データセキュリティリスク管理に対するアドビのアプローチ
更新日:2020年4月
アドビでは、製品やサービスのエンジニアリングに関する業界標準に準拠するよう設計された、セキュリティプロセスとセキュリティプラクティスの作成に、大規模な人的および財務的資源を投入しています。アドビでは、お客様のデジタルエクスペリエンスのセキュリティについて真剣に考えたうえで、社内のソフトウェア開発とオペレーションプロセスにセキュリティ対策を根付かせています。
アドビサービスによって収集、処理、転送、保存されたデータは、データの分類と処理に関するアドビのプロセスを通じて分類されます。その後、データは指定された分類要件と処理要件に従って保護され、それにより、データに対するセキュリティ制御が適切に適用されます。
データセキュリティリスクへの積極的な取り組み
アドビでは、セキュリティ体制を維持するために設計された、一連の開発および運営手順を管理しています。Adobe Secure Product Lifecycle(SPLC)は、ソフトウェア開発プラクティスから、プロセス、ツールに至るまで、数百に及ぶ厳格なセキュリティ対策を取りまとめたものです。SPLCは、アドビの製品やサービスを使用する際にお客様の情報が安全かつセキュアに保たれるよう、徹底的に設計されており、製品ライフサイクルの複数のステージに統合されています。アドビのSPLCは、お客様、株主様、パートナー、従業員、およびビジネス自体によって求められる、然るべき注意の水準を維持するためのものです。Adobe SPLCは、継続的なコミュニティ活動によって補完され、技術、セキュリティプラクティス、脅威の展望に変化が生じても、常に最新状態が保たれるよう進化します。
Adobe Service Lifecycle(SLC)は、製品のリリース計画を検証し、アドビのプロジェクト、サービスおよびリリースのすべてのポートフォリオにわたって、統一されたロードマップと戦略を実施するために導入された、ポートフォリオ管理フレームワークです。このフレームワークには、お客様中心の統一された製品セキュリティビジョンがアドビ全体で達成されるようにするよう、アドビのSPLCが統合されています。
サードパーティのサイバーセキュリティの基準、規制、認定
アドビでは、ISO 27001:2013に従って、情報セキュリティ管理システム(ISMS)を管理しています。ISMSは、情報セキュリティ対策に関する経営陣の責任と役割を示した、情報セキュリティ関連のポリシーと基準で構成されています。アドビのISMSでは、アドビのCommon Controls Framework(CCF)と連携して、セキュリティ上の役割と責任が関連のアドビ担当者に伝達されます。またこのISMSにより、アドビのセキュリティリスク、優先度、およびプロジェクトに沿って継続的に改善される、持続可能なセキュリティプログラムがサポートされます。
Common Controls Framework(CCF)は、アドビの全社的セキュリティコンプライアンス戦略の根本的なフレームワーク、および柱となるものです。CCFは、規制要件とセキュリティ対策を包括的にまとめたもので、アドビの製品オペレーションチームをはじめ、インフラやアプリケーションを担当する様々なチームにも導入されています。CCFは、業界の情報セキュリティとプライバシーに関する様々な基準を統合、関連付け、合理化して開発されました。CCFを導入することで、SOC 2、ISO 27001、PCI、FedRAMPなどのセキュリティに関する認定、基準、規制をアドビのクラウド製品、サービス、プラットフォーム、オペレーションに組み込んでコンプライアンスに準拠しています。 CCFを使用したアドビの制御環境は、論理アクセス、物理アクセス、データセキュリティ、インシデント対応、変更管理、セキュリティの運用と管理など、アドビがおこなう内部制御のすべてのコンポーネントの基盤を提供するものです。
アドビでは、コンプライアンスに対する取り組みの一環として、 経営陣や従業員がセキュリティ管理のプロセスに準拠できるようにするための、数百項目以上のセキュリティ、プライバシーおよび関連ポリシーと基準を開発し、管理しています。ポリシーは定期的に更新されて従業員に伝達され、従業員はこれらに簡単にアクセスすることができます。
さらに、アドビの従業員には、全体的なセキュリティ啓発研修を年1回受けることが義務付けられています。場合によっては、エンジニアリングとセキュリティに関する追加の研修も義務付けられます。研修内容は、アドビのセキュリティポリシーとセキュリティ基準に沿って作成されており、毎年レビューと更新がおこなわれています。
脆弱性の特定
アドビでは、データのセキュリティやサービスの可用性を損なわせる可能性がある脆弱性を特定して解決するという目標のもと、本番環境を積極的に監視しています。脆弱性評価は、アドビのテクノロジースタックを構成するインフラストラクチャ、プラットフォームおよびアプリケーションに対して実施されます。
またアドビでは、自社のホストとネットワークデバイスに対してスキャンを定期的に実施し、脆弱性を検出しています。さらに、アドビでは定期的にペネトレーションテストも実施しています。これらのペネトレーションテストは、内部チーム、または専門的なスキルを持つサードパーティのセキュリティ調査会社によって実施されます。
内部や外部の脆弱性スキャンとペネトレーションテストを通じて見つかった脆弱性は文書化、評価、優先順位付けがおこなわれ、必要な場合には修復計画への割り当てがおこなわれます。
反応性の高いセキュリティ対策
Adobe Security Coordination Center(SCC)内のSecurity Operations Center(SOC)では、商用のセキュリティ情報およびイベント管理(SIEM)ソリューションを使用して、様々なデータソースを取得し、分析しています。ローカル分析とリモート分析は、最新のフォレンジック研究所でおこなわれています。SCCでは、アドビのSIEMソリューションを通じて収集された情報を使用して、潜在的な脅威の検出がおこなわれています。何らかの基準のしきい値や怪しいイベントロジックがトリガーされた際には、アラートが生成されます。
報告済みのセキュリティインシデントが検出された場合は、SCCがイベントを分析して調査し、それが確認済みのインシデントか、それとも誤検出かを判定します。インシデントが確認済みの場合は、潜在的な関連リスクを評価します。従業員はSIEMツールを継続的に調整してノイズデータを取り除き、誤検出をなくして、最も重要な脅威が適切に優先付けされるようにします。
潜在的リスクが確認されたら、SCCがインシデントの処理と対応を開始します。具体的には、データ(ログやフォレンジックイメージなど)を収集して、インシデントの根本原因や、リスク軽減のための最善の措置を特定する作業などをおこないます。
インシデントが解決されたら、SCCはインシデント対応ライフサイクルの最終フェーズに入ります。具体的には、事後分析などのプロセスとフィードバックループに着手します。インシデントの事後分析では、効果的に実施されたことと改善の余地があること、類似のインシデントからアドビを効果的に防御する方法、今後アドビのリソースを重点的に投入すべき箇所などが分析されます。このプロセスを通じて、SCCはアドビの組織全体にわたって体制の改善を促進し、必要な場合には、プロセスを支援するための予防的ガイダンスを提供します。
インシデントへの対応
SCCでは、アドビのクラウドサービス、インフラストラクチャ、および企業機密情報に対する一般的な脅威に対処していますが、アドビのProduct Security Incident Response(PSIRT)チームでは、サードパーティ、特に独立系のセキュリティリサーチャーによって開示または発見されたアドビ製品の脆弱性に対する対応を管理しています。PSIRTでは、お客様、アドビのインフラストラクチャ、およびアドビのブランドに対するリスクを最小限に抑えられるような方法での個別開示を奨励しています。PSIRTは、業界パートナー、独立系リサーチャー、CERTおよびその他の関係者が、アドビのソフトウェア、サービスおよびインフラストラクチャに影響する潜在的なセキュリティ脆弱性を個別に開示できるようにするための、コミュニケーションチャンネルを提供しています。PSIRTは、それらの開示情報を調査した後、影響を受けるテクノロジーオーナーと連携して、確認済みの脆弱性を修正または緩和します。
さらにアドビでは、業界の脅威に関するフィードと電子メールリストに加入して、同業他社や関連業界からの脅威インテリジェンス情報を収集しています。情報は構造化された形式で受信されるので、アドビのSIEMシステムに簡単に配信できます。アドビでは、業界標準ツールを使用した自動化機能とレビュー担当従業員を組み合わせた、多面的な脅威インテリジェンスプログラムを整備して、受信したインテリジェンスをフィルタリングしています。これらの外部ソースや内部ソースから抽出された情報は、アドビのインシデント対応チームのメンバーが必要な措置を判断するために使用されます。
アドビでは、インシデント対応プロセスを通じて、そのインシデントの影響を受ける可能性がある、自社の情報や他者の情報を保護するための措置を講じています。特に、このプロセスでは、インシデントが外部の関係者に影響をもたらすかどうかや、外部とのコミュニケーションが適切かどうかが、ケースバイケースで検討されます。そのようなコミュニケーションが必要と判断される場合には、関連するアドビ役員と法務部が連携し、アドビの法令上の義務に従って、必要に応じたコミュニケーション計画を開発し、実行します。
ベンダー管理部門
アドビでは、自社のベンダーのセキュリティを評価するため、ベンダーリスク評価プログラムを開発しました。は、アドビが管理する物理オフィスやデータセンターの外でアドビの内部データや機密データを収集、保存、処理、転送、または廃棄するサードパーティベンダーが準拠しなければならない、一連の要件をまとめたものです。典型的な対象としては、アドビのデータを自社のサイト、クラウドサービス(SaaS、PaaS、IaaS、XaaSなど)、LAN-to-LAN VPN接続、およびデータセンターで処理し、保存するベンダーなどが挙げられます。Guardrailsリスク評価プログラムでは、アドビのベンダー情報セキュリティ基準に対する各ベンダーのコンプライアンスを評価し、ベンダーのセキュリティ対策をリスクベースでレビューします。これによりアドビのマネージャーは、そのベンダーとの関係を続けるかどうかについて、事実にもとづいた意思決定をおこなうことができます。
アドビのデータセキュリティ対策について詳しくは、以下の関連リンクをご覧ください。
環境保全と企業の社会的責任に関するアドビの最新の取り組みについてはブログをご覧ください。