クラウドアプリケーションのセキュリティ・コンプライアンスチェックの一般的な確認方法を整理するとともに、New Relicがどのような対応を行っているかをご紹介します。
はじめに
クラウド活用が日常になり、近年では全てを自分たちで所有して作り上げる時代から、数あるソリューションを組み合わせて効率的に利用する時代へと変わっています。New Relicもオブザーバビリティプラットフォームとしてお客様のデジタルサービスを分析・可視化するためのSaaSサービスとして多くのお客様にご利用いただいています。このようなパラダイムシフトの中、利用するサービスが安心して利用できるのか、または信頼に値するサービスなのか、を判断する必要性が出てきます。これは難しい問題です。
ここでは、上記課題に対して、一般的にどのような確認方法があるのかを整理するとともに、New Relicがどのような対応を行っているかを理解した上で安心してご利用いただけることを確信いただくを目的としています。
セキュリティチェックの必要性
今までは、自社にあるサーバーの中で全てが処理され、管理体制も自分たちで構築運用することができました。しかし、New Relicをはじめとする外部サービスでは、サーバーがどこにあるのか、かつどのように管理・運用されているかをユーザーが直接確認できない状態のものが多くなります。
見えない部分について、ただ「信用してください」と言われただけでは安心して利用することはできないかもしれません。特に、金融システムなどの社会的影響が大きいミッションクリティカルなサービスや多くのステークホルダーが存在する大企業などでは、利用する外部サービスが様々な観点で問題がないことを事前に確認する必要性が一層高まります。よって、利用する外部サービスが問題ないことを客観的に確認するためにセキュリティチェックを行う必要性がでてきます。多くの企業では、このようなプロセスをルール化し、抜け漏れのないよう統制しています。
外部サービスの信頼性を確認する指標
New Relicをはじめとする外部サービスを提供する多くの企業では、外部機関による各種認証を取得するとともに定期的に監査を受けることで、アーキテクチャや運用管理方式の信頼性を客観的に証明しています。また、New Relicはこれ以外にも、自主的に様々な情報を公開することによってその透明性を高めています。
New Relicが取得している各種認証情報(抜粋)
New Relicは、様々なセキュリティ・コンプライアンスに関する厳しい外部監査・認証を取得しています。これらの認証を取得し、かつ定期的な監査を行うことで、ハイレベルなセキュリティ対策及びコンプライアンスを実現、維持管理していることを客観的に証明しております。
New Relicが公開している各種情報
New Relicは、セキュリティ・コンプライアンスに関する各種体制の整備やチェックプロセスの策定・管理を行っており、積極的に情報を公開しています。これにより、ご利用者様自身でNew Relicの安全性を評価することができます。
New Relicの製品群
New Relicは、各種エージェントが様々なデータを収集しますが、そもそも機密情報に相当するデータを収集することはありません。また、収集するデータの中でもデータベースクエリパラメーターなど、機密情報に相当する可能性のある情報は自動的にマスクされて保存されるため、情報漏洩の心配がありません。詳細はこちらをご参照ください。
また、EU一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)などの一般的なプライバシー法で定義された個人データはデフォルトでは保持していません。カスタムで個人データに該当するデータを取得する場合は、ご注意ください。
まとめ
New Relicは数多くの外部認証を取得するとともに、情報を公開することで、安心してサービスをご利用いただけるよう努めています。見えない部分にこそサービスの本質が見え隠れするものです。ぜひ、New Relicのセキュリティ・コンプライアンスへの対応をお客様ご自身でもご覧いただき、安心できるサービスであることをご確認いただければと思います。
本ブログに掲載されている見解は著者に所属するものであり、必ずしも New Relic 株式会社の公式見解であるわけではありません。また、本ブログには、外部サイトにアクセスするリンクが含まれる場合があります。それらリンク先の内容について、New Relic がいかなる保証も提供することはありません。
