Elasticの製品とサービスのセキュリティ
Elasticのマネージドプロダクトおよびセルフマネージドプロダクトはセキュリティを考慮して開発されており、顧客情報を安全に保つ目的で設計された複数の機能を搭載しています。また、データ保護に関する法律や規制の要件を満たしており、それらを確実に遵守する上でも役立ちます。
Elasticのセキュリティ
Elasticは世界中のデータを攻撃から保護するというセキュリティ上の使命に専心しているため、製品とサービスのセキュリティを最優先事項に位置づけています。包括的な情報セキュリティプログラムをたゆまず実施し、技術的および組織的に適切な顧客保護対策を取っています。
Elasticでは経験豊富なセキュリティ担当者がチームを結成しており、セキュリティエンジニアリング、脅威検知、インシデントレスポンス、セキュリティ保証、リスクとコンプライアンスなどを含む多様な領域で活動しています。この情報セキュリティチームは、組織全体(特にエンジニアリングチーム)と連携して、テクノロジー面から事業面まで世界クラスのセキュリティを確保しています。
詳細については、Elastic Cloudのセキュリティに関するページをご覧ください。
レジリエンシー(回復性)
Elastic Cloudのクラスターは、ホスティングやデータ主権のニーズに対応。主要なクラウドサービスプロバイダーを通じてグローバルに利用できます。お客様は、アベイラビリティゾーンまたはリージョンのフェイルオーバー機能により、高可用性クラスターを実現することができます。Elastic Cloudのステータスページで、アップタイムデータの表示機能とアラートをご利用ください。
脆弱性管理
Elasticは、お客様に影響を与えるセキュリティ脆弱性に迅速に対処し、影響、深刻度、緩和対策に関する明確なガイダンスを提供することに注力しています。セキュリティコミュニティのメンバーおよびお客様と連携することで、当社の製品に影響を与えるセキュリティの脆弱性を把握し、責任を持って迅速にソリューションをリリースしています。Elasticのソースコードと問題の追跡は公開されています。脆弱性を発見された場合は、Elasticの製品とサービスの安全性を保つため、HackerOneバグ報奨金プログラムよりご報告ください。
カスタマーゼロプログラム
Elasticは、全Elasticソリューションの、特にElastic Securityの熱心なカスタマーゼロです。つまり、当社の製品とサービスは、広く配布される前から実際の本番環境でしっかりとテストされています。Elasticでは、ロギングだけにとどまらない、できるかぎりあらゆるシーンで製品を使用しています。Elasticの情報セキュリティチームはElastic Stackの多様な機能を使用して、セキュリティイベントの作成、監視、検知、対応を日々実施しています。
詳細については、Elastic on ElasticとElasticセキュリティに関する記事をご覧ください。
サプライチェーンのセキュリティ
Elasticでは、各ベンダーが当社のセキュリティとコンプライアンスの基準を満たしているかどうかを慎重に評価しています。Elastic Cloudはパートナー企業である主要なIaaS(Infrastructure as a Service)プロバイダーを通じて提供されます。各IaaSプロバイダーは、少なくともSOC 2監査とISO 27001認証を含む独立のサードパーティ監査を定期的に受けてサービスの安全性を示しています。これらの監査レポートと認証は、サードパーティのリスク管理プログラムの一環としてElasticによってレビューされます。
また、Elasticはサードパーティのコードのレビューも実施し、Elastic製品のサードパーティのオープンソースへの依存性リストも公開しています。
セキュリティ上の懸念がある場合は、security@elastic.coまでご報告ください。
PGPキーやその他の詳細については、Elasticのセキュリティ問題のページをご覧ください。