~ 第三者監査機関から信頼性とデータセキュリティ強化を評価、認定される ~
[本リリースは、2024年11月1日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyはこのたび、最高水準の顧客データセキュリティとセキュアなソフトウェア開発へのコミットメントを改めて表明するため、サービスプロバイダーを対象とした内部統制の国際セキュリティ認証である「Service Organization Control 2(SOC 2)Type 2」の監査を受けて合格し、「Type 2保証報告書」を受領しました。監査では、当社のウイルス定義データベースの開発とリリースのプロセスのセキュリティ、およびデータベースの不正改ざん防止対策の評価が行われました。
当社はかねて第三者機関による定期的な評価を通じて自社ソリューションの信頼性保証に取り組んできました。SOC 2監査もそうした評価の一つで、当社は2019年から継続してこの監査を受けています。SOCのフレームワークは、米国公認会計士協会(AICPA)が策定した、サイバーセキュリティリスク管理システムを対象とした国際的な報告標準で、セキュリティ、可用性、処理のインテグリティ、機密性、プライバシーという五つの基本原則に基づいて、セキュリティ統制のプロセスを評価します。
当社が過去に受けたSOC 2監査は2022年12月から2023年5月までの6カ月間の期間を対象としていましたが、今回初めて対象期間を1年間(2023年8月から2024年7月まで)とした監査を受けました。監査は独立した監査機関が実施し、当社のWindowsおよびUnixオペレーティングシステム用のウイルス定義データベースの開発と実装のプロセスについて、セキュリティと可用性の観点から評価が行われました。
具体的には、以下の要素が評価対象となりました。
・ソースコードの開発とコンパイルに使用される、当社のウイルス定義データベースの開発およびコンパイルサービス
・ソースコードの保存とレビューのプロセスに使用される、当社のウイルス定義データベースコードの保存とレビューのシステム
・ウイルス定義データベースの実装に使用される、当社のウイルス定義データベースのテストとリリースのシステム
・ウイルス定義データベースの検証に使用される、当社のウイルス定義データベースのテストシステム
・上記プロセスをサポートする情報システム
監査では、担当の上級管理職、監督職、実務スタッフとの面談も実施されました。また、当社の活動や業務の観察と、文書やポリシーの検査も行われました。監査の結果、自動化されたウイルス定義データベースアップデートの統制が、AICPAのTrustサービス基準に準拠していること、また定義データベースの開発と実装のプロセスの改ざん防止対策が整備されていることが確認されました。監査結果の報告書は、要望に応じて開示しています。
内部プロセスの監査を定期的に受けることは、当社の透明性への取り組み(Global Transparency Initiative、GTI)の重要な要素です。GTIの目的は、透明性と説明責任に対する取り組みを示すと同時に、ステークホルダーとの信頼関係を促進することです。SOC 2監査に加えて、当社は情報セキュリティ管理システムの国際規格ISO/IEC 27001:2013認証を取得しており、また法人向け製品であるKaspersky Endpoint Securityおよび全法人向け製品に対応した管理コンソールKaspersky Security Centerに関して、コモンクライテリア(CC)認証を取得しています。CCは日本を含む世界31カ国で承認されているコンピュータセキュリティ認証の国際標準規格です。CC認証の取得は、製品の品質、適切なシステム設計と実装、コードの整合性、当社の顧客の保護に関する専門性を示すものです。
Kasperskyの脅威リサーチ部門で責任者を務めるアレクサンダー・リスキン(Alexander Liskin)は、次のように述べています。「当社は常にお客様とパートナーの皆様に当社の製品やサービスの信頼性を保証できるよう努めています。厳格なセキュリティ統制を実施することに加えて、整備された対策が十分であり業界標準に準拠していると認める外部の専門家の意見を得ることが非常に重要です。今回の監査により、当社の統制手法が正しく機能していること、また定義データベースの開発とリリースのプロセスを不正な改ざんから保護する対策が整備されていることが、改めて確認されました」