対象となるオブジェクト (ファイル、メモリ、ネットワークトラフィックなど) の性質によっては、セキュリティイベント内で個人情報が収集される可能性があります。お客さまの対象環境の要件に準拠しこの可能性を最小限に抑えるために、セキュリティポリシーの設定およびモジュールの選択が行えるようになっています。
トレンドマイクロに送信されるデータおよび当該データに対するお客さまの管理についての詳細は、「ウイルスバスタービジネスセキュリティサービスのデータ収集について」をご覧ください。

GDPR

トレンドマイクロは、GDPRをはじめとする関連法令を遵守しています。詳細については、「Trend Micro GDPR」のサイトをご覧ください。
  • 必要に応じ、GDPRに即したデータ処理に対応するために技術上および組織上の措置 (TOM) を講じています。
  • GDPR に定められたデータ処理者として、個人データの処理はいくつかのケースに限られています。ウイルスバスター ビジネスセキュリティサービスの処理対象データの詳細、およびデータに対するお客さまの管理権限については、「ウイルスバスタービジネスセキュリティサービスのデータ収集について」をご覧ください。

ウイルスバスター ビジネスセキュリティサービスのデータ収集について

ウイルスバスター ビジネスセキュリティサービスの一部の機能は、お客さまの製品の利用状況や検出にかかわる情報を収集してトレンドマイクロに送信します。詳細については、「ウイルスバスタービジネスセキュリティサービスのデータ収集について」をご覧ください。

データのセキュリティ

トレンドマイクロでは、データのセキュリティに関する業界標準を遵守し、一般的なセキュリティ手法の概要を提供しています。また、ウイルスバスタービジネスセキュリティサービスでは、データの保護のために業界で認められたベストプラクティスを採用しています。これには、個々のお客さまデータの隔離や送信データの暗号化が含まれます。お客さまデータのバックアップは業界で定められているベストプラクティスに従って行われています。バックアップとデータ回復のプロセスは、ISO 27001 (アクセスコントロールおよび暗号化技術) や ISO 27017 (クラウドサービスの監視および環境の隔離) など、トレンドマイクロが取得済みの各種認証を参考にして定義されています。
利用可能なウイルスバスタービジネスセキュリティサービス地域を選択して、ビジネスセキュリティサービスコンソールをプロビジョニングし、すべてのデータレイクサービスとデータを保存および処理できます。ユーザは、ウイルスバスタービジネスセキュリティサービスへのアクセス権を制限する役割をユーザに割り当てることができます。これには、サポートアクセスの許可、対応処理、エンドポイントからのファイルの収集、読み取り専用アクセスへのユーザの制限などが含まれます。
保存データは、データが存在するクラウド内のネイティブクラウドテクノロジによって保護されます。お客さまデータには、データスキーマの一部として取り込み中に「お客さまID」タグが付けられます。トレンドマイクロアプリケーションの内部データアクセスレイヤでは、この「お客さまID」パラメータがなければデータにアクセスできません。クエリでは一度に1つの「お客さまID」にしかアクセスできないため、この措置によってお客さまデータへの別の利用者からのアクセスを防止しています。「お客さまID」をお客さまがサービスの利用中に直接提供することはありません。このIDはアプリケーション自体によって処理されます。これにより、攻撃者が不正なお客さまIDを渡してもデータセットにアクセスできないようになっています。
ウイルスバスタービジネスセキュリティサービスは、データ転送には可能な限りTLS 1.2 を使用します。
サポートされている暗号:
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256

データの隔離

お客さまの情報はすべて、お客さまが各自のデータにのみアクセスできるように分離されています。お客さまデータには、データスキーマの一部として取り込み中に「お客さまID」タグが付けられます。トレンドマイクロアプリケーションの内部データアクセスレイヤでは、この「お客さまID」パラメータがなければデータにアクセスできません。クエリでは一度に1つの「お客さまID」にしかアクセスできないため、この措置によってお客さまデータへの別の利用者からのアクセスを防止しています。「お客さまID」をお客さまがサービスの利用中に直接提供することはありません。このIDはアプリケーション自体によって処理されます。これにより、攻撃者が不正なお客さまIDを渡してもデータセットにアクセスできないようになっています。
メールアドレスなどのお客さまの連絡先情報は、機密保持のために暗号化されて保存されます。ウイルスバスター ビジネスセキュリティサービスの収集対象データの一覧は、「ウイルスバスタービジネスセキュリティサービスのデータ収集について」に記載されています。

データの暗号化

ウイルスバスター ビジネスセキュリティサービスによって処理された情報は、転送中と保存中の両方で暗号化され、初期セットアップ時にユーザが選択したリージョンのウイルスバスター ビジネスセキュリティサービスノードに送信されます。
保存データ: 保存データは、AWSネイティブのクラウド技術 (データベースやバックアップなど) によって保護されます。
転送中データ: ウイルスバスター ビジネスセキュリティサービスとお客さまが利用されているセキュリティエージェント間のすべての通信は、TLS 1.2で設定された安全なHTTPS接続を介して送信されます

データアクセス

トレンドマイクロのオフィスへの立ち入りやネットワークへのアクセスはすべて、承認を受けた者またはその同伴者だけが許可されるよう厳しく管理されています。立ち入りに対してはキーカードシステムを使用し、機密エリアに入るには事前に承認を受けることが義務付けられています。ウイルスバスター ビジネスセキュリティサービスのインフラストラクチャは、AWSでホストされています。
ウイルスバスター ビジネスセキュリティサービスは、インターネットに直接アクセスできない、厳しく制限されたサブネットでホストされています。また、ウイルスバスター ビジネスセキュリティサービスにアクセスしてメンテナンスタスクを行うのも限られた管理者のみに制限されています。オペレータによるアクセスは、暗号化された安全な接続を介して行われ、複数階層のネットワークとアクセスコントロールによって保護されます。
アクセスは許可された特定のIPアドレスに制限され、Trend Micro Deep Security (Trend Micro Cloud One Endpoint & Workload Security)を使用して監視されます。不審なアクセスがあればアラートが生成され、インシデント管理手順に従ってアラートの調査が行われます。
ウイルスバスター ビジネスセキュリティサービスの処理者/復処理者については、こちらのページをご確認ください。https://www.trendmicro.com/ja_jp/about/legal/subprocessors.htm

セキュリティログ

ウイルスバスター ビジネスセキュリティサービスは、Trend Micro Cloud One Agentを使用して監視を行い、不正プログラム対策、Webレピュテーション、侵入防御、アクティビティ監視、変更監視、およびセキュリティログ監視を実施しています。インフラストラクチャへのすべてのアクセス、Microsoft Azureが提供するネイティブセキュリティサービスによって、監視され、記録されます。
ウイルスバスター ビジネスセキュリティサービスでは自動アラートが有効になっており、24時間年中無休でスタッフを配置しています。セキュリティログは、すべてのシステムについて毎日確認されます。セキュリティインシデントが疑われる場合は、ただちにトレンドマイクロのセキュリティオペレーションセンター (SOC) に報告されます。潜在的なインシデントがあれば、疑わしいインシデントの重大度に基づいて優先順位が付けられ、SOCのチームとテクニカルエキスパートが調査に対応します。
これらのログは、ウイルスバスター ビジネスセキュリティサービスアカウントをホストしているリージョンにとどまり、お客さまがこれらのログにアクセスできません。ウイルスバスター ビジネスセキュリティサービスがカバーしているリージョンの詳細については、「ウイルスバスタービジネスセキュリティサービスのデータ収集について」をご覧ください。

データの保持

ウイルスバスター ビジネスセキュリティサービスは、ログの保持に関して、ある目的のために収集したデータがその目的では不要になった場合にデータを消去する保持ポリシーを適用します。ウイルスバスター ビジネスセキュリティサービスは収集された未加工情報を30日間保持します。ライセンスの有効期限が切れると、すべてのデータは、60日 (30日の猶予期間と30日のロック期間) 後に自動的に削除されます。

データのバックアップ

ウイルスバスター ビジネスセキュリティサービスデータベースは毎日バックアップされ、複数のコピーで個別に保持されます。障害復旧を目的として、定期的にバックアップデータの検証テストが実行されます。バックアップの標準とポリシー、手順、および制御は、社内およびサードパーティの評価者によって検証、文書化、および監査されます。

障害復旧とビジネス継続性 (DR)

トレンドマイクロでは、BIAの結果に基づいて情報処理業務のBCPを作成し、BCP訓練を少なくとも年1回実施しています。このBCPはISO 27001認証の対象になっています。
ウイルスバスター ビジネスセキュリティサービスには次の目標が設定されています。
  • 目標復旧時間 (RTO) - 2時間
  • 目標復旧時点 (RPO) - 24時間
データベースには、問題を軽減するためのリアルタイムのレプリケーションと毎日のバックアップがあります。

データの削除

データ削除のリクエストを送信するには、次のサイトにアクセスしてください。
ISO 27001には、データの破棄に関する規定があります。ウイルスバスター ビジネスセキュリティサービス、Microsoft Azure、およびAWSはISO 27001に準拠しています。
お客さまは、トレンドマイクロ (privacy@trendmicro.co.jp) へのメールで、データ削除を要請できます。

従業員のトレーニング

ウイルスバスター ビジネスセキュリティサービスのソフトウェア開発者は、SANS 25/OWASP Top 10に基づく業界標準のカリキュラムでセキュアなコード開発手法についての研修を受けています。年1回、および新規従業員の入社時には、一連の教育を実施しています。全従業員には、トレンドマイクロのインターネット、コンピュータ、リモートアクセス、モバイルデバイスに関する利用ポリシーの遵守が義務付けられています。これらのポリシーに違反した場合、解雇を含む懲戒処分の対象となることがあります。ウイルスバスター ビジネスセキュリティサービスの開発チームには、製品のセキュリティを担当する専属のスタッフが配置されています。開発ライフサイクルの一環として、セキュリティテスト、セキュアコードレビュー、脅威モデリングを実施しています。トレンドマイクロのセキュアコーディングに関するベストプラクティスの詳細については、「Trend Micro Compliance」をご覧ください。
トレンドマイクロでは、内規にしたがって一定以上の難度のパスワードを利用しています。

変更管理

トレンドマイクロチームでは、お客さまに最新のセキュリティ機能を絶えず安全にお届けするため、なによりも手法の確実性を優先しています。コードレビューや機能テスト、スケールテスト、脆弱性検査、ペネトレーションテストなどを軸とした開発手法に加えて、すべてのサービスのアップデートを安全かつ管理された手法で導入できるように多数の手段を講じています。サービスのアップデートはすべて小規模な差分アップデートとして行い、まずステージング環境にロールアウトしてから、本番環境にロールアウトします。変更はすべて綿密に監視しており、問題発生時に対応するための自動手順および手動手順を複数用意しています。サービスの更新はすべて透明性を確保してお客さまに提供しており、不測の事態が生じた場合には透過的にロールバックを行います。
ウイルスバスター ビジネスセキュリティサービス環境におけるアプリケーションのアップグレードは、トレンドマイクロの品質目標を満たして初めて完成になります。トレンドマイクロでは、完全バックアップや承認プロセスなど、変更に関するベストプラクティスを実践しています。ウイルスバスター ビジネスセキュリティサービスには、専用の開発環境とテスト環境が複数用意されています。要望があった変更はすべて、まず技術関係者がレビューし、当該変更の緊急性および考えられる影響を判断します。すべての変更について、バックアウト計画の文書化を必須としています。これらの変更は、変更管理システムで追跡および記録されています。

脆弱性管理

脆弱性は、絶えず監視され、追跡されています。各脆弱性にはCVSSスコアが割り当てられます。CVSSベースの重大度に応じて脆弱性への対処期間を規定するパッチ要件が、セキュア開発コンプライアンスポリシーに定められています。ウイルスバスター ビジネスセキュリティサービス環境内にあるウイルスバスター ビジネスセキュリティサービスソフトウェアは、脆弱性の修正を含む、利用可能な最新のコードベースが使用されるように、隔週でアップデートされます。ウイルスバスター ビジネスセキュリティサービスソフトウェアへのパッチ適用とAWSサービスのサポートは、ウイルスバスター ビジネスセキュリティサービスチームが責任を持って対応しています。お客さまは、ワークロードに展開されたセキュリティエージェントを更新する責任があります。

コード解析

トレンドマイクロでは、内規にしたがって、開発の各段階でソースコードに対してセキュリティのためのコードレビューや解析等の対策を実施しています。
ウイルスバスター ビジネスセキュリティサービスは、開発段階から各リリースまで、厳しい品質チェックを受けています。リリース後、毎週、自動による脆弱性検索を実施しています。脆弱性の重大度は、CVSSスコアを用いて評価されます。SaaS環境に対しては、第三者による侵入テストを毎年実施しています。トレンドマイクロでは、内規にしたがって、サービスに対するペネトレーションテストを実施しています。脆弱性が発見された場合には、トレンドマイクロの内規にしたがって、脆弱性ごとに対応目標日程が設定され、対応が行われます。

ペネトレーションテスト

ウイルスバスター ビジネスセキュリティサービスソフトウェアに対しては、年1回、サードパーティのセキュリティ専門家の手で一般的なセキュリティ上の問題を検出し修正するためのペネトレーションテストが実施されています。このサードパーティのペネトレーションテストの対象には、アプリケーションセキュリティテスト、内部および外部ネットワークの調査、ネットワーク分離テストなどが含まれています。トレンドマイクロでは、ご要望に応じてペネトレーションテストのレポートをご提供しています。トレンドマイクロのInfoSecチームでは、動的セキュリティ解析ツールを使用し、ウイルスバスター ビジネスセキュリティサービスのWebアプリケーション評価を少なくとも年1回実施しています。
トレンドマイクロの脆弱性対応プログラムの詳細については、「Trend Micro Vulnerability Response」サイトをご覧ください。

インシデント対応

トレンドマイクロでは、トレンドマイクロのセキュリティポリシーへのコンプライアンス確保を担当する専任の情報セキュリティ (InfoSec) チームを設置しています。セキュリティインシデントが確認された場合、ウイルスバスター ビジネスセキュリティサービスのエンジニアからInfoSecチームへの連絡が即座に行われます。さらに、InfoSecチームはウイルスバスター ビジネスセキュリティサービス環境ログを独立して監視しています。セキュリティインシデントが認められた場合、インシデントには重大度に応じた優先度が付けられます。調査、封じ込め措置に関する助言、フォレンジック調査の実施、および通信の管理には、専任の技術専門家チームが割り当てられます。このチームは、インシデントの発生後に根本原因を調査し、調査結果に応じて対応計画の改訂を行います。お客さまデータがかかわる侵害の発生時には、トレンドマイクロはGDPRに定められた義務を履行します。詳細については、「Trend Micro GDPR Compliance」のサイトをご覧ください。

認証

ISO 27001、ISO 27014、ISO 27034-1、ISO 27017、およびSOC2

トレンドマイクロおよびトレンドマイクロのクラウドサービスは、業界のベストプラクティスへの遵守を徹底するために、信頼できる外部の監査機関による監査を毎年受けています。ISO 27001は国際規格の1つで、トレンドマイクロの情報セキュリティマネジメントシステム全体を定義するために使用しています。ISO 27001では、人的資源のセキュリティ、アクセスコントロール、運用のセキュリティ、情報セキュリティインシデント管理など、さまざまな項目が対象となっています。SOC 2 Type II認証は、トレンドマイクロのITシステムに対するセキュリティ管理を検証するために使用しています。対象には社内システムだけでなく、SaaSサービスも含まれています。SOC 2 Type IIの項目には、セキュリティ (ファイアウォール、IPSなど)、可用性 (障害復旧、インシデント対応)、機密性 (暗号化、アクセスコントロール)、プライバシー、処理の完全性 (品質保証) があります。
ウイルスバスター ビジネスセキュリティサービスは、ISO 27001、 27014、 27034-1、および27017の認証を取得しています。コンプライアンス証明書は、「製品の安全性と認証」でご確認いただけます。
ウイルスバスター ビジネスセキュリティサービスのSOC 2 Type IIの評価が完了しました。「製品の安全性と認証」で、SOC 3レポートを入手できます。SOC 2レポートは同ページのリクエストフォームから請求できます。