Elasticの製品とサービスのセキュリティ

Elasticは世界中のデータを攻撃から保護するというセキュリティ上の使命に専心しているため、製品とサービスのセキュリティを最優先事項に位置づけています。包括的な情報セキュリティプログラムをたゆまず実施し、技術的および組織的に適切な顧客保護対策を取っています。

Elasticでは経験豊富なセキュリティ担当者がチームを結成しており、セキュリティエンジニアリング、脅威検知、インシデントレスポンス、セキュリティ保証、リスクとコンプライアンスなどを含む多様な領域で活動しています。この情報セキュリティチームは、組織全体（特にエンジニアリングチーム）と連携して、テクノロジー面から事業面まで世界クラスのセキュリティを確保しています。

詳細については、Elastic Cloudのセキュリティに関するページをご覧ください。

Elasticは、お客様の個人データの保護に取り組んでいます。その一環として、EUの一般データ保護規則（GDPR）などをはじめとする、世界中のデータ保護に関する法律や規制の要件への準拠対応も行っています。Elastic Cloudでは、データのセキュリティ、機密性、整合性を保護することが契約内容として含まれています。詳細についてはElastic Cloudの標準利用規約と、データプライバシーに関する補遺をご覧ください。また、Elasticはデータを保護するだけでなく、お客様がデータ保護に関する法律や規制の要件に準拠しやすくなるよう支援することも目的としています。Elastic Stackは、プライバシーに関するコンプライアンス目標の達成を支援するために設計されました。

Elastic Cloudのクラスターは、ホスティングやデータ主権のニーズに対応。主要なクラウドサービスプロバイダーを通じてグローバルに利用できます。お客様は、アベイラビリティゾーンまたはリージョンのフェイルオーバー機能により、高可用性クラスターを実現することができます。Elastic Cloudのステータスページで、アップタイムデータの表示機能とアラートをご利用ください。

Elasticは、お客様に影響を与えるセキュリティ脆弱性に迅速に対処し、影響、深刻度、緩和対策に関する明確なガイダンスを提供することに注力しています。セキュリティコミュニティのメンバーおよびお客様と連携することで、当社の製品に影響を与えるセキュリティの脆弱性を把握し、責任を持って迅速にソリューションをリリースしています。Elasticのソースコードと問題の追跡は公開されています。脆弱性を発見された場合は、Elasticの製品とサービスの安全性を保つため、HackerOneバグ報奨金プログラムよりご報告ください。

Elasticは、全Elasticソリューションの、特にElastic Securityの熱心なカスタマーゼロです。つまり、当社の製品とサービスは、広く配布される前から実際の本番環境でしっかりとテストされています。Elasticでは、ロギングだけにとどまらない、できるかぎりあらゆるシーンで製品を使用しています。Elasticの情報セキュリティチームはElastic Stackの多様な機能を使用して、セキュリティイベントの作成、監視、検知、対応を日々実施しています。

詳細については、Elastic on ElasticとElasticセキュリティに関する記事をご覧ください。

Elasticでは、各ベンダーが当社のセキュリティとコンプライアンスの基準を満たしているかどうかを慎重に評価しています。Elastic Cloudはパートナー企業である主要なIaaS（Infrastructure as a Service）プロバイダーを通じて提供されます。各IaaSプロバイダーは、少なくともSOC 2監査とISO 27001認証を含む独立のサードパーティ監査を定期的に受けてサービスの安全性を示しています。これらの監査レポートと認証は、サードパーティのリスク管理プログラムの一環としてElasticによってレビューされます。

また、Elasticはサードパーティのコードのレビューも実施し、Elastic製品のサードパーティのオープンソースへの依存性リストも公開しています。

セキュリティ上の懸念がある場合は、security@elastic.coまでご報告ください。

PGPキーやその他の詳細については、Elasticのセキュリティ問題のページをご覧ください。