セキュリティへの真摯な取り組み

クラウド セキュリティ ソリューションは IT インフラストラクチャにおいて重要な役割を持ち、 従業員、コントラクター、パートナー、お客様のクラウド サービス アクセスをコントロールします。 McAfee MVISION Cloud は、セキュリティおよびコンプライアンス ニーズに応える、エンタープライズ クラスの信頼できるサービスです。

McAfee はエンタープライズ クラスのサービスを提供するため、多くの投資をしています。 こういった投資には以下が含まれます。

  • SOC2 Type II
  • FedRAMP
  • ISO 27001
  • ISO 27017
  • ISO 27018
  • FIPS 140-2
  • CSA STAR
  • IRAP
  • コントロールとコンプライアンスの透明性
  • オペレーションとデータ
  • セキュリティの専門知識と監督
  • 独立した侵入テストと脆弱性テスト

認証

以下のセクションでは、MVISION Cloud 製品が取得した、または取得準備中の、第三者機関認証および業界標準認証について説明します。

SOC2 Type II

SOC 2 Type II 報告書は、 MVISION Cloud が AICPA の SOC 2 Trust Services Criteria (TSC) に準拠していることを証明するものです。

Trust Services Criteria には以下の指標が含まれます。

  • セキュリティ — システムに対する物理的および論理的不正アクセスへの対策がなされている。
  • 可用性 — コミットまたは合意したレベルのシステム可用性が提供されている。
  • 処理の整合性 — システム処理が完全かつ正確であり、承認されている。
  • 機密性 — 「機密情報」として指定された情報が、ポリシーまたは合意内容に従って保護されている。
  • プライバシー — 組織のプライバシー通知および AICPA の「一般に公正妥当と認められたプライバシー原則」に定められた基準に沿って、個人情報が収集、使用、保持、開示、および廃棄されている。

この報告書には、該当する指標を満たしているか否かについての CPA ファームのオピニオンが記されています。 このオピニオンでは、選択した TSC に則した統制がされているかについて、また Type I 報告書では統制が設計されているか、Type II 報告書では統制が設計され効果的に運用されているかが述べられています。

SOC2 Type II

FedRAMP

MVISION Cloud は Federal Risk and Authorization Management Program (FedRAMP) の認証を取得しています。MVISION Cloud はセキュリティ、コンプライアンス、およびガバナンス ポリシーのシームレスな執行と、ソフトウェア アズ ア サービス (SaaS) ソリューション (例: Office 365) の採用を可能にすることで、政府機関が米国政府のクラウドポリシーに準拠できるよう支援します。 クラウド プロバイダーがこの認証を取得するには、政府機関に義務付けられている厳しいセキュリティ要件を満たさなければなりません。 Skyhigh (現在のMVISION Cloud) は、クラウド アクセス セキュリティ ブローカー (CASB) として初めて「FedRAMP 準拠システム」に指定されました。

FedRAMP

ISO 27001

ISO 27001 はクラウドプロバイダーが取得できる認証の中で最も難しい認証の1つです。 ISO 認証の取得は、MVISION Cloud がさまざまなセキュリティ機能にどれほどコミットしているかを示しています。 Skyhigh (現在の MVISION Cloud) は、CASB として初めてこの認証を取得しました。この厳しい検証プロセスを通過したクラウド プロバイダーはわずか 4% です。 ISO 27001の認証を受けるには、全従業員が全般的な IT セキュリティの問題およびオンライン脅威に関するトレーニングを受講しテストを受けなければなりません。 MVISION Cloud は、British Standards Institute (BSI) 参加後に ISO 27001認証を取得しました。これは MVISION Cloud がオープン スタンダードおよびコントロールへコミットしていること、そしてそのコントロールとプラクティスの成熟度が高いことを証明しています。

ISO 27001

ISO 27017

ISO 27017 はアドオンの ISO 認証で、クラウド サービス プロバイダー向けに情報セキュリティ コントロール実装のガイダンスを提供しています。 MVISION Cloud は米国で初めて ISO 27017 認証を取得した CASB の一つです。 この国際規格は、情報セキュリティ コントロールの導入に関するガイドラインを提供し、クラウド サービス顧客、導入ベンダー、クラウド サービス プロバイダーを支援します。 またクラウド サービス プロバイダーとクラウド サービス顧客の説明責任を明確にします。 この認証はまた、ISO 27018と同様に、地域の規制や業界規制で定められるプライバシー要件への準拠をサポートします。

ISO 27018

ISO 27018 は、パブリック クラウド内の個人データ保護についての最初の国際規格です。これはパブリック クラウドに保存される個人情報 (PII) の保護統制とガイドラインを提供します。 Skyhigh (現在の MVISION Cloud) は初めて ISO 27018 認証を取得した CASB であるだけでなく、米国でこの認証を初めて取得した大手クラウド サービス プロバイダーのうちの一つでもあります。 この認証は、MVISION Cloud が PII 保護のためのセキュリティ コントロールを実装し、 お客様の指示に沿って PII を処理し、情報の保存、削除、アクセスの透明性を維持し、お客様データを広告に使用せず、データに対する法的要求をお客様に開示していることを証明しています。 この認証はまた、地域の規制や業界規制で定められるプライバシー要件への準拠をサポートします。

ISO 27018

FIPS 140-2

MVISION Cloud は FIPS 認証を受けています。 FIPS 140-2は、連邦政府以外でも暗号化のデファクト スタンダードとなっており、米国外でも重要なセキュリティ規格として認識されています。 FIPS 140-2認証は、MVISION Cloud の暗号化が第三者による厳しいテストを受け、法人向けの最高レベルの保護を提供していることを証明するものです。

CSA STAR

CSA STAR はクラウド セキュリティの権威として知られる Cloud Security Alliance (CSA) が策定した、クラウド プロバイダー向けのセキュリティ診断プログラムです。 STAR は透明性の原則に基づき、厳しい監査、規格の確認を行い、CSA の Cloud Controls Matrix (CCM) を用いて継続的なモニタリングを行います。 CSA の CCM はクラウド特有のセキュリティ コントロールで、主要な規格、ベストプラクティス、そして規制に合わせて作成されています。 MVISION Cloud は CSA STAR の自己評価を実施して、クラウド セキュリティのベスト プラクティスに沿っていることを確認し、またクラウド オファリングのセキュリティ ポスチャを評価しました。 MVISION Cloud のコンセンサス評価イニシアチブのアンケート (CAIQ) は https://cloudsecurityalliance.org/star/registry/mcafee/ でご覧いただけます。

CSA STAR

IRAP

McAfee MVISION Cloud は、Australian Information Security Registered Assessors Program (IRAP) で初めて PROTECTED セキュリティ分類レベルの認定を取得したクラウド アクセス セキュリティ ブローカー (CASB) プラットフォームです。

IRAP は Australian Signals Directorate (ASD) のイニシアチブで、オーストラリア連邦政府に高品質の情報通信技術 (ICT) セキュリティ評価サービスを提供することを目的としています。

McAfee MVISION Cloud はこのクラウドセキュリティ評価を完了し、Australian Cybersecurity Centre (ACSC) のクラウドセキュリティ評価および認定フレームワークで定められるコントロール/セキュリティ目標を達成していることが認定されました。 McAfee は Protected セキュリティ分類レベルでの IRAP 認定を取得したため、オーストラリア政府向けに機密データとインフラストラクチャ保護サービスを提供することを許可されています。

IRAP

コントロールとコンプライアンスの透明性

McAfee は TRUSTe Privacy Seal の認証を受けています。これは McAfee のプライバシー ポリシーとプラクティスが TRUSTed Cloud プログラム要件を満たし、EU セーフハーバー要件も満たしていることを証明するものです。 McAfee はまた、セキュリティ コントロールについて Cloud Security Alliance Security, Trust and Assurance Registry に登録しています。

オペレーションとデータ

McAfee オペレーションは AWS や XO communications などといった業界リーダーとパートナーを組み、安全で、高性能で、可用性の高いインフラストラクチャを提供しています。 インフラストラクチャへのアクセスは厳しくコントロールされ、信頼できるシニア チームメンバーしかアクセスできないようになっています。 また2要素認証や IPSec 仮想プライベート ネットワーク (VPN) を使って認証とデータ暗号化を強化しています。

セキュリティ専門知識と監督

サービスは実績あるエンタープライズ セキュリティ チームが提供しています。 Skyhigh の創立前、このチームは Cisco において、さまざまな IT スタックで標準規格ベースの一貫したアクセス ポリシーを管理、執行、監査するプロダクトを担当していました。 このチームが担当した Identity Services Engine は、Cisco で栄誉ある Pioneer Award を受賞し、同社のビジネスに大きな変革をもたらしました。

独立した侵入テストと脆弱性テスト

私たちは継続的に自身を監査します。しかしリチャード・ファインマンの「自分を騙してはいけません。自分で自分自身をだますことは簡単です。」という名言を常に心にとめ、主要なソフトウェアリリースは、少なくとも年に4回、第三者の Kratos に監査を受けています。

無料デモ

要求

クラウド監査

詳細情報