情報セキュリティコンプライアンス

概要

Payment Card Industry Data Security Standard（PCI DSS）コンプライアンスは、ペイメント・カード・データを保存、処理、または伝送するすべての企業にとって必須です。主要なクレジットカード企業が開発した PCI DSS では、オンライン金融取引に関するデータ保護ならびに一貫性のあるセキュリティプロセスおよび手順を保証するための手段が定義されています。PCI Security Standards Council が示しているように、PCI DSS コンプライアンスの要件には次のものがあります。

• 企業のすべての側面を対象としたセキュリティポリシーを策定および順守する
• データを保護するファイアウォールを設置する
• パブリックネットワーク経由で伝送されるカード所有者データを暗号化する
• アンチウイルスソフトウェアを使用し、定期的に更新する
• 強力なパスワードと他のサイバー・セキュリティ・プロトコルを設定する
• 厳格なアクセス制御を実施し、アカウントデータへのアクセスを監視する

多額のオンライン金融取引を処理する大規模な売買業者およびサービスプロバイダーの場合は、独立認定審査機関（QSA）が行う年 1 回の検証により、PCI DSS コンプライアンスの遵守が確認されます。 

リソース

PCI セキュリティ

Akamai の証明書

Akamai の準拠証明書（AoC）は、Akamai の対象範囲内のサービスが PCI DSS v4.0 セキュリティ標準に準拠していることをお客様に証明するものです。

Akamai は、PCI DSS コンプライアンスについて、評価の範囲に含まれるシステムに対する第三者による外部侵入テストを半年ごとに実施しています。これらの侵入テストの結果や、コンプライアンスドキュメント、認定情報は、Akamai Control Center お客様ポータルの Download Center セクションにて、機密保持契約（NDA）に基づいてお客様に提供されます。

ダウンロード／リンク

• 準拠証明書
• リスポンシビリティマトリクス
• リスポンシビリティマトリクス（クラウド・コンピューティング・サービス）

該当する Akamai サービス

• Enhanced TLS を使用する Akamai Secure CDN（Secure CDN） 
• Secure CDN で実行される Ion、Dynamic Site Accelerator、API Acceleration、Adaptive Media Delivery などのコンテンツデリバリー製品
• Secure CDN で実行される EdgeWorkers 
• mPulse デジタルパフォーマンス管理サービス 
• Secure CDN で実行される App & API Protector（マルウェア防御アドオンなど）、Account Protector、API Gateway、Cloudlets、Bot Manager（Standard および Premier）などのアプリおよび API セキュリティ製品 
• API Security（旧 Noname Security）
• API Security（旧 Neosec）
• Client-Side Protection & Compliance 
• Audience Hijacking Protector
• Secure Internet Access Enterprise（旧 Enterprise Threat Protector） 
• Akamai MFA
• Akamai Guardicore Segmentation 
• 次のクラウド・コンピューティング・ソリューション：専用 CPU、共有 CPU、ハイメモリ

Q&A

Akamai は PCI DSS 認証を取得していますか？

はい、Akamai は最高レベルである PCI DSS Level 1 Service Provider として認証されています。PCI DSS 準拠証明書とリスポンシビリティマトリクスは上記のリンクで一般公開されています。

自社の Web サイトが Akamai を使用している場合、PCI DSS コンプライアンスをどのようにして保証できますか？

お客様の PCI DSS 認証については、お客様自身で取得していただく必要があります。認定審査機関（QSA）と連携して自社の制御を検証し、認証を取得してください。お客様および QSA は、カード所有者データ環境の部分に関して、Akamai の準拠証明書に基づいて PCI DSS に準拠した Akamai サービスを使用することができます。Akamai の PCI DSS リスポンシビリティマトリクス（上記リンクを参照）は、PCI DSS 要件に関する Akamai とお客様の責任を詳しく説明しています。 より詳しく解説する PCI DSS カスタマー設定ガイドは、Akamai Control Center お客様ポータルの Download Center からご覧いただけます。または、貴社担当アカウントチームよりご提供することも可能です。

四半期ごとに実施される Akamai の Approved Scanning Vendor（ASV）脆弱性スキャンと外部の侵入テストのエグゼクティブサマリーを確認することはできますか？

はい。この情報は、機密保持契約（NDA）に従ってアカウントチームが提供いたします。また、Akamai Control Center お客様ポータルの Download Center からもご覧いただけます。

概要

SOC（System and Organization Controls）は、American Institute of Certified Public Accountants（米国公認会計士協会、AICPA）が策定したセキュリティ標準であり、サービス組織のセキュリティ、可用性、処理の整合性、機密性、プライバシーに直接関連するコントロールについて報告します。

リソース

AICPA SOC サービススイート

Akamai のコンプライアンス

Akamai は毎年 SOC 2 Type 2 レポートを受領しており、Akamai のセキュリティコントロールは年間を通じて継続的に監査されています。

該当する Akamai サービス

Akamai の主要 SOC 2 Type 2 レポートは、セキュリティと可用性についての信頼サービス基準を対象にしています。このレポートの対象になる Akamai サービスは、次のとおりです。

• Enhanced TLS を使用した Secure CDN
• Prolexic の DDoS 緩和サービス
• Akamai Control Center カスタマーポータル
• Edge DNS
• Global Traffic Management
• アクセス管理、キー管理、およびその他のインフラをサポートする追加システム

Akamai Connected Cloud は、さまざまな目的に対応し、さまざまな製品やサービスをサポートする多くの異なる分散システムで構成されています。 レポートの対象となる Enhanced TLS を使用した Secure CDN とサポートシステムは分散したサーバーとシステムであり、エンドユーザーの機微な情報を転送または処理する Web プロパティの配信と保護に使用されます。Enhanced TLS を使用した Secure CDN で実行される Akamai サービスには、主要な SOC 2 Type 2 レポートのテスト対象となっているセキュリティおよび可用性のコントロールすべてが利用されています。Enhanced TLS を使用した Secure CDN で実行される可能性のあるサービスには、次のようなものがあります。

• Enhanced TLS を使用した Secure CDN で実行される Ion および Dynamic Site Delivery などのコンテンツデリバリー製品
• Enhanced TLS を使用した Secure CDN で実行される App & API Protector、Kona Site Defender、Kona DDoS Defender、Web Application Protector、Bot Manager Standard などのアプリおよび API セキュリティ製品

Akamai は、以下のソリューションについて、セキュリティと可用性の信頼サービス基準に関する SOC 2 Type 2 レポートを追加しています。

• Bot Manager Premier
• Account Protector

Akamai Guardicore Segmentation、API Security（旧 Neosec）、および API Security（旧 Noname Security）に関する Akamai の SOC 2 Type 2 レポートは、セキュリティ、可用性、機密性の 3 つの信頼サービス基準を対象にしています。

Akamai Identity Cloud サービスに関する Akamai の SOC 2 Type 2 レポートは、5 つの信頼サービス基準をすべて網羅しています。

Akamai は、以下のクラウド・コンピューティング・サービスについて、セキュリティと可用性の信頼サービス基準に関する SOC 2 Type 1 レポートを追加しています。

• コンピューティング：
  • 専用 CPU コンピューティング
  • 共有 CPU コンピューティング
  • ハイメモリ・コンピューティング
  • GPU コンピューティング
• ストレージ：
  • オブジェクトストレージ
  • ブロックストレージ
  • バックアップ
• ネットワーク：
  • クラウドファイアウォール
  • DDoS 防御
  • NodeBalancer
• 開発者ツール：
  • API
• Cloud Manager

Q&A

SOC 2 レポートのコピーはどうやって入手できますか？

Akamai アカウントチームがコピーを提供いたします。また、レポートは Akamai Control Center お客様ポータルの Download Center からもご覧いただけます。

どの地域が対象となっていますか？

Akamai の SOC 2 レポートは Akamai のサービス全体を対象としており、特定の地域に限定されていません。

前回の対象期間より後の期間に関するブリッジレターはありますか？
前回発行されたレポート以降の期間に関するブリッジレターは、担当アカウントチームからご入手いただけます。  

Akamai は SOC 2 認証を取得していますか？
SOC 2 では、準拠証明書は提供されません。証明書が提供されるのではなく、認定された第三者の評価機関が、評価を受ける組織のコンプライアンスに関するレポートを作成し、その組織のシステムの説明、範囲、一般基準を満たすための規制の説明、証拠、および組織の説明と証拠の適切性について検討します。 

なぜ Akamai には複数の SOC 2 レポートがあるのですか？
Akamai は現在、Identity Cloud、Akamai Guardicore Segmentation、API セキュリティソリューション、クラウド・コンピューティング・サービスについて SOC 2 レポートを作成しています。これらのサービスは、最近の買収によって取得したものです。Akamai では当面、こうしたレポート分類を維持することを選択しました。  

Akamai には SOC 1 レポートがありますか？
Akamai は SOC 1 の監査を受けていません。SOC 1 レポートの目的は、サービスプロバイダーの内部統制がその顧客の財務報告に影響を与える可能性がある場合、それに対処することです。Akamai のお客様は、財務報告に不可欠な事項を Akamai のビジネスプロセスにアウトソースすることはありません。そのため、SOC 1 の監査は Akamai が提供するサービスには関連しません。

概要

ISO 27001 は情報セキュリティ・マネジメント・システム（ISMS）の国際規格です。機微な情報とデータを安全な方法で管理し、不正アクセス、暴露、破壊、または損失から保護するためのフレームワークを提供しています。リスクベースの規格であり、情報セキュリティを確保するためのベストプラクティス、管理、プロセスの概要がまとめられています。世界中の組織で広く採用され、情報セキュリティマネジメントのベンチマークとしてよく使用されています。

リソース

ISO/IEC 27001:2013

ダウンロード／リンク

• Akamai の ISO/IEC 27001:2013 認定

該当する Akamai サービス

• Ion（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• Dynamic Site Accelerator（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• App & API Protector（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• API Acceleration（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• Global Traffic Management 
• Edge DNS
• Secure Internet Access Enterprise（旧 Enterprise Threat Protector）
• Enterprise Application Access
• Akamai Control Center ポータル
• Akamai Guardicore Segmentation
• Akamai Identity Cloud
• Private Access IoT
• Private Access Edge
• Secure Internet Access Mobile
• コンピューティング
  • 専用 CPU プラン
  • 共有 CPU プラン
  • ハイメモリ・プラン
  • GPU プラン
  • Linode Kubernetes Engine
• ストレージ
  • オブジェクトストレージ
  • ブロックストレージ
  • 画像
  • バックアップ
• ネットワーク
  • NodeBalancer
• 無料バンドルのクラウド・コンピューティング・サービス
  • コストのかからないセキュリティ、ネットワーク、メンテナンス、監視ソリューション
• クラウド・マネージャー・ポータル

Q&A

Akamai の適用宣言書のコピーを入手するためにはどうすればよいですか？

上記の証明書に加えて、Akamai の貴社担当アカウントチームが、当社のすべての ISO 認証に適用される関連する適用宣言書のコピーを提供します。また、Akamai Control Center お客様ポータルの Download Center からもご覧いただけます。

概要

ISO/IEC 27017:2015 は、クラウドサービスのプロビジョニングと使用に適用される情報セキュリティ施策のガイドラインとなります。追加の実装ガイダンスと施策を提供することで、ISO 27001 での使用を補足し、クラウド・サービス・プロバイダーとクラウドサービス顧客に合わせて最適化しています。

リソース

ISO/IEC 27017:2015

ダウンロード／リンク

• Akamai の ISO/IEC 27017:2015 認定

該当する Akamai サービス

• Ion（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• Dynamic Site Accelerator（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• App & API Protector（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• API Acceleration（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• Global Traffic Management 
• Edge DNS
• Secure Internet Access Enterprise（旧 Enterprise Threat Protector）
• Enterprise Application Access
• Akamai Control Center ポータル
• Akamai Guardicore Segmentation
• Akamai Identity Cloud
• Private Access IoT
• Private Access Edge
• Secure Internet Access Mobile
• コンピューティング
  • 専用 CPU プラン
  • 共有 CPU プラン
  • ハイメモリ・プラン
  • GPU プラン
  • Linode Kubernetes Engine（LKE）
• ストレージ
  • オブジェクトストレージ
  • ブロックストレージ
  • 画像
  • バックアップ
• ネットワーク
  • NodeBalancer
• 無料バンドルのクラウド・コンピューティング・サービス 
  • コストのかからないセキュリティ、ネットワーク、メンテナンス、監視ソリューション
• クラウド・マネージャー・ポータル

Q&A

Akamai の適用宣言書のコピーを入手するためにはどうすればよいですか？

上記の証明書に加えて、Akamai の貴社担当アカウントチームが、当社のすべての ISO 認証に適用される関連する適用宣言書のコピーを提供します。また、Akamai Control Center お客様ポータルの Download Center からもご覧いただけます。

概要

この標準は、クラウド・サービス・プロバイダーに対し、適切な情報セキュリティコントロールを提供するためのガイダンスを提供するもので、委任された個人識別情報（PII）のセキュリティを確保して顧客のクライアントのプライバシーを保護できるようにします。

この標準は、ISO／IEC 27018 に基づいてクラウドコンピューティングの情報セキュリティ管理システムを実装するために PII 保護コントロールを選択する際の参考情報となります。また、PII 保護コントロールの実装についてもガイダンスを提供します。

リソース

ISO/IEC 27018:2019

ダウンロード／リンク

• Akamai の ISO/IEC 27018:2019 認定

該当する Akamai サービス

• Ion（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• Dynamic Site Accelerator（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• App & API Protector（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• API Acceleration（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• Global Traffic Management 
• Edge DNS
• Secure Internet Access Enterprise（旧 Enterprise Threat Protector）
• Enterprise Application Access
• Akamai Control Center ポータル
• Akamai Guardicore Segmentation
• Akamai Identity Cloud
• Private Access IoT
• Private Access Edge
• Secure Internet Access Mobile
• コンピューティング 
  • 専用 CPU プラン
  • 共有 CPU プラン
  • ハイメモリ・プラン
  • GPU プラン
  • Linode Kubernetes Engine
• ストレージ
  • オブジェクトストレージ
  • ブロックストレージ
  • 画像
  • バックアップ
• ネットワーク
  • NodeBalancer
• 無料バンドルのクラウド・コンピューティング・サービス 
  • コストのかからないセキュリティ、ネットワーク、メンテナンス、監視ソリューション
• クラウド・マネージャー・ポータル

Q&A

Akamai の適用宣言書のコピーを入手するためにはどうすればよいですか？

上記の証明書に加えて、Akamai の貴社担当アカウントチームが、当社のすべての ISO 認証に適用される関連する適用宣言書のコピーを提供します。また、Akamai Control Center お客様ポータルの Download Center からもご覧いただけます。

概要

ISO/IEC 27701:2019 は、国際標準化機構（ISO）および国際電気標準会議（IEC）によって発行された情報セキュリティ規格であり、ISO/IEC 27001 の情報セキュリティ・マネジメント・システム（ISMS）を拡張して、プライバシー情報マネジメントシステム（PIMS）による PII 処理関連のプライバシー保護に対応できるようにしたものです。ISO/IEC 27701 の要件に準拠する組織は、処理者および管理者またはそのいずれかとして、PII の取り扱い方を示す証拠書類を作成する必要があります。

リソース

• ISO について
• ISO/IEC 27701:2019

ダウンロード／リンク

• Akamai の ISO/IEC 27701:2019 認定

該当する Akamai サービス

• Ion（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• Dynamic Site Accelerator（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• App & API Protector（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• API Acceleration（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• Global Traffic Management 
• Edge DNS
• Secure Internet Access Enterprise（旧 Enterprise Threat Protector）
• Enterprise Application Access
• Akamai Control Center ポータル
• Akamai Guardicore Segmentation
• Akamai Identity Cloud
• Private Access IoT
• Private Access Edge
• Secure Internet Access Mobile
• コンピューティング 
  • 専用 CPU プラン
  • 共有 CPU プラン
  • ハイメモリ・プラン
  • GPU プラン
  • Linode Kubernetes Engine
• ストレージ
  • オブジェクトストレージ
  • ブロックストレージ
  • 画像
  • バックアップ
• ネットワーク
  • NodeBalancer
• 無料バンドルのクラウド・コンピューティング・サービス 
  • コストのかからないセキュリティ、ネットワーク、メンテナンス、監視ソリューション
• クラウド・マネージャー・ポータル

Q&A

Akamai の適用宣言書のコピーを入手するためにはどうすればよいですか？

上記の証明書に加えて、Akamai の貴社担当アカウントチームが、当社のすべての ISO 認証に適用される関連する適用宣言書のコピーを提供します。また、Akamai Control Center お客様ポータルの Download Center からもご覧いただけます。

概要

ProcessUnity Global Risk Exchange（旧 CyberGRX）は、サードパーティが検証する大規模なエンタープライズセキュリティ評価を提供し、ベンダーのエンタープライズ・セキュリティ・リスクの評価のために企業が利用できるようにします。  

リソース

Global Risk Exchange

Akamai の証明書

Akamai の ProcessUnity 評価レポートにアクセスするためには、 こちらのフォームに必要事項を入力してください。 

ダウンロード／リンク

Akamai の Global Risk Exchange ページ

概要

米国政府のコンプライアンスプログラムである Federal Risk and Authorization Management Program（FedRAMP）は、クラウド製品とサービスに対するセキュリティ評価、承認、継続的な監視に関する標準化されたアプローチを提供します。

FedRAMP では、米国政府の効果的で反復可能なクラウドセキュリティを保証する一連のコアプロセスを策定し、管理しています。これにより、クラウドサービスの利用を拡大し認知度を高める成熟した市場が確立しました。

リソース

FedRAMP

Akamai の認証

2013 年以来、Akamai は、Infrastructure as a Service（IaaS）プロバイダーとして、FedRAMP Joint Authorization Board（JAB）の Provisional Authorization to Operate（ATO）を中レベルのベースライン要件において取得しています。

ダウンロード／リンク

Akamai の FedRAMP Marketplace ページ

該当する Akamai サービス

• HTTP および HTTPS 配信（ESSL および FreeFlow Networks と呼ばれる）を提供する Akamai のコンテンツ・デリバリー・ネットワーク、およびそのプラットフォーム上で実行されるサービス 
• App & API Protector や Kona Site Defender などの Web アプリケーションエッジ保護
• Edge DNS（DNSSEC 対応）
• NetStorage
• メディア・ストリーミング・サービス
• Akamai Control Center
• Global Traffic Management

Q&A

Akamai の FedRAMP に関する文書はどのようにして入手できますか？

FedRAMP Marketplace の Web サイト で「Package Access Request Form」からリクエストしていただけます。

Akamai の FedRAMP 影響レベルは何ですか？ 

Akamai の FedRAMP 認証の影響レベルは中程度です。 FedRAMPによると、中程度の影響レベルは FedRAMP 認証を受ける CSP 申請の 80% 近くを占めており、機密性、整合性、可用性の損失が政府機関の運営、資産、個人に重大な悪影響を与えることになる CSO が最も該当します。重大な悪影響には、政府機関の資産に対する運営上の相当な被害、金銭的損失、または（生命や身体の損失ではない）個人への被害が含まれます。

現時点で、Akamai は高程度の影響レベルの FedRAMP 認証は求めていません。

概要

1996 年の U.S. Health Insurance Portability and Accountability Act（米国の医療保険の携行性と責任に関する法律、HIPAA）では、ヘルスケアサービスおよび保険のプロバイダーによる個人識別健康情報の処理に関する要件を示しています。 

2009 年の Health Information Technology for Economic and Clinical Health Act（経済的および臨床的健全性のための医療情報技術に関する法律、HITECH）では、医療データへのアクセス権と、患者が自身のデータに対する管理権を保有する仕組みについて定義しています。これは、電子的に保護される医療情報（ePHI）の交換と、HIPAA が提示するプライバシーおよびセキュリティ保護の範囲を拡張するものです。 

リソース

• HIPAA セキュリティルール
• HITECH 法違反通知要件

Akamai のコンプライアンス

Akamai はヘルスケア業界のお客様によるヘルスケアデータの処理に関わっているため、ビジネスアソシエイトと見なされる可能性があります。そのため、Akamai とヘルスケア業界のお客様の間でビジネスアソシエイト契約が必要となる可能性があります。リクエストに応じて、Akamai の標準のビジネスアソシエイト契約のコピーを提供いたします。

Akamai は、HIPAA セキュリティルールに従い、定期的な第三者アセスメントを実施しています。この場合、ビジネスアソシエイトは、ビジネスアソシエイトが保持する ePHI の「機密性、整合性、可用性に対する潜在的なリスクと脆弱性を正確かつ徹底的に評価」することが求められます。直近の評価のエグゼクティブサマリーや評価機関による関連レターは、機密保持契約（NDA）に従って、Akamai のお客様およびパートナー様に提供されます。 

ダウンロード／リンク

HIPAA および HITECH 法への準拠に関する Akamai の声明

該当する Akamai サービス

• Enhanced TLS を使用した Secure CDN およびそこで実行されるサービス
• Secure CDN で実行される Ion、API Acceleration、Adaptive Media Delivery などのコンテンツデリバリー製品
• Secure CDN で実行される App & API Protector、Account Protector、Kona Site Defender、Bot Manager（Standard および Premier）などのアプリおよび API セキュリティ製品
• API Security（旧 Noname Security）
• Akamai Guardicore Segmentation
• Enterprise Application Access
• Akamai Identity Cloud
• Akamai Control Center
• コンピューティング 
  • 専用 CPU プラン
  • 共有 CPU プラン
  • ハイメモリ・プラン
  • GPU プラン
  • Linode Kubernetes Engine
• ストレージ
  • オブジェクトストレージ
  • ブロックストレージ
  • 画像
  • バックアップ
• ネットワーク
  • NodeBalancer
• 無料バンドルのクラウド・コンピューティング・サービス 
  • コストのかからないセキュリティ、ネットワーク、メンテナンス、監視ソリューション
• クラウド・マネージャー・ポータル