セキュリティとプライバシー
.png)
信頼
ThousandEyes では設立当初から、顧客データのセキュリティ・プライバシー保護を最優先課題として位置付けてきました。お客様が自ら使用しているネットワークやアプリケーションのパフォーマンス情報について、お客様は当社を信頼して収集と保管を委託しています。展開シナリオやお客様の具体的なユースケースによっては、インターネット上の公開情報やエンタープライズネットワーク上の非公開情報を当社が収集、保存することもあります。そのため当社は収集したすべてのデータを極秘データとして取り扱っており、データの機密性、完全性、可用性およびプライバシーを確保するための管理システムを導入しています。
当社では、広く認知・遵守されている ISO/IEC 27001 を当初から採用し、情報セキュリティ管理システムのための強固な管理基盤を構築してきました。当社のプライバシー情報管理システムは ISO 27701 に準拠しており、その認証を得ています。
これらのフレームワークが合わさって、ThousandEyes のセキュリティ・プライバシー包括管理フレームワーク(USPMF)が形成されています。この USPMF は、厳格なポリシー、基準、技術、プロセスによって支えられています。そのうえに
技術的および組織的なセキュリティ対策を追加することで、最新のベストプラクティスによって顧客データを常に徹底して保護し、USPMF を継続的に改善できるよう努めています。
クラウド サービス プロバイダーとして、ThousandEyes はセキュリティとプライバシーに対する責任をお客様と分担しています。セキュリティ管理対策の実施と
運用作業におけるお客様ご自身の役割について、下記の情報をご覧ください。
ThousandEyes では、お客様がこちらのガイドラインに従ってご自身のパスワードとアカウントの保護を強化することを推奨しています。
情報セキュリティ
情報セキュリティ部門
ThousandEyes の情報セキュリティ部門は最高情報セキュリティ責任者が統率しています。最高情報セキュリティ責任者が率いるチームはデータ保護のすべての側面、すなわち、ビジネス、物理的、および技術的なセキュリティとプライバシーを監督しています。また、リスク管理全体、ならびに監査とコンプライアンスも監督しています。
人事セキュリティ
情報セキュリティを最前線で守るのは人材であり、物理的なセキュリティだけでは不十分であることを当社は十分に理解しています。そのため当社では、セキュリティ・プライバシー管理システムを正しく利用できるだけの知識をすべての従業員が入社当初から得られるように、セキュリティに関する啓発とトレーニングに投資しています。
資産管理とリスク管理
すべての情報は、3 段階のデータ分類スキーム内で機密性に基づいて分類されています。当社では、この分類に従った特定のセキュリティ管理対策の実施を要求しています。また、既存の対策が所定の基準を満たしているか否かを確認するために、非常に重要な各情報資産についてリスク評価を実施することを義務づけています。すべての顧客情報は自動的に機密情報に分類されるため、常に最高水準の保護が義務付けられます。
アクセス制御
情報へのアクセス権は知る必要性に基づいて付与され、管理プロセスを通じて制御されています。このプロセスでは、新規アクセス権の承認、アクセス権の適宜かつ速やかな取り消し、非常に重要な情報に対するアクセス権のリストの定期的な見直しが行われます。
暗号化
ThousandEyes におけるすべての暗号管理策は、各国の法規制および要件に準拠しており、厳格な鍵管理手順の遵守を義務づけています。
物理セキュリティおよび環境セキュリティ
24 時間 365 日体制で建物内のセキュリティを確保できるよう、データセンターと事業所のいずれもがアクセス制御システムと監視カメラシステムを備えています。データセンターが ThousandEyes の承認を得るには、ティア 3 基準を満たしている必要があります。
運用におけるセキュリティ
すべてのネットワーク、システムおよびアプリケーションは、意図されているとおりに動作できるよう、セキュリティを保った状態で設定、導入、バックアップされています。お客様と接するすべての非常に重要なシステムではマルウェア対策も導入済みです。
通信におけるセキュリティ
ThousandEyes におけるすべての通信リソースは、当社の倫理原則とビジネス原則に従って使用されており、機密データの送信時における暗号の使用といった必要な対策を備えています。
システムの取得、開発、および保守
当社のプライバシー・セキュリティ対策には、承認プロセスにおいて不可欠な手順であるペネトレーションテストやコードレビューなども含まれます。さらに、当社のセキュアなソフトウェア開発ライフサイクルにおける設計手法や展開手法は、最新のベストプラクティスを採り入れながら、最新の脅威の先を行くように継続的に改善されています。
サードパーティが提供するサービス
当社に代わって行動する契約締結済みのサードパーティには、当社の内部要件と同じ厳格なセキュリティ・プライバシー基準に準拠することを義務付けています。このデューデリジェンスは当社のベンダーリスク管理プロセスに含まれます。なお、当社のベンダーリスク管理プロセスには、サードパーティの提供サービスや製品だけではなく、サードパーティの組織の包括的なセキュリティ調査も伴います。
セキュリティモニタリングとインシデント管理
さまざまな種類のイベントを検知するために、当社は内部のネットワーク、システムおよびアプリケーションを絶えず監視しています。当社のクラウド モニタリング ソリューションは自己監視機能を備えているほか、当社のテクノロジー インフラストラクチャの他のコンポーネントも監視しています。非常に重要なイベントが検出されたときには、インシデント対応計画がただちに開始されます。
プライバシー
シスコのオンライン プライバシー ステートメントと本概要は、当該ステートメントにリンクされているシスコと当社の関係会社の Web サイトに適用されます。
シスコは、個人情報を尊重し、個人情報の保護に全力を尽くしています。シスコのプライバシーステートメントには、個人情報の取り扱いに関する現在のグローバルな原則と基準(透明性、公平性、説明責任)が反映されています。シスコのオンライン プライバシー ステートメントの主要な規定の一部を以下に示します。シスコによる個人情報の処理方法の詳細については、プライバシーデータシート、オファー説明書、データ収集前またはデータ収集時に提供されるその他の通知に記載されています。
個人情報
シスコは、注文処理、Web サイトおよびソリューションのプロビジョニングとその機能の有効化、ニュースレター購読の提供、ビジネスおよびマーケティングコミュニケーションの送付、体験のパーソナライズ、または求人応募の管理等の様々な理由により個人情報を収集します。
シスコは、個人情報を収集する際にその目的をお知らせし、個人情報を収集した目的を果たすか、または適用法によって求められる、もじくは正当な目的のためにその個人情報を保持します。
シスコは、収集した皆様の個人情報を他の情報源から得られた情報と組み合わせることにより、その全体的な精度および完全性を向上させ、当社とお客様とのやりとりおよびパフォーマンスを改善し、より適切に調整するよう役立てることがあります。
シスコは、クッキー等の様々な技術を使用して当社 Web サイトおよび Web ベースのソリューションの使用に関する情報も収集することがあります。
データ使用の通知および選択
シスコは、皆様の個人情報を収集目的のために使用し、事前に許可を得ることなく、または法的根拠がある場合を除き、異なる目的のために個人情報を使用することはありません。
シスコは、皆様がご自身の個人情報を提供した理由以外の何らかの目的、またはシスコのオンライン プライバシー ステートメントに別途記載されている理由以外の何らかの目的のために皆様の個人情報を第三者と共有する前に、本人の許可を求めます。
シスコが個人情報をどのように処理できるかについて皆様ができる選択、またはクッキーもしくはその他の Web テクノロジーの使用についての詳細は、シスコの完全なオンライン プライバシー ステートメントを参照してください。
データアクセスおよびインテグリティ
個人情報およびコミュニケーションの設定を更新するには、こちらをクリックするか、特定の製品またはサービスの Web サイトをご覧ください。
データセキュリティ
シスコは、皆様の個人情報の不正使用または開示からの保護に全力を尽くしています。
管轄外への転送
グローバル企業として、シスコは、皆様の個人情報を米国国内のシスコ、世界中のシスコ子会社、またはデータ保護基準が異なる場合のある、データが収集された国以外の場所で、シスコを代理する第三者に転送する場合があります。
シスコが提供する保護と少なくとも同等レベルで皆様の個人情報を保護することを第三者が約束しない限り、シスコは皆様の個人情報を第三者に転送することはありません。
重要な情報
シスコの個人データ保護およびプライバシー ポリシーとプラクティスは、世界中の適用法を遵守し、シスコに対する信頼を獲得し、維持することを目的としています。
シスコは、個人データの取り扱いおよび APEC 加盟国間の転送に関して、APEC 越境プライバシールールシステム(APEC Cross Border Privacy Rules System)の認定および APEC 処理者のためのプライバシー認定(Privacy Recognition for Processors)を受けています。シスコの参加範囲に関する詳細な情報を確認するか、またはシスコのアカウンタビリティ エージェントである BBB National Programs を通じてプライバシーに関するお問い合わせを送信するには、以下の公式認証マークをクリックしてください。
シスコの拘束的企業準則 - 管理者(BCR-C)は、シスコが欧州の個人情報を世界的に管理する者として行った転送に対し、十分な保護措置の効果が及ぶことを規定します。
また、シスコは、EU/EEA、英国、およびスイスに居住する皆様の個人データの収集、使用、および処理に関して、米国商務省が定める EU - 米国間およびスイス -
米国間のプライバシー シールド フレームワークの認定を受け、これを遵守しています。
このプライバシーステートメントまたはご自身の個人情報の取り扱いに関するご質問、ご意見、ご懸念がある場合は、こちらをクリックしてください。
プライバシーまたはデータの使用に関する皆様の懸念について、シスコが十分に対処しておらず、これらが解消されていない場合は、米国に拠点を置くシスコの第三者紛争解決プロバイダーにお問い合わせください(無料)。
参考資料
シスコのプライバシーに関する取り組みのさらなる詳細については、シスコのオンライン プライバシー ステートメント完全版をご覧ください。
最終更新日:2021 年 12 月 1 日
コンプライアンス
ThousandEyes および ThousandEyes の従業員は、次のものを含めて多くの法規制を遵守しています。
- ISO/IEC 27001:2013
- ISO/IEC 27018:2019
- ISO/IEC 27701:2019
- FTC 規制
- プライバシーシールド
- 米国商務省産業安全保障局の要求事項
- 国や地域で法律上、規制上、または契約上遵守が求められる、他のすべての要件
コンプライアンスに対して、当社では 2 段階のアプローチを導入しています。第 1 段階では、社内外のすべての要件を当社のポリシーに組み込み、基盤となる基準、
技術およびプロセスによって、それらの要件に対応しています。第 2 段階では、
社内のリスク評価と監査を通じて定期的にテストを実施し、すべてのセキュリティ対策が適切に導入され、効果を発揮していることを確認しています。
当社では、第三者機関に委任して米国保証業務基準 AT101 証明を作成しています。この証明には、過去 12 か月のセキュリティ原則に関する SOC2 Type II 報告書が含まれます。また、当社のネットワークパフォーマンス管理 SaaS アプリケーションを支える情報セキュリティ管理システムは、独立した認証機関から ISO/IEC 27001:2013 と ISO/IEC 27018:2019 の認証を取得しています。さらに、当社のネットワークパフォーマンス管理 SaaS アプリケーションを支えるプライバシー情報管理システムは、独立した認証機関から ISO/IEC 27701:2019 の認証を得ています。当社の非常に重要な情報リソースについては、独立した第三者機関が毎年、リスク評価を実施しています。
ThousandEyes は Cloud Security Alliance の法人メンバーです。当社は、セキュリティに関する最高水準のベストプラクティスを維持するために、Cloud Security Alliance において情報を共有し、他の業界リーダーと連携しています。また、ThousandEyes は先進的な非営利組織である Center for Internet Security の会員でもあります。Center for Internet Security は、グローバルな IT コミュニティの力を活用して、民間組織と公的機関をサイバー脅威から保護しています。
関連するブログ記事
ThousandEyes のプライバシーに関する取り組み:ISO 27018 と ISO 27701 の認証
