Deep Securityトラストセンター

セキュリティ分野で世界をリードするトレンドマイクロは、企業やユーザがデジタル情報を安全にやり取りできる革新的なセキュリティソリューションを開発しています。セキュリティで培った30年を超えるノウハウにより私たちは、サーバセキュリティ、クラウドセキュリティ、スモールビジネスコンテンツセキュリティの各分野でマーケットリーダーとして認識されています。

Trend Micro Deep Security as a Serviceは、クラウドのワークロードに世界最高レベルのセキュリティを実現します。この製品は、Amazon Web Services(AWS)を介してホストされ、Deep Security Agentのインストールによるワークロード保護を提供します。

Deep Security as a Serviceは、ユーザの信頼を獲得して維持するために全力で取り組んでいます。次のリソースは、セキュリティ、プライバシー、透過性、および業界で認められている標準への準拠に対する当社のコミットメントを示しています。

証明書アイコン
コンプライアンス 		ロックアイコン
プライバシー 		盾のアイコン
セキュリティ

PCI DSS

ISO 27001

GDPR

Deep Security as a Serviceのデータの収集について

個人情報保護方針

よくある質問

PCI DSS

Deep Security as a Serviceは、PCI DSSレベル1のサービスプロバイダとして認定されています。

正規PCI監査法人であるCoalfireにより、PCIデータセキュリティ標準バージョン3.2準拠として認定されました。お申し込みいただければ、Attestation of Compliance (準拠証明書) を入手できます。AWSもPCI認定を取得しています。

詳細については、「Deep Security as a ServiceはTrend Micro Cloud One - Workload Securityになりました。最新のコンテンツについてはWorkload Securityのオンラインヘルプを参照してください。ブラウザのブックマークも適宜更新してください。」を参照してください。

ISO 27001

ISO 27001は、情報セキュリティ管理システムの要件を規定する国際的に認知されているセキュリティ標準です。2018年12月現在で、Deep Security as a ServiceはトレンドマイクロのISO 27001認定に追加されています。ISO 27001の証明書は、 トレンドマイクロ製品認定サイトで確認できます。

GDPR

トレンドマイクロとDeep Security as a Serviceは、2018年5月25日のGDPR施行に向けてトレンドマイクロが担うべきすべての責任に備え、またそれらを満たしてきました。Deep Security as a Serviceに関して注目すべき重要なことの1つは、GDPRにおけるデータ処理者として、トレンドマイクロが実施する「個人データ」の処理は限定的である、ということです。

  • GDPRにおけるデータの処理をサポートするために、トレンドマイクロは、必要に応じて「TOM (Technical and Organization Measures: 技術的および組織的対応)」を実践します。
  • Deep Security as a Serviceで処理されるデータの詳細、およびそのデータで使用可能なコントロールについては、 Deep Security as a Service Data Collection Noticeに記載されています。

詳細については、トレンドマイクロのGDPRへの対応に関するサイトを参照してください。また、Deep Security as a Serviceでの個人データの収集については、Deep Security as a ServiceはTrend Micro Cloud One - Workload Securityになりました。最新のコンテンツについてはWorkload Securityのオンラインヘルプを参照してください。ブラウザのブックマークも適宜更新してください。を参照してください。

よくある質問

Deep Securityの保護モジュールは、Deep Security as a Serviceの運用ワークロードに関するセキュリティイベントを生成します。Deep Security as a Serviceから収集されたセキュリティイベントは、中央のSIEMに転送されます。セキュリティイベントは、関連したすべての保護モジュールで生成されます (不正プログラム対策、ファイアウォール、侵入防御、変更監視、セキュリティログ監視)。その他のAWSログ (CloudTrail、CloudWatch)、システムログ、データベースログは、SIEMに転送されます。Deep Securityのイベント管理コンソールとSIEMへのアクセスは、役割に基づいて制限されます。

Deep Security as a Serviceは、アラートが自動化されており、スタッフが24時間体制で待機しています。セキュリティログは、すべてのシステムについて毎日確認されます。セキュリティイベントが疑われる場合は、ただちにTrend Micro Security Operations Center(SOC).)に報告します。この兆候は、疑われるインシデントの重大度に応じた優先順位が付けられ、調査要員としてSOCのチームおよび技術者が割り当てられます。

トレンドマイクロの全従業員は、雇用時および年に1回セキュリティ意識トレーニングコースを受講します。すべての従業員は、インターネット、コンピュータ、リモートアクセス、モバイルデバイスに関するトレンドマイクロの利用規定を固守する必要があります。これらのポリシーに従わなかった場合、解雇を含む懲戒処分が下されることがあります。

新たに採用されるすべての従業員と契約業者は、犯罪歴調査を終了している必要があります。

トレンドマイクロは、次のパスワードポリシーと基準を固守しています。

  • すべてのパスワードは、最低でも3か月ごとに変更する。
  • メールメッセージやその他の形態の電子通信にパスワードを挿入してはならない。
  • パスワードを他人と共有したり他人に明かしたりしてはならない。
  • セキュリティ侵害が疑われる場合、ただちにパスワードを変更する。
  • パスワードは暗号化した状態で伝送し、ソルトでハッシュ化して保存する。
  • パスワードは英数字8文字以上にする。
  • パスワードには、大文字と小文字の両方を含める (例: a-z、A-Z)。
  • パスワードの再利用制限を実施する。
  • 個人情報や名字などを使用したパスワードは使用しない。

トレンドマイクロのインフラストラクチャに対するリモートアクセスは厳しくコントロールされ、監視されています。すべての認証方法には、業界のベストプラクティスと標準が用いられ、証明書ベースの認証や多要素認証などが取り入れられています。トレンドマイクロのActive Directoryを活用したシングルサインオン (SSO) が必要に応じて使用されます。

Deep Security as a Service環境に関連してトレンドマイクロが主に扱うのは、保護ポリシーとセキュリティイベントを通じて収集されたデータです。それぞれのテナントの情報は、専用のデータベーススキーマを使用して分離されます。この情報のアクセスと保管は厳しくコントロールされ、診断とサポートの目的でのみ使用されます。顧客の連絡先情報、たとえばメールアドレスは、顧客管理を目的に暗号化された状態で保存されます。

Deep Security as a Service環境内におけるアプリケーションのアップグレードは、トレンドマイクロの品質目標を満たした後に実施されます。トレンドマイクロでは、完全バックアップや承認プロセスなど、変更のためのベストプラクティスを用いています。Deep Security as a Serviceには、開発とテストのための専用の環境が複数存在します。

要求された変更は、まず技術関係者が確認して、その緊急性と潜在的な影響を判断します。すべての変更には、バックアウト計画を文書化しておくことが要求されます。それらの変更は、変更管理システムで追跡されて記録されます。

ユーザとソフトウェアとインフラストラクチャ間の通信はすべて、業界で認められている暗号とアルゴリズムを使用して暗号化されます。それらの暗号とアルゴリズムは、古いまたは安全性の低い暗号や暗号スイートを廃止するなど、調整の必要性を判断するために絶えずレビューされます。こうした改善を活かすためには、ユーザがそのAgentを定期的にアップデートする必要があります。

暗号化キーはAWS KMSに格納されます。KMSにアクセスできるのは、Deep Security as a Serviceチームのごく限られたメンバーだけです。

トレンドマイクロのオフィスやネットワークへの立ち入りはすべて厳しくコントロールされ、承認を受けた者だけが許されるか、付き添いが条件となります。立ち入り許可はキーカードシステムによって与えられ、機密エリアに入るためには、あらかじめ承認が必要となります。Deep Security as a ServiceインフラストラクチャはAWSでホストされます。

トレンドマイクロには、そのセキュリティポリシーの遵守徹底を担う専門の情報セキュリティ (InfoSec) チームが存在します。セキュリティインシデントが発覚するとすぐに、Deep Security as a ServiceのエンジニアからInfoSecチームに連絡が入ります。加えてInfoSecは、Deep Security as a Service環境のログを独自に監視します。

セキュリティインシデントが発覚した場合、重大度に応じてインシデントに優先順位が付けられます。調査、封じ込め手順に関する助言、フォレンジックスの実施、通信の管理にあたる専門の技術者チームが割り当てられます。

インシデントの発生後、このチームによって根本原因が調査され、それに応じて対応計画が見直されます。

顧客データを含む侵害が発生した場合、トレンドマイクロは、GDPRにおけるその義務を履行します。詳細については、https://www.trendmicro.com/ja_jp/business/capabilities/solutions-for/gdpr-compliance/our-journey.htmlを参照してください。

Deep Security as a Serviceの本番環境は、PCI ASV (Authorized Scanning Vendor) である Tenable.ioによって週に1回、脆弱性検索が実施され、PCI ASV認証が3か月に1回取得されます。Deep Security as a ServiceのVirtual Private Cloud (VPC) は週に1回、自動的に内部検索が実行されますが、それにも同じベンダが使用されます。

一般的なセキュリティの問題を検出して修正するために、Deep SecurityソフトウェアとDeep Security as a Service本番環境は、サードパーティのセキュリティのエキスパートによる侵入テストが年に1回実施されます。サードパーティの侵入テストの範囲には、アプリケーションセキュリティテスト、内部ネットワーク検索と外部ネットワーク検索、ネットワークセグメンテーションテストが含まれます。

Deep Security Managerアプリケーションには、メジャーリリース時と1年に1回以上、トレンドマイクロのInfoSecが先進の動的分析セキュリティツールを使用してWebアプリケーション診断を実施しています。

Deep Securityのコードベースは、先進の静的分析セキュリティツールを使用して週に1回検索されます。新しい問題が確認されると、自動化されたアラートが開発チームに送信されます。また、製品リリースごとに駆除検索が義務付けられています。

Deep Securityに同梱されたサードパーティコンポーネントは、先進のソフトウェア構造分析ツールを使用して絶えず監視されます。新たに導入されたサードパーティソフトウェアを自動的に検出するための検索が、夜間ビルドの一環として実行されます。

Deep Securityソフトウェアの開発者は、SANS 25/OWASP Top 10/PCI 6.5に基づく業界標準のカリキュラムを使用して、セキュアコーディングプラクティスのトレーニングを受けています。教育活動は、年に1回および従業員が入社したときに実施されます。

Deep Security開発チームでは、製品のセキュリティを扱う専門のスタッフを採用しています。

セキュリティテスト、セキュアコードレビュー、脅威モデリングは、開発ライフサイクルの構成要素となっています。

脆弱性は絶えず監視され、追跡されます。それぞれの脆弱性には、CVSSスコアが割り当てられます。セキュア開発コンプライアンスポリシーには、CVSSベースの重大度に応じて脆弱性への対処期間を規定するパッチ要件が含まれています。Deep Security as a Service環境のDeep Securityソフトウェアは、脆弱性の解決を含め、利用可能な最新のコードベースを使用するよう毎週アップデートされます。

Deep SecurityソフトウェアのパッチとAWSサービスのサポートは、Deep Security as a Serviceチームが担当します。クライアントのワークロードにインストールされているDeep Security Agentは、クライアントの責任でアップデートすることになります。