更新済み 2025/1/14
Claroty 堅牢な多層データ保護および情報セキュリティプログラムを実装し、維持する。 当社のデータ保護プログラムには、顧客データを保護し、サイバーセキュリティの脅威からクラロリー環境を保護し、規制要件(ISO 27001、ISO 27701、 SOC2 Type 2、GDPR、HIPAA、および現地のプライバシー法、ならびにベストプラクティスの規定)を遵守するためにクラ Clarotyが必要だと考える、さまざまな技術的、組織的、および手順的な管理の実施が含まれます。
Clarotyのinfosecおよびデータ保護戦略には、以下の主要コンポーネントが含まれています。
ガバナンス、リスク、コンプライアンス(GRC)
企業セキュリティポリシー
組織のセキュリティ
セキュリティリスク管理プログラム
資産の分類と管理
人事・人的資源の安全な管理
情報セキュリティ意識
暗号
通信セキュリティ
ベンダーセキュリティリスク管理
変更管理
物理的および環境的セキュリティ
運用セキュリティ
セキュリティ 脆弱性 管理
アクセスコントロール
セキュアなシステム開発とメンテナンス
災害復旧と事業継続性
是正措置プログラム
規制コンプライアンス
情報セキュリティポリシー:HIPAA、GDPR、SOC 2、ISO 27001などの基準に対するデータ保護、セキュリティ、コンプライアンスに関するポリシーを確立し、施行します。
データ分類:機密性に応じてデータを分類し(例:機密、社内、公開)、各クラスに適切なセキュリティ管理を適用します。
リスク管理フレームワーク:セキュリティ リスク管理 を特定、評価、軽減するための正式なリスクプロセスを導入します。
コンプライアンス監視:GDPR、HIPAA、業界標準などの規制フレームワークへのコンプライアンスを継続的に監視します。
内部監査:確立されたポリシーと基準へのコンプライアンスを確保するために、定期的に内部セキュリティプロセスと統制を監査する。
インシデント対応計画:セキュリティ侵害に対処するための役割、責任、手順を含むインシデント対応計画を策定し、維持する。
Identity and Access Management (IAM): IAMソリューションを実装して、システム、アプリケーション、およびデータへのユーザーアクセスを管理および制御します。
ロールベースのアクセス制御(RBAC):ユーザーが自分の職務に必要なリソースにのみアクセスできることを確認します。
多要素認証(MFA):従業員と顧客の両方にとって重要なシステムやデータにアクセスするためにMFAを強制します。
最小権限:最小権限の原則を適用して、ユーザーのアクセス権を必要最小限に制限します。
シングルサインオン(SSO):SSOを実装して認証を合理化し、セキュリティを改善します。
アカウントレビューと再認証:ユーザーアクセス許可が最新かつ適切であることを確認するために、定期的なレビューを実施します。
保存時の暗号化:データベース、ファイルシステム、バックアップ用の強力な暗号化アルゴリズム(AES-256など)を使用して、保存中のすべてのデータを暗号化します。
転送時の暗号化: TLS/SSL を使用して、SaaS プラットフォームと顧客間で転送中のデータを暗号化します。
エンドツーエンドの暗号化: 機密性の高いデータの場合、エンドツーエンドの暗号化を実装して、データが送信元から送信先まで暗号化されたままであることを確認します。
暗号化キー管理:キーのローテーション、ストレージ、アクセス制御など、暗号化キーを安全に管理します。
ファイアウォール: ファイアウォールを展開して、送受信ネットワーク トラフィックを制御し、不正アクセスを防止します。
侵入検知および防御システム(IDPS):IDPSを使用して、疑わしいアクティビティがないかネットワークトラフィックを監視し、悪意のある行動をブロックします。
ネットワークのセグメント化:攻撃の拡散を制限するために、ネットワークを異なるゾーン(例:生産、開発、テスト)にセグメント化します。
仮想プライベートネットワーク(VPN):VPNを使用して、特にオフサイトで働く従業員向けに、内部システムへのセキュアなリモートアクセスを実現します。
DDoS 保護:分散型サービス拒否(DDoS)保護メカニズムを実装して、ネットワークの可用性に対する大規模な攻撃から保護します。
アンチウイルスおよびアンチマルウェア:すべてのエンドポイントに最新のアンチウイルスおよびアンチマルウェアソフトウェアをインストールして維持します。
エンドポイント検出と応答(EDR):エンドポイントデバイス上の悪意のあるアクティビティを検出して応答するためのEDRソリューションを実装します。
パッチ管理:すべてのエンドポイントデバイスがセキュリティパッチとソフトウェアアップデートで定期的に更新されていることを確認します。
モバイルデバイス管理(MDM):MDMソリューションを適用して、従業員が使用するモバイルデバイスを管理、保護、監視します。
セキュアソフトウェア開発ライフサイクル(SDLC):セキュアコーディングプラクティス、コードレビュー、脆弱性評価など、開発プロセス全体を通じてセキュリティを統合します。
静的および動的アプリケーションセキュリティテスト(SASTおよびDAST):開発中および開発後にコードおよびアプリケーションの脆弱性を特定するための自動テストを実行します。
侵入テスト:定期的な侵入テストを実施し、アプリケーションのセキュリティ上の弱点を特定します。
セキュリティパッチ: アプリケーションの脆弱性が特定されたらすぐにパッチを適用します。
Webアプリケーションファイアウォール(WAF):WAFを使用して、SQLインジェクション、クロスサイトスクリプティング(XSS)、その他の攻撃などの脅威からWebアプリケーションを保護します。
データの匿名化と仮名化:匿名化や仮名化などの手法を使用して、個人を特定できる情報(PII)やその他の機密データを保護します。
データ最小化:個人データの収集と処理は、業務目的に必要なものに限定します。
データの保存と削除:プライバシー規制に従って、顧客データの保持と安全な削除に関するポリシーを実施します。
データ主体の権利管理:GDPRおよび同様の規制で要求されるデータアクセス、修正、削除、ポータビリティに関する顧客の要求に従うためのメカニズムを提供します。
Cloud Access Security Broker(CASB):CASBを使用して、クラウド使用のセキュリティポリシーを強制し、クラウドサービスへのアクセスを監視し、クラウドホスト型データを保護します。
コンテナセキュリティ:イメージスキャンやランタイム保護など、コンテナ(Docker、Kubernetesなど)のセキュリティコントロールを実装します。
Infrastructure-as-Code (IaC) Security: Terraform や AWS CloudFormation などの IaC ツールを使用して展開されたセキュアなインフラストラクチャ構成。構成ファイルでセキュリティの誤設定を検証します。
クラウドリソースの分離:クラウドリソースの分離技術(VPCなど)を使用して、マルチテナント環境で顧客データが分離および分離されるようにします。
定期的なバックアップ:重要なデータの定期的なバックアップを実行し、バックアップが暗号化され、地理的に離れた場所に安全に保管されるようにします。
災害復旧計画(DRP):災害発生時のシステムやデータの復旧手順を概説した災害復旧計画を策定し、維持する。
バックアップテスト:バックアップと復元の手順を定期的にテストして、データを効果的に復元できることを確認します。
セキュリティ情報およびイベント管理(SIEM):SIEMシステムを使用してセキュリティログをリアルタイムで収集および分析し、セキュリティイベントを検出して対応します。
継続的監視:疑わしい活動のためのシステム、ネットワーク、アプリケーションの継続的監視を実施する。
ログの保持:監査とフォレンジックを促進するために、規制要件とビジネスニーズによって定義された期間、セキュリティログを保持します。
監査証跡:データ、構成、アクセス制御設定の変更など、ユーザーおよびシステムアクティビティの詳細な監査証跡を管理します。
定期的な 脆弱性 スキャン:ネットワーク、アプリケーション、システムの定期的な脆弱性スキャンを実行して、潜在的なセキュリティ問題を特定します。
パッチ管理:すべての重大な脆弱性にタイムリーにパッチを適用するために、正式なパッチ管理プロセスを導入します。
バグ報奨金プログラム:外部のセキュリティ研究者が脆弱性を見つけることを奨励するために、バグ報奨金プログラムの実行を検討してください。
データセンターのセキュリティ:バイオメトリックアクセス制御、 24/7 監視、環境制御(消火、気候制御など)を含むデータセンターの物理的なセキュリティを確保します。
オフィスのアクセス制御:オフィスビルのバッジ、生体認証、CCTVなどのアクセス制御メカニズムを使用して、不正アクセスを防止します。
インシデント対応計画(IRP):セキュリティインシデントが発生した場合に取るべき手順を定義する文書化されたIRPを確立します。
インシデントの検出と報告:セキュリティインシデントをリアルタイムで検出、報告、管理するためのプロセスを実装します。
インシデント後のレビュー:インシデント後のレビューを実施し、インシデントの根本原因を分析し、今後の対応の取り組みを改善します。
セキュリティ意識向上トレーニング:フィッシング、ソーシャルエンジニアリング、適切なデータ処理などのトピックに関する継続的なセキュリティ意識向上トレーニングを従業員に提供します。
フィッシングシミュレーション:定期的なフィッシングシミュレーションを実行して、ソーシャルエンジニアリング攻撃に対する従業員の意識をテストし、向上させます。
セキュリティポリシーの教育:すべての従業員が会社のセキュリティポリシーと手順について教育を受けていることを確認します。
ベンダーリスク評価:第三者ベンダーのセキュリティ評価を実施し、当社と同じセキュリティおよびプライバシー基準に準拠していることを確認します。
サードパーティ監査:重要なベンダーに定期的なセキュリティ監査(SOC 2、ISO 27001など)を実施し、レビューのためのレポートを提供することを要求します。
データ処理契約:GDPRやHIPAAなどの規制基準に準拠したデータ保護条項が、第三者処理業者との契約に含まれていることを確認します。
事業継続計画:長期にわたる停止または中断が発生した場合に、重要な業務の継続性を確保するBCPを策定し、維持します。
ビジネスインパクト分析(BIA):BIAを実施して、中断中の継続に必要な重要なビジネス機能とリソースを特定します。
