はじめに

New Relicにおけるセキュリティ・コンプライアンスへの対応（概要編）では、New Relicをはじめとする外部サービスを利用する際のセキュリティチェックの必要性と、利用者自身がNew Relicを安心して利用するための各種外部セキュリティ評価を確認する方法を解説しました。そして、New Relicが収集しているデータの種類や、取得している各種認証や公開情報を合わせて紹介し、安心して利用開始できるサービスであることを解説しました。

ここでは、New Relicが公開しているセキュリティ・コンプライアンスに関する情報のひとつであるConsensus Assessment Initiative Questionnaire (CAIQ)を例に、そのチェック項目を抜粋して解説します。New Relicがどのように設計され、管理・運用されているのかを理解するとともにに、セキュリティチェックプロセスで確認すべき主要項目への回答方法に関するTipsを紹介します。なおCAIQの全項目についてはこちらから確認することができます(英語)。

* 免責事項：以下の内容はNew Relic Inc.がCloud Security Allianceに2020年6月17日に提出した内容に基づいて作成した和訳です。当該和訳は、英文を翻訳したものですので、和訳はあくまでも便宜的なものとして利用し、適宜、こちらの英文原文を参照ください。

CAIQのチェック項目概要

CAIQでは、以下の項目についてのセルフアセスメントが行われています。大きく、事業継続や組織マネジメントに関すること、サービスのシステム構成に関すること、サービスの運用管理プロセスに関すること、の3つに分類できます。

1. 事業継続や組織マネジメントに関すること
   1. 事業継続に関する取組みについて
   2. コンプライアンスと監査
   3. 統制とガバナンス
   4. 従業員の責任と教育
   5. サプライチェーン（外部委託）マネジメント
2. サービスのシステム構成に関すること
   1. アプリケーションセキュリティ
   2. インフラストラクチャセキュリティ
   3. データセキュリティ
   4. データセンターのセキュリティ
   5. アクセス制御
3. サービスの運用管理プロセスに関すること
   1. 変更管理
   2. 脆弱性対策
   3. 端末管理
   4. セキュリティインシデント管理

それぞれについて、具体的にどのようなチェック項目があり、それに対してNew Relicがどのようなことを実現しているのか、みていきましょう。

CAIQチェック項目に対する回答（抜粋）

1. 事業継続や組織マネジメントに関すること

1.1 事業継続に関する取組み

• 大規模な災害などが発生した場合に備え、システム的なリカバリー設計はもちろん、組織としての意思決定などを継続するためのフレームワークが文書化されていますか？
  • はい。文書化されています。
• 文書化された災害対策フレームワークは定期的にテストされていますか？
  • はい。少なくとも年1回、災害対策を想定した事業継続のテストを実施しています。

1.2 コンプライアンスと監査

• SOC2 / ISO 27001または同様のサードパーティの審査や認定を取得していますか？
  • はい。取得しています。
• 内部監査及び外部機関による監査を実施していますか？
  • はい。少なくとも年1回の内部監査及び外部監査を実施しています。
• 業界のベストプラクティスとガイダンスで規定されている内容で、クラウドインフラストラクチャやアプリケーションに対する侵入テストを実施していますか？
  • はい。プロダクションおよびステージング環境での継続的なアプリケーションレベルの侵入テストを実行しています。

1.3 統制とガバナンス

• インフラストラクチャを情報セキュリティベースラインをもとに継続的に監視し、コンプライアンスを維持するために報告する機能を持っていますか？
  • New Relicは、サービス提供を安全に行うために、毎月の内部と外部ネットワーク/インフラストラクチャスキャンを実施しています。
• 情報セキュリティマネジメントプログラム（ISMP）を記述したドキュメントを提供していますか？
  • はい。セキュリティハンドブック、情報セキュリティポリシーを持っています。また、また、少なくとも年に一度、これらのドキュメントを見直しています。

1.4 従業員の責任と教育

• セキュリティポリシーや手順に違反した従業員に対して、正式な懲戒や制裁を行う方針がありますか？
  • はい。遵守すべき規定を文書化しています。と同時に、セキュリティポリシー、手続き、基準、および適用される規制要件を意識し、コンプライアンスを維持するために責任を通知しています。
• 従業員は、少なくとも年に一度訓練を受け、意識向上プログラムを受講していますか？
  • はい。事案を発生させないよう、少なくとも年1回従業員に対するセキュリティ研修を実施しています。

1.5 サプライチェーンマネジメント

• サードパーティプロバイダについて、情報セキュリティとプライバシーポリシーに従うことを契約の条件としていますか？
  • はい。第三者とのNew Relicの契約は、当社のセキュリティポリシーに概説要件への準拠を必須としています。
• サードパーティプロバイダがセキュリティ要件が満たされていることを確認するために、年次のセキュリティ評価及び監査を義務付けていますか？
  • はい。契約更新時に実施しています。
• サプライチェーン全体の合理的な情報セキュリティを確保するために、年に1回の見直しを行っていますか？
  • はい。年次監査の一環で、サプライチェーンに関する情報セキュリティ確保を行っています。

2. サービスのシステム構成に関すること

2.1 アプリケーションセキュリティ

• 本番環境へのデプロイ前に、コードのセキュリティ欠陥を検出するために自動化されたソースコード解析ツールを使用していますか？また、ビルド時にシステム/ソフトウェア開発ライフサイクル（SDLC）のためのセキュリティ業界標準（すなわち、OWASPソフトウェアアシュアランスの成熟度モデル、ISO 27034）にのっとったチェックを実施していますか？
  • はい。New Relicはステージング環境と本番環境の両方において、自動化された継続的な監視とコードのテストを実施しています。
• リリースに必要となるすべての要件と信頼のレベルが定義され、文書化されていますか？
  • はい。定義され文書化されたクライテリアが存在します。

2.2 インフラストラクチャセキュリティ

• ファイルの整合性（ホスト）とネットワーク侵入検知ヘルプを実装（IDS）ツールはタイムリーな検出、根本原因の分析による調査、およびインシデントへの対応を促進していますか？
  • はい。New Relicは、すべてのプロダクション環境にHIDSを使用しています。
• ファイアウォールのアクセス制御リストは文書化され、常に最新に維持管理されていますか？
  • はい。文書化され維持管理されています。
• 異常な入力または出力トラフィックパターンや、分散型サービス拒否（DDoS）攻撃などを検知・緩和する技術的な対策を実施していますか？
  • はい。検知・緩和に関する技術的な対策を実施しています。
• システムの容量要件は、テナントにサービスを提供するために使用するすべてのシステムの容量のニーズを予測して設計していますか？
  • はい。ビジネスの成長を予測に十分なキャパシティを確保しています。

2.3 データセキュリティ

• データは指定した地域の外に移動されることはありませんか？
  • はい。利用開始時にデータ保管地域（US or EU）を選択でき、以後選択肢た地域以外でデータが保存されたり、地域を跨いでデータが移動されることもありません。
• New Relicの利用を終了した場合のデータ削除はどのように行われますか？
  • サービスの利用を終了すると、すべてのデータは、30日以内に、データベースから削除され、90日以内にすべてのバックアップからの期限切れになります。
• アーカイブおよびバックアップデータは、保管期限を迎えた場合は安全な削除（例えば、消磁/暗号拭き取り）を行っていますか？
  • はい。廃棄プロセスを定め安全にデータの廃棄を行っています。

2.4 データセンターのセキュリティ

• 物理的なセキュリティ対策として、データセンターの周囲には、フェンス、壁、障壁、ガード、ゲート、電子監視、物理的な認証メカニズム、受付デスク、セキュリティパトロールなどの、機密データや情報システムを管理するに相応する対策を実施していますか？
  • はい。実施しています。
• 物理的なアクセス制御メカニズムがある確保するための場所で、出口と入口において例えばCCTVカメラ、IDカードなどの、チェックポイントを設けていますか？
  • はい。設けています。
• 担当者や関係する第三者があなたの文書化されたポリシー、標準、および手順に関する研修を受けてきたという証拠を提供することができますか？
  • すべての従業員は、毎年恒例の啓発研修中に情報セキュリティポリシーに訓練されています。第三者とのNew Relicの契約は、当社のセキュリティポリシーに概説要件への準拠を搭載しています。

2.5 アクセス制御

• 最小特権の原則に基づいて、アクセス制御を設計していますか？
  • はい。ユーザー管理、アクセス制御などの認証認可プロセスは、最小特権の原則に基づき設定され、特権アクセスについては必要最低限の許可された者しかアクセスできないようコントロールされています。
• 情報セキュリティマネジメントシステムへの（例えば、管理者レベル）特権アクセスを監視し、ログを記録していますか？
  • はい。アクセスログを記録し、全ての操作を記録しています。
• 不正または不適切なアクセスの影響を緩和するための仕組みは整備されていますか？
  • はい。アクセスログを記録し、不正な操作に関して検知する仕組みを実装しています。
• サードパーティのアイデンティティの認証サービスを利用することができますか？
  • New Relicのは、SAML 2.0をサポートしています。

3. サービスの運用管理プロセスに関すること

3.1 変更管理

• アプリケーション、システム、データベース、インフラ、サービス、オペレーション、施設について、変更を行う際には管理認可のための定められた方針と手順がありますか？また、システムの可用性、機密性、および完全性が定義された品質の変更管理とテストプロセスを持っていますか？
  • はい。定められたプロセスによって変更管理されており、明確なクライテリアが定義され、テストが実施されています。
• システムに対する不正なソフトウェアのインストールを制限し、それを監視するための仕組みを持っていますか？
  • はい。デプロイへのアクセスは許可されたユーザーに限定されています。 また、HIDSを導入しており、不正な変更などが行われた場合はアラート通知されるよう整備されています。

3.2 脆弱性対策

• ITインフラストラクチャ、ネットワークなど、システムのすべてのコンポーネントにインストールされているアンチマルウェアプログラムはありますか？
  • はい。アンチマルウェアは、すべての従業員のラップトップおよびすべてのWindowsシステムにインストールされています。 Linux運用サーバーは、IDSおよびその他の異常検出ソフトウェアがインストールされています。
• 業界のベストプラクティスによって規定されるように、定期的にネットワーク層及びアプリケーション層の脆弱性スキャンを行っていますか？
  • はい。四半期ごとのネットワーク侵入テストを実行します。アプリケーション層については、継続的な侵入テストを実行しています。

3.3 端末管理

• 従業員が使用する端末のパスワードポリシーが定められていますか？
  • はい。定められています。
• 端末管理に関する管理ポリシーを定め文書化されていますか？
  • はい。ポリシーが定められており、文書化されています。
• 従業員が使用する端末の利用するソフトウェアの最新パッチ適用状況をリモートで確認する仕組みがありますか？
  • はい。従業員端末のセキュリティパッチ適用状態は管理されています。

3.4 セキュリティインシデント管理

• 文書化されたセキュリティインシデント対応計画を持っていますか？
  • はい。セキュリティインシデント発生時に関する対応計画を定め、文書化されています。
• セキュリティインシデント対応計画を定期的にテストしていますか？
  • はい。少なくとも年1回、見直されています。
• すべての情報セキュリティ事故の種類、量、および影響を監視し、定量化していますか？
  • はい。過去に発生したすべての事件が追跡可能な状態に管理されます。
• 要求に応じて、あなたのテナントとセキュリティインシデントデータの統計情報を共有することができますか？
  • いいえ。一般的にお客様とこの情報を共有することはありません。

まとめ

いかがでしたか？概ねセキュリティチェックプロセスで確認すべき項目が網羅されていたのではないかと思います。 SaaSは不特定多数の方が利用するサービスであるが故に個別に情報を開示したりすることが難しいケースもありますが、別途NDAを締結することで、追加情報や補足ができる場合があります。これらの項目をチェックした上で、確認が必須である場合は、別途弊社担当までご相談ください。