セキュリティプログラム

Fastly は、インフラストラクチャ、データ、サービス、顧客を保護するために、管理的、物理的および技術的なセーフガードを含む、包括的な情報セキュリティプログラムを運用しています。

基盤

Fastly のセキュリティプログラムは、NIST サイバーセキュリティフレームワークが基となっています。これは、年次調査済みのセキュリティポリシー、経験豊富な専門家の指定役割と責任、リスクに焦点を当てて開発された公式手順から構成されています。

セキュリティポリシー

Fastly は、情報セキュリティポリシーを制定し、社内で公開するとともに、毎年見直しを行っています。このポリシーには、原理原則と基準点が含まれており、Fastly と Fastly の顧客を保護するためのコントロールおよび手順が網羅されています。

経験豊富なプロフェッショナル

Fastly は、サービスのセキュリティの役割と責任を指定します。Fastly は、セキュリティプログラムを監督し、その適用のために、この分野の最高クラスの専門家を抱えています。

リスクベースのアプローチ

Fastly は、セキュリティと可用性のあるリスク、脅威、脆弱性の特定、評価、処理に向けた正式な手順を維持しています。この手順には、年間リスク評価、リスク分析と処理プラン、リスクレジスタなどが含まれています。

• 年間リスク評価：Fastly は、社内全体のセキュリティリスクの状況を測定するために、年間リスク評価を実施しています。この評価の結果は、シニアリーダーシップチームに知らされ、適切な可視性と取り扱いが確保されます。
• リスク分析と処理プラン : 特定された企業のセキュリティリスクはそれぞれ評価され、最終的にはリスクに見合った関連コントロールと対策計画を実施することで、許容レベルまで管理されます。
• リスクレジスタ：Fastly は、サービスに関連するリスク、脅威、脆弱性のドキュメントを維持します。割り当てられた担当者は、関連するリスクと脆弱性の管理手順に従って、特定された項目の評価と修正を支援します。

多層防御

Fastly は、サービス、お客様、顧客データを適切に保護するために、Fastly のビジネスおよびテクノロジープラクティスのすべてのレイヤーに複数のセーフガードを適用する必要があることを理解しています。Fastly のプロセス、テクノロジー、セキュリティコントロールは、多層防御アプローチを提供するように特別に設計されています。

アイデンティティおよびアクセスの管理

Fastly は、以下の点を使用して本番システムへのアクセスを管理します:

• 認証：従業員は、本番システムへのリモートアクセスに一意のユーザーアカウントと多要素認証を使用する必要があります。
• 認可 : 本番システムへの従業員のアクセスは、適切な役割に基づいて制限されます。
• 監査 : 本番システムへのアクセス試行 (成功と障害の両方) のログは、保持および監視されます。
• アクセスの付与と失効 : 本番システムへの従業員のアクセスは、最小特権と管理者の承認の原則に基づいて付与されます。このアクセスは少なくとも四半期ごとに見直され、必要とされない場合や従業員の分離に伴い削除されます。アクセスロールは、Fastly システムとデバイスによって強化されています。

データセキュリティ

Fastly は以下を使用してデータセキュリティを管理します:

• 顧客認証情報の管理 : Fastly は、顧客が提供した秘密鍵と認証情報をライフサイクル全体にわたって保護し、暗号化されたリポジトリに秘密鍵と API トークンを保存します。顧客が提供した秘密鍵は、安静時に暗号化され、定期的に再暗号化されます。鍵の暗号化キーはシークレット管理システムに保存され、秘密鍵は、短期間でメモリからリクエストおよび消去された場合、エッジで暗号が解除されます。顧客パスワードはそのまま塩漬けにされ、ハッシュされます。また、Fastly は、トランジットで顧客アカウントのパスワードの暗号化を可能にします。秘密鍵へのアクセスは、その役割を必要とする個人のみに制限されます。
• 顧客データへの認証アクセス : Fastly は、サービスの提供、サービスまたは技術的問題の防止または対処、法律による要求、または顧客が明示的に許可した場合に、必要に応じて顧客のアカウントまたは設定に直接アクセスまたは修正することができます。同じ理由により、Fastly は、顧客データを管理する機器やシステム、サービスにアクセスまたは修正することができます。
• プライバシーとデザインによる保護アプローチ：Fastly は「プライバシーとデザインによる保護アプローチ」を維持します。これは、データガバナンスプログラムの中で表示され、オンラインでデータ管理ドキュメントの中に別々にドキュメント化されるものです。

アプリケーションのセキュリティ対策

Fastly は、次のものを使用してアプリケーションセキュリティを管理します：

• 安全な開発慣行：Fastly のエンジニアは、OWASP Top 10 や、CWE Top 25 を含むセキュアコーディングコンセプトについて毎年トレーニングを受けています。コードはピアレビューされ、本番システムにデプロイされる前に自動テストが実行されます。見直しとテストが行われた後、コードは、最初に Fastly ネットワーク上の限られた場所に展開され、さらに深く監視されます。問題に遭遇した場合、コードは、Fastly ネットワーク全体に徐々にデプロイされます。
• アプリケーションセキュリティ分析：Fastly のセキュリティエンジニアとサードパーティ検証者は、定期的に分析を実施し、Fastly 書き込みコードの浸透テストを常時行っています。
• 自動コード分析：Fastly は、テクノロジーをデプロイし、特定された脆弱な依存関係を自動的に特定・報告します。

システムおよびネットワークセキュリティ

Fastly は、以下の点を使用してシステムとネットワークセキュリティを管理します。

• アセットマネジメント：Fastly は、Fastly ネットワーク内にデプロイされたハードウェアとサービスのインベントリを保持します。
• 設定基準：Fastly には、制限されたポート、プロトコル、サービスを含む、安全な設定基準があり、デフォルト設定を安全に削除することができます。
• パッチ管理：Fastly は、本番システムに定期的にパッチし、新しく特定されたリスクにはバンド外パッチを適用します。
• エンドポイント管理：Fastly は、ログとモニタリング、ホストベースのファイアウォール、セッション管理など、セキュリティ設定が適切であることを検証し、本番システムを管理します。
• 監査と監視：Fastly は、認証の成功や本番システムへの障害、特定のコマンドの使用など、セキュリティ関連のイベントをログします。Fastly は、異常なアクティビティや疑わしい動作によって引き起こされたイベントを調査します。
• ドキュメント化：Fastly は、正確なネットワーク図と、システムおよびサービスの社内ドキュメント化を行います。
• アクセス制御リスト (ACL) 評価： 少なくとも半年単位で、Fastly は、エンドファイアウォールとルータールールセットの本番システム ACL レビューを実施します。
• 侵入検出：Fastly は、ネットワークとホストレベルでの潜在的な侵入を検出するメカニズムを持っています。Fastly は、検出されたイベントを検査し、必要に応じて脅威に対応します。

物理的セキュリティ

Fastly 本番システムは、Fastly が管理するデータセンターとクラウドインフラ環境の組み合わせの中に存在します。インフラストラクチャまたはその運営者の物理的な場所に関係なく、Fastly は、必須のセキュリティコントロールを評価し、適用します。

• 物理的アクセス管理：Fastly は、境界保護、警備員の配置、アクセスログとレビュー、ビデオ監視を含む、業界標準の物理的および環境的保護を維持するプロバイダを使用しています。
• 本番システムへの物理的アクセス： 物理的アクセスは、承認された従業員にのみに付与されます。アクセス要求は、権限を与えられた担当者によって評価され、適切な資格証明、適切で文書化されたユースケースに基づき、その権限で指定された領域に限定されます。
• 環境セキュリティ保護：プロバイダーは、電源の冗長性、消火、その他の環境制御を含むコントロールでシステムを保護します。
• 安全なハードウェア破壊： プロバイダーは、廃棄前にすべての本番ハードウェアを安全に破壊します。

人的セキュリティ

Fastlyは以下を使用して人的セキュリティを管理します:

• 従業員経歴調査：Fastly は、採用時に従業員の経歴調査を行い、その後も定期的に犯罪歴の調査を行います。また、従業員が雇用期間中に犯罪歴があった場合、適用される地域の規制で認められている範囲において、報告することを義務づける方針を維持しています。
• 守秘義務契約：従業員が職務の一部として閲覧、処理、送信する可能性のある機密情報を保護するために、すべての従業員は、Fastly と機密保持契約を締結します。
• 意識トレーニング：すべての従業員は、採用時にセキュリティトレーニングを受けます。その後、Fastly とその顧客を保護するようになります。毎年義務付けられているトレーニングには、日常業務におけるベストセキュリティプラクティスの適用をカバーするセキュリティ啓発と、各従業員が機密情報の識別方法と規制の遵守を理解するためのプライバシーに関するトレーニングが含まれています。

継続的なモニタリングと改善

上記のコントロールが一貫して適用され、意図された使用において効果を発揮できるようにするために、Fastly は継続的にセキュリティ対策を監視し、改善しています。Fastly は、厳格なプロセスとテスト手順を実施しています。

変化マネジメントプロセス

Fastly は、技術的な変更を開発し、展開するために、決められた手順に迅速に従います。これらの変更には、Fastly のサービスをサポートするソフトウェア、設定デバイス、デバイスの更新が含まれます。

• テスト：Fastly は開発段階で変更をテストし、サービスへのデプロイを完了する前に、変更が非本番環境で想定通り動作しているかどうかを確認します。
• 変更承認と通知：Fastly は、Fastly のネットワークとシステムを管理する従業員の間で認識を維持するために、変更通知を準備、承認、伝達します。Fastly は、ロールバック手順を維持し、デプロイの問題が発生した場合には、それに対処します。
• 実装後デプロイ確認：Fastly は、デプロイ後の変更の成功を確認します
• 変更監視：Fastly は、複数のモニタリングとアラートメカニズムを使用して、技術的変更の可視性を強化し、変更管理プロセスを遵守します。

脆弱性管理

Fastly は、以下の点で本番システムの脆弱性をモニタリングします。

• 内部および外部脆弱性スキャン：Fastly は、定期的に、本番システムを自動的に分析し、脆弱性がないかどうかを確認します。
• 脆弱性対策：Fastly は、特定または報告された脆弱性のリスクを評価し、タイムリーに脆弱性対策を行います。深刻度が高いとみなされる脆弱性に対する対策は、検証から24時間以内に実施されます。
• 配信リストとベンダー通知：Fastly は、ソフトウェアベンダーから公開されている配布リストやベンダー秘匿の配布リスト、通知などを迅速に監視し、脆弱性の有無を確認します。

浸透テスト

Fastly は、半年単位で、サードパーティがFastlyの本番システムの浸透テストを実施するように取り組んでいます。特定された問題は、評価されたリスクの重大度に基づいて、優先順位が付けられ、対処されます。

コンプライアンスと監査

Fastly は、定期的に監査と評価を行い、セキュリティプログラムがさまざまな業界標準と規制要件を満たしているかを確認しています。

Fastly のベンダー管理

Fastly は、サービスをサポートするために、サードパーティベンダーとサービスプロバイダーを使用しています。Fastly は、ベンダーのサービスを利用する前に、セキュリティ管理および Fastly とそのサービスに対するリスクについてベンダーを評価し、その後も定期的にベンダーのリスクに基づき評価します。

問題が発生した場合

Fastly は、信頼性と安全性のあるプラットフォームを提供することを目指しています。そうするために、Fastly は、脅威や、システムの停止を常にモニタリングしています。インシデントが検出された場合は、迅速に応答し、回復に努めます。

インシデント管理プラン

Fastly は、セキュリティ関連のインシデントレスポンスプランを維持します。このプランには、確立されたロールと責任、通信プロトコルレスポンス、およびレスポンス手順が含まれます。Fastly は、進化する脅威とサービスのリスクに適応するために、定期的にプランをレビューし、更新します。主要部門の代表者は、セキュリティ関連のインシデントに対応します。これらの担当者は、検出から応答、回復まで、インシデントのライフサイクル全体に対応します。これらのプロセスに含まれるのは、必要に応じた、外部連絡先との通信です。

インシデント通知

Fastly は、顧客データの不正な開示を検証してから48時間以内に、影響を受けた顧客に通知します。 セキュリティ関連のインシデントが発生した場合、Fastly はインシデント管理計画に従ってタイムリーに調査および是正措置を講じ、影響を受けた顧客に定期的なアップデートを提供します。

事業継続性

Fastly は、以下の点を使用して事業継続性を管理します。

• サービスフェイルオーバー：Fastly の本番システムは、サービスフェフェイルオーバーに備えるように設計されています。本番システムは、複数の地域やゾーン内のインフラストラクチャにデプロイされており、パフォーマンスが低下した場合やプロバイダーに運用上の問題があった場合は、冗長性を提供します。サービスの障害が地域またはゾーン内で発生した場合、Fastly は、地域または別のインフラプロバイダを自動的に使用するようになっています。
• インターネット冗長性：Fastly のデータセンターとクラウドインフラストラクチャプロバイダーは、複数インターネットサービスプロバイダーと接続しています。
• サービスモニタリング：Fastly は、サービスに関する問題を検出するために、レポートチャンネルをモニタリングします。スタッフは年中無休の体制でサービスの確認と破壊への対応を行っています。
• 通信とレポート：Fastly は、インシデントの範囲と重大度に応じて、さまざまなコミュニケーション手段で、顧客にサービス中断の最新情報を迅速に提供します（fastlystatus.comを含む）。
• 事業継続計画とテスト：Fastly は、事業継続計画を持ち、本番システムは毎年、評価、承認、更新されます。Fastly は、事業継続計画を毎年テストします。
• データバックアップ：Fastly は、キャッシュされた顧客データを除き、サービスの回復と可用性をサポートするために、データバックアップを定期的に実行しています。データバックアップは、四半期ごとにテストされ、バックアップ回復手順を検証します。