Back to top icon

Article

New Relicにおけるセキュリティ・コンプライアンスへの対応(概要編)

クラウドアプリケーションのセキュリティ・コンプライアンスチェックの一般的な確認方法を整理するとともに、New Relicがどのような対応を行っているかをご紹介します。

はじめに

クラウド活用が日常になり、近年では全てを自分たちで所有して作り上げる時代から、数あるソリューションを組み合わせて効率的に利用する時代へと変わっています。New Relicもオブザーバビリティプラットフォームとしてお客様のデジタルサービスを分析・可視化するためのSaaSサービスとして多くのお客様にご利用いただいています。このようなパラダイムシフトの中、利用するサービスが安心して利用できるのか、または信頼に値するサービスなのか、を判断する必要性が出てきます。これは難しい問題です。

ここでは、上記課題に対して、一般的にどのような確認方法があるのかを整理するとともに、New Relicがどのような対応を行っているかを理解した上で安心してご利用いただけることを確信いただくを目的としています。

 

セキュリティチェックの必要性

今までは、自社にあるサーバーの中で全てが処理され、管理体制も自分たちで構築運用することができました。しかし、New Relicをはじめとする外部サービスでは、サーバーがどこにあるのか、かつどのように管理・運用されているかをユーザーが直接確認できない状態のものが多くなります。

security

見えない部分について、ただ「信用してください」と言われただけでは安心して利用することはできないかもしれません。特に、金融システムなどの社会的影響が大きいミッションクリティカルなサービスや多くのステークホルダーが存在する大企業などでは、利用する外部サービスが様々な観点で問題がないことを事前に確認する必要性が一層高まります。よって、利用する外部サービスが問題ないことを客観的に確認するためにセキュリティチェックを行う必要性がでてきます。多くの企業では、このようなプロセスをルール化し、抜け漏れのないよう統制しています。

 

外部サービスの信頼性を確認する指標

New Relicをはじめとする外部サービスを提供する多くの企業では、外部機関による各種認証を取得するとともに定期的に監査を受けることで、アーキテクチャや運用管理方式の信頼性を客観的に証明しています。また、New Relicはこれ以外にも、自主的に様々な情報を公開することによってその透明性を高めています。

 

New Relicが取得している各種認証情報(抜粋)

New Relicは、様々なセキュリティ・コンプライアンスに関する厳しい外部監査・認証を取得しています。これらの認証を取得し、かつ定期的な監査を行うことで、ハイレベルなセキュリティ対策及びコンプライアンスを実現、維持管理していることを客観的に証明しております。

 

No. 認定期間 Logo 説明
1 FedRAMP

New Relicは、米国行政管理予算局(OMB)との間で、連邦リスクおよび認可管理プログラム(FedRAMP)の運営権限(ATO)を達成しました。FedRAMP ATOにより、New Relicは、FIPS199「中程度」セキュリティへの影響レベルで動作するシステムのクラウドサービスプロバイダー(CSPとして動作できます。詳しくはこちらから確認することができます。
2 AICPA SOCタイプ2

New Relicは、この業界標準のセキュリティ監査を毎年受けており、2013年から例外なく合格しています。データセンターとエージェントだけでなく、社内のセキュリティポリシー、プロセス、および内部セキュリティポリシーについても、最高レベルで検証されています。
3 国土安全保障省

New Relicは、国土安全保障省の継続的な診断および軽減(CDM)承認製品にあります 。承認製品のリストはこちらに記載されています。
4 GDPR and EU Compliance

New Relicは、製品内の個人データを処理することを選択したお客様がGDPRおよび適用されるデータ保護法に従って処理できるようにするための措置を講じています(EU-米国およびスイス-米国のプライバシーシールド)。なお、GDPRに関するよくある質問はこちらからも確認可能です。

 

New Relicが公開している各種情報

New Relicは、セキュリティ・コンプライアンスに関する各種体制の整備やチェックプロセスの策定・管理を行っており、積極的に情報を公開しています。これにより、ご利用者様自身でNew Relicの安全性を評価することができます。

 

No. 公開情報 説明
1 Consensus Assessments Initiative Questionnaire(CAIQ)のセルフアセスメント New Relicは、Cloud Security Alliance(CSA)のSTARレジストリにセキュリティ管理策を文書化して公開することにより、CSASTARの自己評価を行っております。これは、クラウドセキュリティの主要な原則である透明性、厳格な監査、標準の調和、継続的な監視を順守していることを示しています。評価項目は、業界標準、ベストプラクティス、および規制にマッピングしており、New Relicが安全であるかを評価する際の指標としてご活用いただけます。
2 Security & Privacy Handbook New Relicが公開しているセキュリティ・コンプライアンスに関する資料です。New Relicがどのように動いているのか、どのような観点でセキュリティを考慮しているかを纏めています。New Relicが提供する各種Agentに関するセキュリティ、ネットワーク通信に関するセキュリティ、データセンター内のストレージに関するセキュリティなどを取りまとめるとともに、データの扱い方などについてのポリシーも整理されています。
3 1:General Data Privacy Notice
2: New Relic Services Data Privacy Notice
1: ホームページやイベント参加情報及びアカウント情報などに関する取り扱いについて解説した資料になります。
2: New Relicの各種エージェントによって収集されるデータの扱いなどを説明した資料になります。いずれの資料も、お客様のデータを収集、共有、使用する方法、およびお客様がプライバシー権を行使する方法について説明しています。New Relicでは、お客様の情報を保護し、収集する情報とそれをどのように使用するかについて透明性を保つことを約束します。
4 サービス利用規約サービス利用条件 New Relicを利用するにあたり、契約締結と同時に交わされる規約になります。お客様のデータの取り扱いやセキュリティ・責任範囲、機密保持、サービスレベルコミットメント、免責等に関する事項が取りまとめられております。

New Relicの製品群

New Relicは、各種エージェントが様々なデータを収集しますが、そもそも機密情報に相当するデータを収集することはありません。また、収集するデータの中でもデータベースクエリパラメーターなど、機密情報に相当する可能性のある情報は自動的にマスクされて保存されるため、情報漏洩の心配がありません。詳細はこちらをご参照ください。

security-2

また、EU一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)などの一般的なプライバシー法で定義された個人データはデフォルトでは保持していません。カスタムで個人データに該当するデータを取得する場合は、ご注意ください。

 

まとめ

New Relicは数多くの外部認証を取得するとともに、情報を公開することで、安心してサービスをご利用いただけるよう努めています。見えない部分にこそサービスの本質が見え隠れするものです。ぜひ、New Relicのセキュリティ・コンプライアンスへの対応をお客様ご自身でもご覧いただき、安心できるサービスであることをご確認いただければと思います。

Related Resources

導入事例

サービス品質と監視コストを大幅に削減したJapanTaxi株式会社

導入事例

クラウドコストを40%削減したインフォメディアのNew Relic導入

導入事例

クラウド移行の成功とコンテンツ提供速度、ユーザー体験の向上を実現した株式会社ドワンゴ

記事

New Relic APM の優れた特徴 10 選