トラストセンターFAQ
セキュリティ
Elasticは社内で自社製品を使用していますか?
Elasticは、全Elasticソリューションの、特にElastic Securityの熱心なユーザーでもあります。つまり、当社の製品とサービスは、広く配布される前から実際の本番環境でしっかりとテストされています。Elasticでは、ロギングだけにとどまらない、できるかぎりあらゆるシーンで製品を使用しています。Elasticの情報セキュリティチームはElasticsearchプラットフォームの各種機能を使用して、セキュリティイベントの作成、監視、検知、対応を日々実施しています。
詳細については、Elastic on ElasticとElasticセキュリティに関する記事をご覧ください。
Elasticは情報セキュリティマネジメントシステムを使用していますか?
ElasticはISO 27001(ISO 27017とISO 27018を含む)認証を受けた情報セキュリティマネジメントシステム(ISMS)を正式に導入しました。Elasticの情報セキュリティガバナンスポリシーは、あらゆる情報セキュリティポリシー、標準、ガイドラインのバックボーンになっています。ElasticのISMSには、お客様のクラスターデータを不正なアクセス、変更、削除から保護するための包括的で適切な技術的・組織的な対策が組み込まれています。
ユーザーのデータを保護するために行われている論理的制御にはどのようなものがありますか?
Elasticでは、アクセス制御を導入し、お客様のクラスターデータを処理するシステムにアクセスする個人のIDを認証するようにしています。アクセス制御は、当該システムに不正なユーザーがアクセスできないようにするとともに、認証されたユーザーも自身の職務に必要なデータにしかアクセスできないようにすることを意図しています。アクセス制御の実施方法には、多要素認証の要求、パスワード強度基準の策定、管理者アクセスをする際の仮想プライベートネットワーク(VPN)の使用などがあります。さらに、プロキシログ、アクセスログ、Elasticsearchログ、Auditbeatログなどの一元的ロギングを実装し、お客様のクラスターデータとそのデータを保存しているシステムに対するアクセスを記録しています。
ユーザーのデータを保護するために行われている物理的・環境的な制御にはどのようなものがありますか?
Elastic Cloudの検索のパワーを活かすソリューション群は、業界をリードするサービスとしてのインフラ(IaaS)プロバイダーが管理している、Amazon Web Services(AWS)、Google Cloud、Microsoft Azureといった認定クラウドプラットフォームでホストされます。Elasticでは、Elastic Cloudデータの処理と保存が行われる施設で適切な物理セキュリティ措置が確実に実施されるように、サブプロセッサーのセキュリティ認定と実践をレビューしています。
Elastic製品に影響する脆弱性に関する情報は、どこで確認できますか?
Elastic製品に関するセキュリティの問題は、Elasticセキュリティアドバイザリ(ESA)を通じて、ユーザーにお知らせしています。各アドバイザリにCVE識別子とESA識別子の両方を割り当て、問題の概要と修復や軽減のための詳細情報を提供しています。新しいアドバイザリが公開されたときには必ずセキュリティアナウンスフォーラムでお知らせしています。アドバイザリはRSSフィードを通じて確認することもできます。
セキュリティコミュニティが製品の潜在的な脆弱性をElasticに報告するにはどうすればよいですか?
セキュリティコミュニティの皆さまが、Elasticのユーザー、ひいてはインターネット全体の安全を確保するという共通の目標を持ち、Elasticにご協力くださることに感謝いたします。Elastic製品、Elastic Cloudサービス、elastic.co Webサイトに影響する潜在的なセキュリティ脆弱性は、HackerOneのバグ報奨金プログラムを通じてご報告ください。プログラムの対象範囲とルールの詳細は、HackerOneのプログラムポリシーをご覧ください。
協調的脆弱性開示の原則に従い、Elasticでは潜在的なセキュリティ脆弱性を分析して推奨の緩和策やプロダクトアップデートを特定した後、Elasticセキュリティアドバイザリ(ESA)とCVEプログラムを通じて脆弱性情報を開示するように調整しています。Elasticが問題の調査と対処を完了するまでは、一般公開されているフォーラムに潜在的な脆弱性に関する情報を投稿したり、その情報を拡散したりしないでください。
潜在的なセキュリティ上の懸念を報告するには、どうしたらよいですか?
ユーザーやお客様がその他の潜在的なセキュリティ問題を報告する窓口はsecurity@elastic.coです。製品のセキュリティ関連のお問い合わせや、ここで明示的に述べていないその他のセキュリティ事項に関するリクエストは先述のアドレスまでお寄せください(このアドレスで承るのはセキュリティの問題だけです)。 バグの報告は該当するプロジェクトのバグデータベースか、Elastic Supportまでお寄せください。メッセージを暗号化する場合は、PGPキーを使用してください。フィンガープリントは次のとおりです。
1224 D1A5 72A7 3755 B61A 377B 14D6 5EE0 D2AE 61D2
キーはキーサーバーから入手できます。「security@elastic.co」を検索してください。OpenPGPの例
ユーザーが自分のElasticアカウントを保護するには、どうしたらよいですか?
Elasticでは、セキュリティは関わる人すべての責任であることを認識しています。そこでElasticでは、製品開発の過程とElastic Cloudの基盤にセキュリティを織り込むようにしています。
Elastic Cloudデータのセキュリティとプライバシーを確保するには、それに加えてユーザーの行動も欠かせません。ユーザーは、Elasticsearchクラスターを安全になるように構成し、Elastic Cloudのログイン認証情報の秘密を守る必要があります。
以下に、簡単なチェックリストを示します。
- 認証情報を他人に教えない。
- 情報が正確かつ最新の状態になるように、アカウントプロフィールを更新する。
- 必要に応じて、運用関連の連絡先を追加する。
- 安全なパスワードが設定されていることを確認する。
- Elastic Cloudのデプロイでカスタムプラグインを有効にする際は慎重に行う。
- 元に戻すことのできない操作を始める際にはインデックス名を要求するオプションの設定を検討する。
Elastic Cloudコンソールで行うことのできない変更を加える必要がある場合は、Elastic Supportでケースを作成してください。アカウントが攻撃を受けたと考えられる場合は、security@elastic.coにメールで連絡してください。データ消去のリクエストは、Elasticのデータプライバシーチーム(こちら)に連絡してください。
Elastic Cloudデータは保存中および送信中に暗号化されていますか?
はい。保存データはAES-256で、送信中データはTLS 1.2で暗号化されています。
Elasticはサードパーティベンダーをどのようにレビューしていますか?
Elasticでは、各ベンダーが当社のセキュリティとコンプライアンスの基準を満たしているかどうかを慎重に評価しています。Elastic Cloudはパートナー企業である主要なIaaSプロバイダーを通じて提供されます。各プロバイダーは、少なくともSOC 2監査とISO 27001認証を含む独立のサードパーティ監査を定期的に受けてサービスの安全性を示しています。これらの監査レポートと認証は、サードパーティのリスク管理プログラムの一環としてElasticによってレビューされます。
また、Elasticはサードパーティのコードのレビューも実施し、Elastic製品のサードパーティのオープンソースへの依存性リストも公開しています。
製品に侵入テストを実施していますか?
Elastic Cloudは、サードパーティによるアプリケーションとネットワークの侵入テストを毎年1回以上実施しています。テストのエグゼクティブサマリーをご覧になりたい場合は、アカウント担当者かElasticセキュリティチームにお問い合わせください。
ソフトウェア開発フレームワークはありますか?
ElasticではNIST 800-218に基づくセキュアなソフトウェア開発フレームワーク(SSDF)を守り、設計とアーキテクチャーのセキュリティのベストプラクティスに従って、"セキュアバイデザイン"を実現した"デフォルトで安全"なソフトウェアを作成しています。 当社のSSDFには、Elasticの全ソフトウェアを安全に設計、開発、デプロイ、追跡、保守するためのプロセスが定められています。また、当社のビルドシステムを保護し、ビルドチェーンに対する侵害のリスクを緩和するための要件も含まれています。
Elastic製品にテストを実施するには、どうしたらよいですか?
データプライバシー
お客様のデータは貴重なものであり、さまざまなプライバシー関連の法令や規制の対象となっている可能性があります。Elasticがプライバシーをどのように重視し、どのようなアプローチを取っているかについては、データプライバシーに関するFAQをご覧ください。
ユーザーがElastic Cloudに取り込んだデータの所有者は誰ですか?
お客様がElasticに預けたデータの所有者は、お客様のままです。Elasticはデータを契約で指定された用途で使用するだけです(お客様が購入したサービスをお客様に提供するなど)。Elasticでは、お客様のデータを保護するために厳しいセキュリティ対策を実施しています。また、お客様が自分の意向でデータを制御するためのツールと機能をお客様に提供しています。
Elastic Cloudにユーザーが取り込んだデータはどのように使用されますか?
Elasticは、お客様にサービスを提供するという契約上の義務を果たすために、Elastic Cloudにお客様が取り込んだデータを処理します。
- お客様のデータはお客様のものです。Elasticが行うのは、契約に従ってお客様のデータを処理することだけです。
- そのデータをサードパーティに販売することは決してありません。
- Elasticは、一般データ保護規制(GDPR)とカリフォルニア州消費者プライバシー法(CCPA)などの規制やプライバシーのベストプラクティスの遵守と透明性の実現に尽力しています。
- お客様のプライバシーを最優先にするというのは、お客様がElasticを信じて預けたデータを保護するということです。セキュリティとプライバシーは、Elasticの全製品の最も重要な設計基準です。
Elastic Cloudに預けたデータが安全であることは、どのように確認できますか?
Elasticの大きな使命は、業界をリードする検索エクスペリエンスを提供することと、お客様のデータを保護することです。Elasticでは、お客様の信頼を得るために懸命に取り組んでいます。組織上部の取締役会の監督と経営陣のガバナンスから、Elastic全従業員のオンボーディングと継続的なトレーニングまで、Elasticのあらゆる業務にセキュリティが欠かせません。Elasticでは、業界最高レベルのコンプライアンス監査を幅広く実施し、Elastic Cloudサービスと情報セキュリティマネジメントシステム(ISMS)の認証を取得しました。これらの監査と認証により、製品の開発とデプロイ、脆弱性管理、インシデント管理、脅威対処プロセスまで、Elasticのあらゆる活動に、効果的なセキュリティ手法が浸透しています。
Elastic Cloudにユーザーが取り込んだデータはどこに保存されますか?
Elasticがユーザーのデータにアクセスすることはできますか?
お客様のセルフマネージドデプロイ内のデータにElasticがアクセスすることはできません。Elastic Cloudサービスを提供するにあたり、少数のElastic従業員だけがElasticの本番環境に対するアクセス権を持っています。このアクセス権は、プラットフォームの管理、保守、サポートの目的だけに限っています。
Elasticでは、最小権限の原則に従って、社内ユーザーにアクセス権をプロビジョニングしています。Elasticの従業員に与えられるのは、自身の職務内容に必要なレベルのアクセス権だけです。アクセス権は定期的に確認しており、従業員のアクセス権が不要となる転職などの事象が起きた場合には、アクセス権の変更を行っています。
また、Elasticの情報セキュリティ脅威検知対応チームが、社内の不審なアカウントアクティビティや不正アクセスを検知するための機能(ファイルの整合性監視やアカウント乗っ取りの指標)を開発、実装しています。このような検知は自動ワークフローに組み込まれていて、不審なアクティビティに関するアラートを脅威検知対応チームに送り、アナリストによる調査をトリガーするようになっています。
また、Elastic製品にはロールベースのアクセス制御機能が搭載されていて、ElasticデプロイとElastic Cloud管理プラットフォーム内でお客様がきめ細かくカスタマイズしたユーザーアクセス管理を実装できるようになっています。
ユーザーのデータはサブプロセッサーに転送されますか?
はい。お客様にサービスを提供するため、Elasticではインフラストラクチャーとカスタマーのサポートの一部をサブプロセッサーに委託しています。どのサブプロセッサーがお客様を担当するのかは、お客様が選択したデータセンターの場所、サービス、機能によって決まります(Elasticの外部または内部サブプロセッサーのリストをご覧ください)。
Elasticが国境を越えてお客様のデータを転送する際は、適用法に従って転送を行います。Elasticでは、サブプロセッサーによって処理される場合にお客様のデータを保護するため、データ処理契約と承認された転送メカニズム(SCCなど)の締結に加え、補足的な対策を導入するなど、適切な保護対策を導入しています。Elasticは、お客様の個人データへのアクセス権を持つサブプロセッサーすべてに対して、プライバシーとセキュリティのコントロールをレビューする確固たるプロセスを定めています。
GDPRを遵守する形でElastic Cloudを利用できますか?
Elastic Cloudの機能は、GDPRをはじめとする世界のデータ保護法令の遵守に対応しています。
- お客様の個人データのセキュリティ確保を最優先に、定期的なテストと検証を行い、効果的な技術的・組織的対策を講じています。
- お客様がGDPRの契約上の義務を果たすうえで役立つよう、GDPR準拠のデータ処理に関する補遺を定めています。
- Elastic Cloudに保存するデータのホスト先とするクラウドサービスプロバイダーを管理するのはお客様です。また、お客様はElastic Cloudのデプロイリージョンを選択できます。
- 処理アクティビティに関連してお客様が特定の要件を遵守するのに役立つ包括的なリソースを用意しています。ElasticデプロイをGDPRに準拠させる方法についての詳細は、https://www.elastic.co/jp/gdprをご覧ください。
これらの機能に加え、Elasticは専門のプライバシーチームとセキュリティチームを編成しています。これらのチームは、ElasticにおけるGDPRや他の該当するプライバシー法令の遵守状況を監視するとともに、Elasticのお客様に代わって個人データの処理を行います。
Elasticでは、EEA、スイス、英国の外部へのElastic Cloudのユーザー個人データの転送をどのように合法化していますか?
Elasticはグローバル企業であり、EEA、スイス、英国で生成されたデータを欧州外部の関連企業や当社のサービス提供に欠かせないサードパーティ組織に転送する場合があります(そのような組織の所在地は、上記のサブプロセッサーに関するセクションで確認できます)。 そうした場合には、SCC(お客様との間では管理者から処理者または処理者から処理者への移転モジュール(該当する場合)、サブプロセッサーとの間では処理者から処理者への移転モジュール)を使用するのに加え、強力な補完的手段を使用して転送を行います。
シュレムスII事件の後、ユーザーの個人データはどのように保護されていますか?
Elasticは、お客様が世界の法律と規則を確実に遵守できるように注力しています。Elasticでは、シュレムスII事件の判決の後に欧州データ保護会議(EDPB)が示した指針を踏まえて、データ保護要件を確実に満たして国際データ転送を行えるように、自社の転送手法を徹底的に調査しました。
- Elasticのデータ転送は、米国のサーベイランス法が通常適用される範囲には含まれません。現時点までに、FISA、EO12333、CLOUD法に基づいてお客様のデータを提出するようにElasticが公的機関から要求を受けたことはありません。
- 公的機関からお客様のデータを要求された場合に備え、Elasticはそのような要求に対処するためのポリシーとプロセスを定義しています。これには、要求への対抗、関係者への通知、通知に際する禁止事項免除の請求に関するプロトコルが含まれます。
- お客様のデータを保護するために、強力な補完的対策を用意しています。その一環として、送信中と保存中両方のデータを暗号化し、データのライフサイクル全体を通じて機密性と整合性を確保しています。
- Elastic Cloudのお客様は、データ主権のニーズに最も適したEUのサーバーをホスト先として選択できます。バックアップは、デプロイのホスト先に選択したのと同じリージョンに構成されます。
- データ転送を保護するために標準的契約条項(SCC)を利用できます。SCCを利用するシナリオとしては、お客様が米国をホスト先に選択している場合、Elasticの米国法人と取引をしている場合、Elasticからサブプロセッサーにデータを転送する場合などが考えられます。
- Elasticではデータ転送を保護するために、契約上、技術上、組織上の保護対策を継続的に評価、開発しています。
Elastic Cloudに用意されている補完的な対策には、どのようなものがありますか?
Elastic Cloud内のデータを保護するために用意している補完的対策はいくつかあります。まず、お客様のデータの処理をサービスの提供に必要な場合だけに限定しています。また、世界のプライバシー原則を確実に満たす(または上回る)ように、会社全体でプロセス、組織構造、技術的対策を構築しています。
契約上の対策
Elasticでは、契約上の義務としてデータ処理に関する補遺に基づいて、適切なデータ保護とプライバシー保護対策を取ることに尽力しています。それには、SCCとElasticの情報セキュリティに関する補遺が含まれています。Elasticでは定期的にデータ処理に関する補遺を見直し、更新して、以下の条項を含む該当するデータプライバシー要件を反映しています。
- 個人データの処理はお客様の指示に従ってのみ実行する。
- お客様のデータはお客様の選択したリージョンでのみホストする。
- 個人データの処理を許されている担当者は全員、厳格な機密保持ポリシー、手順、契約に従う。
- お客様は、Elastic Cloudにアップロードした個人データをいつでも取得、修正、削除できる。
- お客様のデータに対する開示要求をElasticが受け取った場合には、法的に禁止されていない限り、お客様に通知する。
- サブプロセッサーは、これと同じ厳格な標準と組織要件に従う。Elasticは、サブプロセッサーの作為または不作為に対して、自身でサービスを行う場合と同程度の責任を負う。
技術的な対策
Elasticでは、お客様が組織のデータを保護し、グローバルな規則を遵守し、信頼を醸成するのに役立つ製品を設計しています。製品には、以下のように業界をリードするセキュリティ標準を実装しています。
- 送信中と保存中の暗号化:暗号化キー管理手順を実装し、最低でもAES-128ビット暗号文を使用してお客様の送信中データと保存データを暗号化しています。
- 定期的なシステムの更新とパッチ適用:脆弱性関連のインシデントが発生する可能性を下げるために、Elasticsearchインスタンスは最新のオペレーティングシステムカーネルをベースにデプロイされ、コンポーネントソフトウェアの共通脆弱性識別子(CVE)が明らかになった場合には適切なパッチが適用されます。
- 業界トップのサービスプロバイダーの利用:Elasticのサービスは、業界トップのサービスプロバイダーが管理するデータセンターでホストされます。そのデータセンターでは、ホストしているデータを保護するために設計された最先端の技術的、組織的なセキュリティ対策が取られています。
- アクセス制御:Elasticでは、データにアクセスできる人物を許可されたユーザーに限定するため、多要素認証プロセスをはじめとする、技術的制御、論理的制御、管理制御を行っています。さらに、プロキシログ、アクセスログ、Elasticsearchログ、Auditbeatログなどの一元的ロギングを実装し、お客様のデータとそのデータを保存しているシステムに対するアクセスを記録しています。
組織的な対策
Elasticでは会社全体に強力な組織構造を作り上げ、世界のプライバシー原則を満たし、上回る断固とした取り組みを行っています。
- セキュリティとプライバシーのプログラム:お客様のデータを保護するための適切な対策を含む、包括的な情報セキュリティとデータプライバシーのプログラムを継続しています。
- 公的機関アクセス要求ポリシー:Elasticでは、公的機関から個人データへのアクセス要求を受けた場合に対処するためのポリシーとプロセスを定義しています。これには、そのような要求への対抗、関係者への通知、通知に際する禁止事項免除の請求に関するプロトコルが含まれます。
- その他の社内ポリシー:データ侵害、データ主体のアクセスリクエスト、データの保持期間、アクセス制御ポリシーが適切に管理されるように、個人データの使用とアクセスについて規定した社内ポリシーがあります。
- 業界標準:ElasticはISO 27001(ISO 27017とISO 27018を含む)に準拠した情報セキュリティプログラムを正式に導入しました。Elasticの情報セキュリティガバナンスポリシーは、あらゆる情報セキュリティポリシー、標準、ガイドラインのバックボーンになっています。また、独立したサードパーティによりElastic Cloudサービスの監査を受け、SOC 2 Type 2の認証を取得しています。
- 定期的なテスト:定期的にネットワークとアプリケーションの脆弱性テストを行い、脆弱性テストと侵入テストで発見された脆弱性を文書化して対処する手順を実施しています。
- 従業員トレーニング:Elasticでは、従業員全員に対して、雇用時と1年に1回以上の情報セキュリティとデータ保護のトレーニングを受けることを義務付けています。
Elasticは透明性レポートを公開していますか?
上で述べたように、Elasticは公的機関からお客様のデータの開示要求を受けたことがありません。そのような要求を受けた場合は、透明性レポートの公開を始めます。
Elasticのデータ収集手法の詳細を知るには、どうしたらよいですか?
Elasticが個人データを収集、使用する方法の詳細については、以下のプライバシー通知をご覧ください。
Elasticは、GDPRやCCPAをはじめとする世界のプライバシー規則の遵守に尽力しています。データ主権リクエストを送信するには、Elasticのデータプライバシーチーム(こちら)にお問い合わせください。
コンプライアンス
Elasticはどのコンプライアンスフレームワークを遵守していますか?
Elastic Cloudは、ISO 27001、ISO 27017、ISO 27018、SOC 2 Type II、CSA CCM 4.0、PCI-DSS、HIPAAのほか、TISAXなどの業界フレームワークに準拠しています。詳細については、コンプライアンスページをご覧ください。
企業倫理・コンプライアンスプログラムはありますか?
Elasticは最高の倫理基準に取り組み、あらゆる適用法の遵守と、お預かりするすべてのデータの保護に専心しています。Elasticの企業管理・倫理規範、ベンダー行動規範、内部通報ポリシーなど、詳細については、倫理・企業コンプライアンスページをご覧ください。
Elastic製品は輸出制限の対象ですか?
テクノロジー企業であるElasticは、貿易制裁、輸出管理規制、ボイコットに関する法規を含む、輸出を規制し、国際的な事業活動を統制する米国の法規制を完全に遵守して、正直かつ誠実に事業を行うことを約束します。Elastic製品のECCNについて多くの場合、クライアントおよび潜在顧客から要求されます。通常、すべての有料製品はECCN 5D002.c.1に分類され、輸出管理規制(EAR)740.17 (b)(1)項により、許可例外ENCに基づく輸出の対象となります。
現在の製品ECCN一覧はこちらからご覧いただけます。この情報は、新製品の開発や新機能の追加により変更される場合があります。そのため、Elasticが公開している最新のECCNチャートを常に参照するようにしてください。また、本情報による輸出取引への影響の見極めやElastic製品の利用に関し、輸出コンサルタントに意見を求めることを奨励します。
信頼性
Elastic Cloudはどこで利用できますか?
Elastic Cloudは主要なクラウドサービスプロバイダーを通じて世界中で利用できます。Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)のすべてのサポート対象リージョンにあるElastic Cloudで、デプロイを開始できます。最新のリストはこちらをご覧ください。
Elastic Cloudの現在と過去の稼働状況はどこで確認できますか?
稼働状況を確認するには、Elastic Cloudのステータスページにアクセスしてください。