Cloudflareは創業以来、世界中のお客様の安全を確保することに注力してきました。当社のサービスは当社自身のデータだけでなく、お客様のトラフィックとデータを保護します。また、変化を続けるインターネットの脅威に対応するため、これらのサービスを継続的に改善、拡大しています。それを達成することは様々な意味で冒険となりますが、セキュリティチームは人材、証明、透明性に重点を置き、企業と当社製品とのつながりが信頼性の高いものになるようにしています。
ユーザー
セキュリティチームのナレッジは幅広く、そして最先端です。セキュリティ企業のセキュリティチームとして働くということは、高い技術力を持ち、 多様性に富み、自ら進んであらゆる製品をテストする意思を持ち、そして業界団体や 世界中のカンファレンスを通して、地域や世界のコミュニティとナレッジを共有する意思があることを意味します。ミートアップやカンファレンスを通じてお客様や取引先とつながって問題を共有し、今後の業界トレンドを学び、フィードバックを共有することで、お客様のエクスペリエンスを向上させることができるのです。正式に文書化されたCloudflareのリスクベースのセキュリティプログラムを実行するほか、当社の製品チームとインフラチーム全体で、変更に関するレビューや助言、脆弱性の特定と対処、システムやデータの権限とアクセス制御、転送中および静止中のデータの暗号化、脅威とインシデントの検出と対応によって、継続的改善の努力を推進しています。
証明
セキュリティの強化を宣言するのは良いことですが、宣言した通りのことが実施できていると、お客さまはどうすれば確認できるのでしょうか?当社は年に数回の監査を受け、セキュリティ対策が業界基準を満たしていることを証明しています。現在までに、Cloudflareは定期的な評価のもと、PCI DSS(加盟店およびサービスプロバイダとして)、SOC 2 Type II、ISO 27001、ISO 27701の各基準に準拠し続けています。お客様が世界のどこにいても、これらの基準の少なくとも一つには頼る必要が出てきます。私たちは、その信頼を裏付けるバックボーンとしての責任を喜んで引き受けます。
Cloudflareの顧客基盤は複雑で厳しい要件を持つ、より規制の厳しい業界へと拡大し続けているため、今年は当社のグローバルネットワークを3つの追加基準に照らし合わせて評価することにしました。
FedRAMP(Federal Risk and Authorization Management Program)は、クラウドコンピューティング環境における米国政府機関のデータ保護に関する基準に照らして、当社のシステムおよび実務を評価するものです。Cloudflareは、 FedRAMP Marketplace に、影響度「中」の事業者としての認可を取得するため、「進行中」の企業として掲載されています。現在、監査人によるセキュリティ評価報告書をまとめる最終段階に入っており、2022年の運用認可取得を目標としています。
ISO 27018は、クラウドプロバイダーとして個人を特定できる情報(PII)を保護するための当社の対応を検証するものです。ISO 27001が拡張されたこの規格は、当社の情報セキュリティマネジメントシステム(ISMS)がPIIの処理に関連するリスクを管理することを保証するものです。第三者機関による審査は完了し、来月の認定を待っているところです。
C5(Cloud Computing Compliance Criteria Catalog)は、ドイツの連邦電子情報保安局(BSI)によって導入された、クラウドコンピューティングに関して定められたセキュリティレベルの基準に対する妥当性確認基準です。Cloudflareは現在、第三者監査人によって本カタログへの準拠の評価を行なっている最中です。私たちの道のりについては、こちらをご確認ください。
透明性
顧客とビジネスに対するセキュリティを提供するということは、非常に優れた透明性を持っていなければなりません。セキュリティインシデントを収束させる際には、法務、コンプライアンス、コミュニケーションの各チームを招集して通知計画を決定するだけでなく、たとえ収束作業の途中であっても、対処方法に関する詳細な説明を行います。
セキュリティインシデントが発生した際に重要なベンダーが沈黙し、セキュリティの脆弱性やインシデントによってどのような影響を受けたかが判然としない、簡素な法的回答しか得られない時、お客様がどれほどの不満を感じるか、私たちは身をもって理解しています。ここCloudflareでは、透明性を保つことが私たちのDNAとなっています。私たちが書いたブログ記事(Verkada Incident、Log4j)を読んでいただければ、当社がどれほど迅速に、実施済み・実施中の対応内容をお客様にお伝えしたかがお分かりいただけます。
インシデントに関してお客様からよくいただく質問のひとつに、サードパーティが影響を受けたかどうかというものがあります。SolarwindsやLog4jのようなサプライチェーンの脆弱性が出てきたことで、重要なベンダーに一斉に自動問い合わせを行うなど、効率的な対策を生み出すに至りました。セキュリティインシデント対応プロセスの封じ込め段階において、当社のサードパーティリスクチームは、影響を受けたベンダーを迅速に特定し、本番環境およびセキュリティベンダーの優先順位を決定します。当社のツールにより、第三者への問い合わせを直ちに開始することができ、当社チームをインシデント対応プロセスに統合することで効果的なコミュニケーションを行います。ベンダーから得たいかなる情報もセキュリティ・コンプライアンス・フォーラムで共有し、同じようにベンダーに問い合わせをしている他の企業が同じ作業を繰り返す必要がないようにしています。
価値
これらの定期的な監査や評価は、ウェブサイトに飾るためのバッジではありません。当社のセキュリティチームは、監査に合格するためだけの証拠を作るのではなく、リスクの特定、リスクに対応する制御とプロセスの確立、プロセスの継続的運用、プロセスの有効性評価(内部および外部の監査やテスト)、そしてその評価に基づくISMSの改善を行います。私たちを競合から差別化しているのは、以下のようなプロセスです。
多くの企業ではベンダーへの連絡を行わず、このプロセスがインシデント対応手順に組み込まれていません。log4j の件では、当社のベンダー・セキュリティ・チームはインシデントが確認された直後から対応チームと電話で連絡を取り、ベンダーへの対応について定期的に更新情報を提供しました。
多くの企業は、当社のように積極的にお客さまとコミュニケーションをとることはありません。当社は法的に求められていない場合でも、要求の有無にかかわらず、それが正しいことだと感じているためお客様とコミュニケーションをとっています。
また、この分野では通常、カスタマイズしたアンケートをベンダーに迅速に送信できるほど柔軟なツールを持っていません。当社はこのようなアンケートをすぐに大量に送信し、現在対応中の脆弱性に合わせて質問を調整する自動化機能を実装しています。最後に、当社のセキュリティ状況の結果をお客様にお伝えしています。当社のセキュリティ認証と評価結果は、Cloudflareダッシュボードからダウンロードするか、お客様のアカウントチームにリクエストすることで入手できます。当社の認証とレポートに関する最新情報については、当社のTrust Hubをご確認ください。