情報セキュリティ対策

お客様のデータを保護するために、ポリシー、手順および物理的/技術的安全対策を実施しました。

I. 設計によるセキュリティ

A. 安全なコード開発

すべてのCA開発者は、CAの製品安全性ポリシーおよび手順への順守が求められます。これによって、周知された製品開発サイクルの各段階で業界のベスト・プラクティスに準拠した安全性標準、方針および戦略を実現します。その過程において、ユースケース(使用事例)、静的コード分析ツールの用途および侵入テストごとのリスク評価に基づいた製品分類が必要です。

A. 安全なコード・リリース

CAのお客様に製品をリリースする前に、ウィルス対策/マルウェア対策スキャンを実行します。リスク・プロファイルに基づいて、追加の侵入テストを実施することもあります。確認された脆弱性は、対応するリスク評価と合わせてCAの集中不具合追跡システムで追跡され、修正されない限り、Securability Center of Excellence(安全性センター・オブ・エクセレンス)では承認されません。脆弱性は、NIST Frameworkに基づいて、Common Vulnerability Scoring System(CVSS: 共通脆弱性評価システム)で評価され、その重大度と対応が確定されます。

II. 顧客データの収集と保護

A. 顧客データへのアクセス

CAは、サポート・チケット、サービス契約またはCA SaaS製品/サービスの使用など、さまざまな方法で顧客データを取得できます。お客様から提供されたすべてのファイルは、その取得経路にかかわらず、「機密性の高いデータ」と分類され、高度のデータ保護が必要となります。CAのプロフェッショナル・サービス・チームがお客様の施設での立会いが必要となる場合、担当スタッフはお客様のデータを自分のデバイスにダウンロードしたり、お客様の施設から削除したりすることを禁じられています。

B. 物理セキュリティ

CAは、以下の物理アクセス制御を保持し、管理します。

  • 従業員および請負業者は、雇用、またはCAの施設およびシステムへのアクセス許可に先立ち、職歴確認の対象となります。
  • すべての施設で、従業員および請負業者のバッジ装着と入退館時の侵入検知アラームが必要です。訪問者のアクセスは、物理的アクセス・ログに記録する必要があります。訪問者は、施設内の制限区域から誘導されます。
  • 顧客データが処理または保存されるすべてのデータセンタは、警備員や監視カメラ(たとえば、CCTV)によって常時(24時間365日)保護されます。

c. CA認証ユーザ名、パスワードおよび認証

CAは、アクセス権を監視してアクセスがCAユーザの職務に 応じた最小特権原則に準拠することを確認し、すべてのアクセスおよびセキュリティ・イベントをログ記録し、ユーザ・アクティビティを迅速に分析するソフトウェアを使用します。

CAのパスワードは、以下のように管理されます。

  • パスワードは、ユーザIDとは別途に通知されます
  • パスワードは共有しません
  • 初期パスワードは無作為に生成されます
  • 初期パスワードは変更する必要があります
  • パスワードは最小限の長さと複雑性があること、最近使用したパスワードを再使用せず定期的に変更する必要があります
  • CAパスワードは暗号化され、パスワードは回復できません。リセットは安全な様態でのみ可能です

III. エンタープライズの役割ベースのアクセス

論理アクセス手順では、要求、承認、アクセス設定および設定解除プロセスを定義します。論理アクセス手順は、アプリケーション、データベースおよびシステムでのユーザ・ジョブ機能(役割/プロファイル・ベースの適切なアクセス)に基づいて、ユーザのアクセス(ローカルまたはリモート)を制限して職務を分離し、オンボーディング、リソース再割り当てまたは分割に基づいて、評価、管理および文書記録されます。ユーザ・アクセスの評価は、アクセスが常時適切であることを確認するために実行されます。

すべてのCA管理者は、多要素認証を使用して、特権アクセス管理によるシステム・アクセスが認証されます。また、特権アクセス・システムの使用により、すべてのシステム管理セッションおよびコンソール・アクセスが記録できるようになります。CAでは、監査および法的証拠の目的として、このようなセッションおよびアクセスをすべて記録します。

CA SaaS製品/サービスを介して入力された顧客データの場合、CAデータベース管理者(DBA)が、各種の技術操作の過程で顧客データへのアクセスが必要となる場合があります。データベースのデフォルトのDBAアカウントは、ジョブを完了するためにDBAがアカウントを使用する必要がある場合を除き、期限切れとなりロックされます。データベース・アクセスは、正式な承認時にチケットを介して付与されます。チケットは、Active Directoryに登録された職務に基づいて、権限のあるユーザにのみ許可されます。DBAアカウントのロックが妥当でない場合、アクセス要求のたびにパスワードが変更されます。すべてのデータベース・アクセスはログ記録されます。従業員のユーザ・アクセス・アカウントは四半期ごとに見直されます。セキュリティ・アナリストによってアクセス・アカウント・レポートが作成され、マネージャにレビューと承認を得るために送付されます。このレビューと承認はCAサポート・チケットで文書化し、矛盾や解決策があればリストにします。

IV. データ転送と ネットワーク・セキュリティ管理

A. ネットワーク制御

CAは、ファイアウォールを使用して、CAのネットワークとインターネットのアクセス制御を実行します。ファイアウォールのアクセスは、適切な承認を有する小数のスーパーユーザ/管理者に限定されます。ファイアウォールは、役割ごとにタスクを実施するための最小限の権限で設定され、アクセスは「デフォルトで拒否」のポリシーで承認されます。

定期的にネットワーク脆弱性スキャンを実行し、特定された重大な脆弱性は直ちに修正されます。また、CA従業員および第三者の両者のセキュリティ・プロフェッショナルが侵入テストを実行します。

B. ネットワーク/通信セキュリティ・ポリシー/暗号化

ルータおよび/またはファイアウォールへのトラフィックを制限するACL(Defined Access Control List: 定義済みアクセス制御リスト)は、ネットワーク管理者が確認し、承認します。ACLのIPアドレスは固定で、匿名の接続は禁止されます。

顧客データは、CAのSFTP(Secure File Transfer Protocol: セキュア・ファイル転送プロトコル)によって、パブリック・ネットワークまたは無線ネットワーク(SaaS製品/サービスでは無線ネットワークは使用されない)で移動中に暗号化され、フラット・ファイルに転送されます。

CAは、電子メールや、CAのファイアウォールの対象外となる他の通信手段を使用した場合に(たとえば、データ損失防止[DLP]ソリューション)、ミス、不注意または悪意によるデータの誤用を最小限に抑えるために設計および管理された情報保護/管理ソリューションを使用します。

C. リモート・アクセス管理

以下のリモート・アクセス設定が適用されます。

  • デバイス(たとえば、モデム)からの不正なリモート接続は、標準設定で無効になります。
  • リモート接続のデータ・フローは暗号化され、ログイン・プロセスでは多要素認証が使用されます。
  • リモート接続設定では、開始ネットワークとリモート・ネットワークへ同時にアクセスするリモート・ユーザの機能が制限されます(スプリット・トンネリングなし)。

D. 第三者のリモート・アクセス

第三者のサービス・プロバイダ(すなわち、下請業者)によっては、リモート・アクセスは同一または同等の管理に準拠し、下請業者のリモート・アクセスは有効なビジネス上の根拠となります。

E. リムーバブル・メディア

リムーバブル・メディアは、CA Technologies SaaS製品/サービスの提供時には使用されません。また、バックアップ・テープなど、顧客データが保存されるすべてのラップトップおよびその他のリムーバブル・メディアは暗号化されます。

V. 管理および認定の監査

Saas製品/サービスに関連するCAのセキュリティ対策を検証するときに、第三者の監査実施者が準拠する各監査基準(たとえば、PCI、SSAE 16 SOC 1、TYPE 2)と、監査実施者の概要レポートはこちらからご覧いただけます。また、サポートやサービス対応時に受け取った顧客データを収容している可能性があるCAの社内データセンタは、ITサービス・マネジメントの場合はISO/IEC 20000で、セキュリティ・コントロールの場合はISO/IEC 27001で認定されています。

VI. セキュリティ・インシデント

CAは、非常に機密度の高いサイバーセキュリティのインシデント対応計画を使用して、サイバーセキュリティ・インシデントを特定、分類、削除および修正します。この計画は、年間の優先課題として2ヶ月ごとに評価されます。CA Technologies Cybersecurity Operations(サイバーセキュリティ・オペレーションズ)の使命は、情報セキュリティの脅威およびインシデントを特定し、対応できるように組織の準備を進める一方で、通常のサービス業務をできるだけ素早く効果的に維持し、回復することにあります。

CAがセキュリティ・インシデントを発見した場合、以下の対応および修正タイムラインを目標とします。

重大度レベル

説明

実例

対応目標

修正/エスカレーション目標

1

CA Technologiesまたはその顧客のビジネス/サービスに重大な影響を及ぼすインシデント

  • 悪意のあるコードによる攻撃
  • 不正なアクセス
  • キャンパス全体に影響を及ぼすDoS(サービス拒否)
  • 個人の機密データを含め、機密データを収容するホストの侵害

1 時間

2 時間

2

CA Technologiesまたはその顧客のビジネス/サービスに大きな影響を及ぼす、または重大な影響を及ぼす可能性があるインシデント

  • 不正なアクセスの取得試行
  • 建物または部門に影響を及ぼすDoS攻撃
  • オープン・メール・リレー

4 時間

1 営業日

3

CA Technologiesまたはその顧客のビジネス/サービスに大きな、または重大な影響を及ぼす可能性がある、最小限の影響があるインシデント

  • 不正なネットワーク・プローブまたはシステム・スキャン
  • 隔離されたウィルス感染

1 営業日

2 営業日

4

CA Technologiesまたはその顧客のビジネス/サービスに大きな、または重大な影響を及ぼす可能性がない、最小限の影響があるインシデント

  • 不適切な使用
  • 未承認のソフトウェア(悪意はない)
  • ポリシー違反

2 営業日

2 営業日

VII. データ・プライバシー法の遵守

CA TechnologiesのPrivacy Notice(プライバシーポリシー)は、こちらの弊社 Web サイトと他国ごとの Web サイトに掲載されており、Web サイトやオフラインで収集した個人情報を、CA Technologiesがどのように使用するかを説明しています。

CA Technologiesは、米国や日本やビジネスを行っている他のすべての国で、該当するデータ・プライバシーおよびセキュリティ法を遵守するためのプロセスを実施します。これには、違反通知法、州および連邦のプライバシー関連法規およびHIPAA/HITECHが含まれます(該当する場合)。

CA Technologiesには、EUデータ・プライバシー指令を反映したHRプライバシー・ポリシーおよびプライバシー/データ保護ポリシーと手順を含め、複数の社内プライバシー・ポリシーがあります。

また、CA Technologiesは、マサチューセッツ州情報セキュリティ規制およびその他の米国法規に準拠した書面による情報セキュリティ計画(WISP)も使用します。

セーフ・ハーバー・フレームワークを無効化する欧州司法裁判所による2015年10月6日の裁定に先立ち、CAは、米国-欧州セーフ・ハーバー・フレームワークと米国-スイス・セーフ・ハーバー・フレームワークの自己認定を確保しました。2016年9月、CAはプライバシー・シールド・フレームワークに自己認証しました。この欧州-米国プライバシー・シールド・フレームワークは、太平洋を横断する商取引を支援するため、米国商務省およびEUによって米国で構築されました。CAがプライバシー・シールドに参与しているということは、CAとその米国内関連会社が、データ処理に使用するEU内の個人データの収集、使用および保存に関して、欧州-米国プラバシー・シールド・フレームワークへの準拠に合意したことを意味します。プライバシー・シールド・フレームワークと、CAの認定ページについては、https://www.privacyshield.gov/をご覧ください。CAは、米国-スイス・セーフ・ハーバー・フレームワークにも準拠しています。

CA Technologiesはコントローラーのための拘束力のある企業規則(Binding Corporate Rules for Controllers)を遵守しています。これはデータ・コントローラーとしてデータを国際移転するための手法です。http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm

また、CA Technologiesは、お客様やパートナーに製品およびサービスを設定/提供する場合の顧客データ処理に関して、プライバシーおよびデータ保護に対するCAの決意を表明するダウンロード可能なデータ処理合意書(DPA) を用意しました。このDPAでは、このような製品およびサービスの設定/提供に関連して、欧州経済地域およびスイス以外での個人データの移動についても記載しています。このDPAは、「データの移動」ページでご覧いただけます。質問などがございましたら、datatransfers@ca.comまで電子メールにてご連絡ください。

TEL
0120-702-600
お問い合せ