PCI DSS、TISAX、HIPAA、FedRAMP…業界を横断して信頼を構築するElastic

unnamed-13.png

データ量が継続的に増えており、またテクノロジーによって世の中の相互接続が加速したことで、センシティブ情報に対するガイダンスと保護の必要性が高まっています。

業界を問わず多くの情報セキュリティリーダーが、最新の規制やコンプライアンス基準に準拠して顧客やビジネス、公的組織を保護する新たな手法を日夜検討しています。組織がデータプライバシーのベストプラクティスとコンプライアンス基準に到達しない場合、あるいはセンシティブ情報の濫用や保護の欠如が露呈する事態を迎えたときに、ビジネスに生じる潜在的な悪影響は誰もが知るところです。つまり、ブランドの失墜、顧客ロイヤルティの喪失、そして莫大な罰金と賠償金です。

医療情報を安全に保つ取り組みにおいても、顧客の金融資産を保護する、また政府の機密情報を守る、自動車産業で情報共有と格闘する取り組みにおいても、各セクターには微妙な違いがあり、個別の対応が必要です。 民間も公的セクターもこの点に注目し、業界特有のコンプライアンス基準を満たし、かつそれを上回る性能を提供するベンダーやパートナーの選定を行っています。

Elasticのマネージドプロダクト、およびセルフマネージドプロダクトはセキュリティを考慮して開発されており、顧客と組織の情報を安全に保つ目的で設計された複数の機能を搭載しています。Elasticはセクター固有の規制を遵守するため、業界の専門家や各種規制の統制機関と緊密に連携しています。また各種認証と証明書の保持を通じて、自社サービスがデータセキュリティとプライバシーについてプライバシーおよびコンプライアンス基準へ適合していることを自主的に監査し、確認しています。以下に、Elasticが準拠する業界基準の一部をご紹介します。

PCI DSS

enter image description here

ElasticはPCI DSSレベル1サービスプロバイダー認証を受けています。

PCI DSS(Payment Card Industry Data Security Standard、決済カード業界データセキュリティ基準)は、決済業界における絶対的基準です。PCI SSC(Payment Card Industry Security Standards Council、決済カード業界セキュリティ基準協議会)によって管理され、カード所有者のデータを受理、通信、格納するすべての組織向けに一連のセキュリティ基準を定めています。このモデルにおいてサービスプロバイダーは、脆弱性管理プログラムの維持、強力なアクセス制御の実装、ネットワークの定期的な監視とテスト、テクニカルコンポーネントとOSコンポーネントを対象とするその他の基準への遵守を義務付けられています。詳しくはこちらをご覧ください。

TISAX

enter image description here

TISAXはElasticを信頼あるパートナーとして認定し、情報セキュリティおよびデータプライバシー分野の“ハイレベル保護”を付与しています。

TISAX(Trusted Information Security Assessment Exchange)は、ドイツ自動車工業会(VDA)とENX(European Network Exchange)の協力によって制定されました。TISAXは社内分析、サプライヤー評価、情報交換に関する一般的な情報セキュリティ評価規格を定めています。TISAXの下、サプライヤー、ベンダー、契約者、ソリューションプロバイダー、OEM、自動車製造業者を含む業界全体に信頼あるエコシステムが形成されています。詳しくはこちらをご覧ください。

HIPAA

enter image description here

ElasticはHIPAAの基準に一貫して準拠しています。

1996年に制定されたHIPAA(Health Insurance Portability and Accountability Act、医療保険の相互運用性と説明責任に関する法律)は、センシティブな医療データの使用を規制する米国の一連のプライバシー法とデータ基準です。この法律は医療機関、医療保険、医療情報機関、協力事業者を含む法人を対象としています。対象法人がHIPAAのセキュリティ基準に準拠するには、秘密性、一貫性、および、電子的に保護された医療情報の可用性を確保していなければなりません。予測されるセキュリティ脅威や悪用、濫用に対してデータを保護する義務を負うほか、従業員のコンプライアンス認定取得が義務付けられています。

FedRAMP

enter image description here

Elastic Cloudは米国連邦リスクおよび承認管理プログラムでModerate Impactレベルの認証を取得しています。

FedRAMP(Federal Risk and Authorization Management Program、米国連邦リスクおよび承認管理プログラム)は米国内のクラウドサービス向けにセキュリティ承認の規格化されたアプローチを提示します。このプログラムは、連邦政府がクラウドサービスを導入、使用するにあたり、コスト効率にすぐれたリスクベースのアプローチを提供する手段として2011年に制定されました。FedRAMPはFISMAOMB Circular A-130およびFedRAMPポリシーに則り、承認のセキュリティ要件とクラウドサービスの継続的なサイバーセキュリティを規格化しています。

コンプライアンスは、最初の一歩

豊富な経験を誇るElasticのセキュリティ担当チームは、規制の垣根を超え、世界水準のセキュリティでElasticとそのテクノロジーをサポートしています。Elasticがコミットする基準とコンプライアンスを確実に満たすため、全てのベンダーとオープンソースプロジェクトを入念に審査しています。また、独立のサードパーティにより定期的に監査を受け、サービスのセキュリティを万全に保つIaaS(サービスとしてのインフラ)プロバイダーを選択し、パートナーシップを構築しています。

Elasticのコンプライアンスと、CSA STAR、ISAE 3000、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、SOC 2、SOC 3をはじめとする業界の情報セキュリティ基準についても詳しくご確認ください。組織のElasticsearchデータがGDPRに準拠していることを確認するには、ElasticのGDPRコンプライアンスページをご覧ください。