Signal Sciences のセキュリティ対策

Signal Sciences 製品における Fastly のセキュリティ対策には、Cloud WAF および 次世代 WAF を通過するお客様のデータを保護するための安全対策が含まれています。これらの安全対策に関する情報はカテゴリー別に整理されています。

認証と認可

  • Fastly のシステムおよびデバイスでは、ユーザーロールの割り当てまたは同様の手段を通じて、個々のユーザーに許可するアクセスの範囲がコントロールされます。
  • 特権システムへのアクセスは、クライアント証明書と二段階認証を用いた Zero Trust アクセスポリシーによりコントロールされています。
  • パスワードなど Fastly が使用する認証要件は、業界標準の慣行に沿っています。

事業継続性と運用上のレジリエンス

  • プロダクションの運用システムやサポートシステムをモニタリングし、サービス関連の問題やコンプライアンス違反の問題を継続的に検出しています。システムは24時間体制でモニタリングされており、お客様が常にサービスを利用できるようにしています。
  • アップデートがお客様のサービスの稼働時間に影響を与える可能性がある場合、アップデートスケジュールの決定後、https://status.signalsciences.net を通じてその影響についてお客様にお伝えします。
  • 複数のアベイラビリティゾーン (AZ) でサービスを維持することで、単一のデータセンターでは実現できない高可用性、耐障害性、拡張性を備えたプロダクションアプリケーションやデータベースを運用しています。
  • 影響を受けたお客様には、インシデントの範囲や深刻度に応じて、様々な通信手段 (https://status.signalsciences.net など) を用いて状況を随時ご報告します。

クラウドインフラデータセンターと物理的セキュリティ

Fastly は Amazon Web Services (AWS) の管理下にあるデータセンタースペースと、その物理的セキュリティ管理に依存しています。第三者機関によるセキュリティレビュープロセスの一環として、これらのプロバイダーが適切な物理的セキュリティ対策を実施してデータセンター施設を保護していることを確認しています。

お客様とエンドユーザーのデータ管理

  • Fastly の次世代 WAF で処理された機密性の高いお客様のデータがクラウド上に保存されることはありません。お客様は、Fastly の従業員がリモートアクセスすることのできないお客様の管理下にあるローカル環境でこのデータを処理します。
  • Fastly に送信され、Cloud WAF のセキュリティコンポーネントを介して処理されたお客様のデータは最大30日間保存・保持されます。
  • 次世代 WAF とクラウド WAF 製品ではリクエストの分析が行われます。Fastly のサービスや事業運営、セキュリティおよびコンプライアンスプログラムをモニタリング、維持、改善する目的で、Fastly はリクエスト処理の実行と信頼性に関するデータを保持し、使用します。お客様への守秘義務に従い、Fastly はこのデータを匿名化および集計した形でのみ開示します。

暗号化

Fastly では、業界で認められている暗号化技術を用いて機密情報を暗号化しています。すべてのクライアントデータは TLS を使用して転送中に暗号化されます。

ガバナンス

  • Fastly には、情報セキュリティの任務を担うセキュリティ部門が存在します。Fastly の Chief Security Officer とセキュリティ部門は他の部門と協力し、Fastly サービスに関連する機密情報を保護しています。
  • Fastly ではセキュリティのポリシーと手順を確立し、Fastly のシステム、プロセスおよび従業員の業務におけるセキュリティの維持に役立てています。Fastly のセキュリティ部門は、少なくとも年に1回これらのポリシーと手順を正式に見直します。
  • Fastly ではリスクアセスメント活動をさまざまなプロセスと統合し、Fastly ネットワーク上の Fastly やお客様のデータに対する情報セキュリティリスクを特定し、対処しています。
  • Fastly ではベンダーのセキュリティ対策をリスクベースで評価しています。ベンダーの利用を開始する前に必要なセキュリティ対策が講じられていることを確認し、ベンダーにはこれらの対策の実施を正式に認めてもらうようにしています。その後も定期的にベンダーのセキュリティ対策を再評価しています。

社員に関するセキュリティ対策

  • Fastly の従業員は業務の一環として閲覧、処理または送信する可能性のある機密情報を保護することに正式に同意します。
  • Fastly では社員が使用するデータやデバイスを保護するためのトレーニングを行っています。各従業員は入社プロセスの一環としてセキュリティ意識の向上に向けたトレーニングを受け、その後も毎年このトレーニングを受けています。
  • Fastly では採用プロセスの一環として新入社員のバックグランドの審査を行っています。審査の内容は地域の規制によって異なり、犯罪歴調査やリファレンスチェックを含む場合があります。

アイデンティティおよびアクセスの管理

  • Fastly では定期的にアクセス権を審査し、社員が Fastly のシステムおよびデータに適切にアクセスできることを確認します。
  • また、従業員の現在の職務または雇用状況に合わせて、Fastly ネットワークへのアクセス権を速やかに更新または削除します。

ログ記録とモニタリング

  • Fastly では、セキュリティポリシーに違反した場合に警告を発するよう、モニタリングツールにしきい値を設定しています。また、しきい値ポリシーの正確性と適切性を毎年見直しています。
  • Fastly は、情報セキュリティ管理システムのアクティビティを制限、記録、モニタリングし、異常が特定された場合は警告を発します。アクティビティに関するデータは集約され、社内の一元化されたログサーバーに安全に保管されます。

ネットワークとインフラのセキュリティ対策

  • Fastly では、情報システムやネットワーク機器の設定を確立されたセキュリティポリシーや手順に照らし合わせてレビューし、検証しています。
  • また、定期的に Fastly ネットワークの脆弱性スキャンと第三者機関によるペネトレーションテストを実施しています。これらの活動から得られた知見を検証し、問題に対処することでネットワークのセキュリティ維持に役立てています。
  • 潜在的なセキュリティの脆弱性を特定するため、Fastly は公開および非公開の配布リストや、Fastly の責任ある開示プロセスを通じて提出されたレポートを確認しています。深刻な脆弱性に対しては、発見から24時間以内にセキュリティパッチを検証し、実装します。深刻度が低い脆弱性やアップデートについては、ベンダーが提供するパッチを定期的に導入しています。
  • 既知の脆弱性から保護するため、Fastly はベンダーがサポートする最新のバージョンとパッチレベルを使用してアセットを保護しています。パッチ展開の優先順位は、脆弱性の深刻度と環境にもたらすリスクに基づいています。

セキュリティインシデントの管理

  • Fastly は、ロールと責任、通信プロトコル、および対応プロセスが明確に定義された正式なインシデントレスポンスプランを採用しています。このプランは定期的に見直され、Fastly サービスに対する脅威やリスクの変化に合わせて更新されます。
  • Fastly は、お客様の機密情報の不正な開示を確認した後、48時間以内に影響を受けるお客様に通知します。
Back to Top