セキュリティとプライバシー
信頼
ThousandEyes では設立当初から、顧客データのセキュリティ・プライバシー保護を最優先課題として位置付けてきました。お客様が自ら使用しているネットワークやアプリケーションのパフォーマンス情報について、お客様は当社を信頼して収集と保管を委託しています。展開シナリオやお客様の具体的なユースケースによっては、インターネット上の公開情報やエンタープライズネットワーク上の非公開情報を当社が収集、保存することもあります。そのため当社は収集したすべてのデータを極秘データとして取り扱っており、データの機密性、完全性、可用性およびプライバシーを確保するための管理システムを導入しています。
当社では、広く認知・遵守されている ISO/IEC 27001 を当初から採用し、情報セキュリティ管理システムのための強固な管理基盤を構築してきました。当社のプライバシー情報管理システムは ISO 27701 に準拠しており、その認証を得ています。
これらのフレームワークが合わさって、ThousandEyes のセキュリティ・プライバシー包括管理フレームワーク(USPMF)が形成されています。この USPMF は、厳格なポリシー、基準、技術、プロセスによって支えられています。そのうえに
技術的および組織的なセキュリティ対策を追加することで、最新のベストプラクティスによって顧客データを常に徹底して保護し、USPMF を継続的に改善できるよう努めています。
クラウド サービス プロバイダーとして、ThousandEyes はセキュリティとプライバシーに対する責任をお客様と分担しています。セキュリティ管理対策の実施と
運用作業におけるお客様ご自身の役割について、下記の情報をご覧ください。
ThousandEyes では、お客様がこちらのガイドラインに従ってご自身のパスワードとアカウントの保護を強化することを推奨しています。
バグ報奨金プログラム
ThousandEyes は、お客様、パートナー、コミュニティに強固なセキュリティアシュアランスを提供するために取り組んでいます。Cisco ThousandEyes 脆弱性報奨金プログラムは、当社の全体的なセキュリティ戦略の一部です。当社のプラットフォームの安全性を維持できるよう、外部の研究者がシスコのセキュリティチームに協力することを奨励する目的があります。
ThousandEyes の製品、サービス、Web サイト、またはその他のインフラストラクチャのいずれかで脆弱性を発見したと思われる場合や不正使用の疑いを報告する場合には、調査結果を bugcrowd.com/thousandeyes-og に送信してください。お問い合わせをいただくと、Bugcrowd は ThousandEyes セキュリティチームと協力してトリアージを行い、リクエストに対応します。お客様、パートナー、コミュニティを保護するために、この問題に関する情報開示にご協力いただき、責任を持って当社にご協力くださいますようお願い申し上げます。
情報セキュリティ
情報セキュリティ部門
ThousandEyes の情報セキュリティ部門は最高情報セキュリティ責任者が統率しています。最高情報セキュリティ責任者が率いるチームはデータ保護のすべての側面、すなわち、ビジネス、物理的、および技術的なセキュリティとプライバシーを監督しています。また、リスク管理全体、ならびに監査とコンプライアンスも監督しています。
人事セキュリティ
情報セキュリティを最前線で守るのは人材であり、物理的なセキュリティだけでは不十分であることを当社は十分に理解しています。そのため当社では、セキュリティ・プライバシー管理システムを正しく利用できるだけの知識をすべての従業員が入社当初から得られるように、セキュリティに関する啓発とトレーニングに投資しています。
資産管理とリスク管理
すべての情報は、3 段階のデータ分類スキーム内で機密性に基づいて分類されています。当社では、この分類に従った特定のセキュリティ管理対策の実施を要求しています。また、既存の対策が所定の基準を満たしているか否かを確認するために、非常に重要な各情報資産についてリスク評価を実施することを義務づけています。すべての顧客情報は自動的に機密情報に分類されるため、常に最高水準の保護が義務付けられます。
アクセス制御
情報へのアクセス権は知る必要性に基づいて付与され、管理プロセスを通じて制御されています。このプロセスでは、新規アクセス権の承認、アクセス権の適宜かつ速やかな取り消し、非常に重要な情報に対するアクセス権のリストの定期的な見直しが行われます。
暗号化
ThousandEyes におけるすべての暗号管理策は、各国の法規制および要件に準拠しており、厳格な鍵管理手順の遵守を義務づけています。
物理セキュリティおよび環境セキュリティ
24 時間 365 日体制で建物内のセキュリティを確保できるよう、データセンターと事業所のいずれもがアクセス制御システムと監視カメラシステムを備えています。データセンターが ThousandEyes の承認を得るには、ティア 3 基準を満たしている必要があります。
運用におけるセキュリティ
すべてのネットワーク、システムおよびアプリケーションは、意図されているとおりに動作できるよう、セキュリティを保った状態で設定、導入、バックアップされています。お客様と接するすべての非常に重要なシステムではマルウェア対策も導入済みです。
通信におけるセキュリティ
ThousandEyes におけるすべての通信リソースは、当社の倫理原則とビジネス原則に従って使用されており、機密データの送信時における暗号の使用といった必要な対策を備えています。
システムの取得、開発、および保守
当社のプライバシー・セキュリティ対策には、承認プロセスにおいて不可欠な手順であるペネトレーションテストやコードレビューなども含まれます。さらに、当社のセキュアなソフトウェア開発ライフサイクルにおける設計手法や展開手法は、最新のベストプラクティスを採り入れながら、最新の脅威の先を行くように継続的に改善されています。
サードパーティが提供するサービス
当社に代わって行動する契約締結済みのサードパーティには、当社の内部要件と同じ厳格なセキュリティ・プライバシー基準に準拠することを義務付けています。このデューデリジェンスは当社のベンダーリスク管理プロセスに含まれます。なお、当社のベンダーリスク管理プロセスには、サードパーティの提供サービスや製品だけではなく、サードパーティの組織の包括的なセキュリティ調査も伴います。
セキュリティモニタリングとインシデント管理
さまざまな種類のイベントを検知するために、当社は内部のネットワーク、システムおよびアプリケーションを絶えず監視しています。当社のクラウド モニタリング ソリューションは自己監視機能を備えているほか、当社のテクノロジー インフラストラクチャの他のコンポーネントも監視しています。非常に重要なイベントが検出されたときには、インシデント対応計画がただちに開始されます。
プライバシー
シスコのオンライン プライバシー ポリシーと本概要は、当該ポリシーにリンクされているシスコと当社の関係会社の Web サイトに適用されます。
シスコは、個人データを尊重し、個人データの保護に全力を尽くしています。シスコのプライバシーポリシーは、個人データの取り扱いに関する現在のグローバルな原則および基準(透明性、公平性および説明責任)を反映しています。シスコのオンライン プライバシー ポリシー [英語] の主要な規定の一部を以下に示します。シスコによる個人データの処理方法の詳細については、オファーに関する開示事項、オファー説明書、データ収集前またはデータ収集時に提供されるその他の通知に記載されています。
個人データ
シスコは、注文処理、Web サイトおよびソリューションのプロビジョニングとその機能の有効化、ニュースレター購読の提供、ビジネスおよびマーケティングに関するお知らせの送付、体験のパーソナライズ、または求人応募の管理などのさまざまな理由により個人データを収集します。
シスコは、個人データを収集する際にその目的をお知らせし、個人データを収集した目的を果たすために、または適用法が義務付けているとおりに、または正当な目的のためにその個人データを保持します。
シスコは、収集したお客様の情報を他の情報源から得られた情報と組み合わせることにより、その全体的な精度および完全性を向上させ、当社とお客様とのやりとりおよびパフォーマンスを改善し、より適切に調整するよう役立てることがあります。
シスコは、Cookie などのさまざまな技術を使用して当社の Web サイトおよび Web ベースのソリューションのお客様による使用に関する情報を収集することもあります。
通知およびデータ使用に関するお客様の選択肢
シスコは、お客様の個人データを収集目的のために使用します。また、シスコは、事前に本人の許可を得ることなく、または法的根拠がある場合を除き、異なる目的のために個人データを使用することはありません。
シスコは、お客様がご自身の個人データを提供した理由以外の何らかの目的、またはシスコのオンライン プライバシー ポリシーに別途記載されている理由以外の何らかの目的のためにお客様の個人データを第三者と共有する前に、本人の許可を求めます。
お客様の個人データのシスコによる取り扱い方、またはシスコの Cookie もしくはその他の Web テクノロジーの使用に関するお客様の選択肢についての詳細は、シスコのオンライン プライバシー ポリシー全文を参照してください。
データへのアクセスおよびデータの完全性
個人データおよび連絡の設定を更新するには、こちらをクリックするか、特定の製品またはサービスの Web サイトをご覧ください。
データセキュリティ
シスコは、お客様の個人データの不正使用および不正開示を防止するために全力を尽くしています。
管轄外への転送
グローバル企業として、シスコは、米国国内のシスコ、世界中のシスコ子会社、またはデータが収集された国以外の場所でシスコの代理人として行動しており権限を有している第三者に対し、お客様の個人データを転送する場合があります。このようなデータの転送は、お客様の国のデータ保護基準と異なるデータ保護基準を有している法域に対して発生する場合があります。シスコがお客様の個人データに適用するものと少なくとも同じ水準の保護を提供することを確約していない限り、シスコはお客様の個人データを第三者に転送しません。
Cisco ThousandEyes のデータの取り扱いに関するプラクティスとセキュリティ管理策の詳細については、 当社のオファーに関する開示事項 [英語] を参照してください。ThousandEyes for Government インスタンス内では、お客様から別段の指示がない限り、すべての個人データは米国本土に存在しますので、ご注意ください。
重要な情報
シスコの個人データ保護およびプライバシーに関するポリシーとプラクティスは、世界中の適用法を遵守し、シスコに対する信頼を獲得および維持することを目的としています。
シスコは、個人データの取り扱いおよび APEC 加盟国間での転送に関して、APEC の越境プライバシールールシステム [英語] の認定および処理者プライバシー認定 [英語] を受けています。シスコの参加範囲に関する詳細な情報を確認するには、またはシスコのアカウンタビリティ エージェントである BBB National Programs を通じてプライバシーに関する問い合わせを送信するには、以下の公式認証マークをクリックしてください。
シスコの拘束的企業準則 - 管理者(BCR-C)は、シスコが欧州の個人情報を世界的に管理する者として行った転送に対し、十分な保護措置の効果が及ぶことを規定します。
また、シスコは、EU/EEA、英国、およびスイスに居住する皆様の個人データの収集、使用、および処理に関して、米国商務省が定める EU - 米国間およびスイス -
米国間のプライバシー シールド フレームワークの認定を受け、これを遵守しています。
このプライバシーステートメントまたはご自身の個人情報の取り扱いに関するご質問、ご意見、ご懸念がある場合は、こちらをクリックしてください。
プライバシーまたはデータの使用に関する皆様の懸念について、シスコが十分に対処しておらず、これらが解消されていない場合は、米国に拠点を置くシスコの第三者紛争解決プロバイダーにお問い合わせください(無料)。
参考資料
シスコのプライバシーに関する取り組みのさらなる詳細については、シスコのオンライン プライバシー ステートメント完全版をご覧ください。
最終更新日:2021 年 12 月 1 日
コンプライアンス
ThousandEyes および ThousandEyes の従業員は、次のものを含めて多くの法規制を遵守しています。
コンプライアンスに対して、当社では 2 段階のアプローチを導入しています。第 1 段階では、社内外のすべての要件を当社のポリシーに組み込み、基盤となる基準、
技術およびプロセスによって、それらの要件に対応しています。第 2 段階では、
社内のリスク評価と監査を通じて定期的にテストを実施し、すべてのセキュリティ対策が適切に導入され、効果を発揮していることを確認しています。
当社では、第三者機関に委任して米国保証業務基準 AT101 証明を作成しています。この証明には、過去 12 か月のセキュリティ原則に関する SOC2 Type II 報告書が含まれます。また、当社のネットワークパフォーマンス管理 SaaS アプリケーションを支える情報セキュリティ管理システムは、独立した認証機関から ISO/IEC 27001:2013 と ISO/IEC 27018:2019 の認証を取得しています。さらに、当社のネットワークパフォーマンス管理 SaaS アプリケーションを支えるプライバシー情報管理システムは、独立した認証機関から ISO/IEC 27701:2019 の認証を得ています。当社の非常に重要な情報リソースについては、独立した第三者機関が毎年、リスク評価を実施しています。
ThousandEyes は Cloud Security Alliance の法人メンバーです。当社は、セキュリティに関する最高水準のベストプラクティスを維持するために、Cloud Security Alliance において情報を共有し、他の業界リーダーと連携しています。また、ThousandEyes は先進的な非営利組織である Center for Internet Security の会員でもあります。Center for Internet Security は、グローバルな IT コミュニティの力を活用して、民間組織と公的機関をサイバー脅威から保護しています。
関連するブログ記事
ThousandEyes のプライバシーおよびセキュリティに関する認定の説明
