セキュリティ：データ セキュリティのポリシーと手順

2022年4月

データ セキュリティはプライバシーとコンプライアンスの基盤です。NetAppはTrust Centerを通じて、自社システムのセキュリティとお客様からお預かりしたデータの管理方法を規定する、データ セキュリティのポリシーと手順を明確に定めています。

NetAppは、データの保存、転送、処理に適正なセキュリティ対策を求める国際的なデータ セキュリティ法やデータ セキュリティ規則の要件に準拠し、暗号化、認証や許可の管理、侵入の報告、データ損失防止、パッチ管理など、適切なセキュリティに不可欠と広く認識されている対策を講じています。

NetAppは、暗号化キー管理のほか、さまざまな暗号化ソリューションを提供しています。ほかにも、ランサムウェアの脅威に組織がいつでも対抗できるよう、多種多様な手法やツールを提供したり、データの保持と削除に関する厳格なポリシーでデータ最小化を規定するなどの対策をとっています。NetAppのセキュリティの研究者は、ソフトウェアのバグやセキュリティ上の脆弱性の検出、影響の軽減、対応に熱心に取り組んでいます。

NetAppは、こうした保護対策を講じることで、社内の情報システムとそこに保存されているデータを保護しています。また、共有責任モデルに従って、お客様も同じ方法でデータを保護できるよう、必要な戦略、ツール、サービスを提供しています。

組織のインフラを、オンプレミスからハイブリッド クラウド、プライベート クラウド、パブリック クラウドへと変革する抜本的な変化では、データ セキュリティの責任をクラウド サービス プロバイダと共有することが重要です。共有責任モデルは、クラウド コンピューティング環境で、データのセキュリティ（機密性、整合性、可用性）の管理責任を負うべき当事者を明確にするモデルです。

サービス プロバイダであるNetAppは、NetAppのデータセンターの安全を物理的に守ったり、SaaSソリューションの脆弱性にパッチを適用するなど、NetAppのクラウド サービスを安全に運用する責任を負います。 

お客様は、パスワードの複雑さなどの企業ポリシーを、オンプレミスと同様に仮想環境全体にも適用して有効化するなど、クラウドでデータをセキュアに運用する責任を負います。

NetAppでは、パートナーのクラウド インフラ プロバイダも、Amazon Web Services、Microsoft Azure、Google Cloudから選択して、各自のサービスをセキュアに運用するよう管理してもらうことができます。

プライバシーに関する国際的な規則や法では、個人情報の保存、転送、処理に関して、適正なセキュリティ対策が求められています。米国では、経済状況、健康、その他の個人データなど、特定の部類にあたる情報は、適正な保護が法律で必要とされています。適正なセキュリティは、公正なビジネス習慣を規定する法律や、EUのGDPRなど、米国以外の個人データ保護法を支えるものです。 

適正なセキュリティに、定義済みの標準やエンジニアリングによる管理設定はありませんが、規制当局や裁判所では、一定の対策が不可欠だと認識されています。この対策には、暗号化、認証と許可の管理、侵害の報告、データ損失防止、パッチ管理などがあります。

NetAppは、これらの保護対策を導入して、社内の情報システムと、そこに保存されたデータを保護するとともに、お客様も同じ方法でデータを保護できるように製品とサービスを開発しています。

組織のセキュリティとデータ可用性に対する脅威、ランサムウェア攻撃は、要求される身代金を大きく上回る失費をもたらします。復旧費用、業務の中断、収益の減少、法的問題に発展する可能性、ブランド価値の低下によっても損害を受けるからです。 

こうした攻撃に備えるには、ランサムウェア対策が不可欠です。データのバックアップとリカバリなどのビジネス継続性計画は、ランサムウェア攻撃の影響を抑えるのに有効です。計画では、ランサムウェア攻撃の影響がおよばない別の場所にバックアップを独立させることが重要であり、感染前のデータ ポイントにRPOを再設定すれば、システムの再感染を防止できます。 

データ ストレージの世界的リーダーであるNetAppは、ランサムウェア攻撃の影響を最小限に抑え、復旧作業の手間を軽減し、スピーディなリカバリを可能にする戦略、ツール、サービスを幅広く提供しています。

セキュリティの脆弱性は、コンピュータ業界のほか世界中の企業や組織でも広く認識されています。NetAppは、セキュアな開発ライフサイクル（SDL）を確立することで、セキュリティの脆弱性に対処しています。NetAppのSDLは、業界のベストプラクティスと標準に基づいてセキュアなソフトウェアを開発する、繰り返し可能な6ステップのプロセスです。NetAppの全製品と全サービスの開発で、潜在するセキュリティの脆弱性を製品チームが評価して対応するためのフレームワークとプロセスを提供します。

SDLの土台は、厳格なセキュリティ トレーニングとセキュリティ チャンピオンの指名です。SDLのプロセスそのものが、セキュリティ評価、コンプライアンス計画とテスト計画の発表から始まります。続いて、製品のセキュリティの脆弱性とソリューションの実装状況を徹底的に評価し、確認済みの脆弱性が解決されているかどうかを検証し、最後に、製品セキュリティ インシデント対応チーム（PSIRT）がリスク報告の手順を確認し、監視を行って終了します。

パッチは通常、ソフトウェアのバグやセキュリティの脆弱性など、ソフトウェアやデータの既知の問題に対処するためにリリースされます。NetAppではセキュリティ研究者が、製品とサービスの保護に熱心に取り組んでおり、公開された脆弱性を追跡するセキュリティ コミュニティに参加しています。研究者は、コミュニティ外のお客様や研究者から、潜在的なセキュリティの脆弱性について情報を収集するプログラムの管理にもあたっています。提供された情報は、脆弱性対処ポリシーに従ってNetAppが評価、追跡し、セキュリティ アドバイザリを通じて定期的にパッチをリリースします。

このパッチの管理は、お客様のネットワークとデータの保護に必要な、適正なセキュリティ対策に欠かせません。NetAppの脆弱性管理とパッチ管理の運用方法も、共有責任モデルでの位置付けに関わらず、すべてのお客様をサポートするように設計されています。

暗号化は、個人情報のセキュリティの基本と広く認識されています。米国IRS公告1075など、一部の規制では、データを保存または転送する際に、特定の技術で所定の情報を暗号化することが求められています。EUのGDPRやカリフォルニア州消費者プライバシー法（CCPA）などの他の規制では、暗号化は必要ありませんが、個人情報が絡むデータの漏洩の影響を抑えるうえで、暗号化が重要な役目を果たすことは認められています。

NetAppは、ハードウェアとソフトウェアの両方をボリューム レベルまたはディスク レベルで暗号化するソリューションや、暗号化と復号化に使用するキーを管理するための暗号化キー管理など、さまざまな暗号化ソリューションを提供しています。

データ セキュリティの基本原則は、必要以上の個人情報を収集または保持しないこと、および許可された目的を果たして不要になったデータは削除することです。このデータ最小化の原則は、コンプライアンスの複雑さを軽減し、セキュリティ侵害が発生した場合の被害からデータを保護します。 

最も一般的なデータ最小化の方法は、保持が必要な情報、保持期間、削除する時期と方法を定義したデータ保持ポリシーとデータ削除ポリシーを制定し、適用することです。

NetAppのデータ削除ポリシーでは、お客様が返却するドライブに格納されているデータについて、データ最小化が定められており、メディアを返却する場合は、返却前に、格納しているすべてのデータをお客様が削除、暗号化、またはリカバリ不能にするよう指示されています。