概要
Akamai はオンラインライフの力となり、守っています。毎日、何十億人もの人々がお気に入りのブランドとつながり、オンラインでのショッピング、ゲーム、アイデアの共有、お金の管理などを行っています。気づかれなくてもそこには Akamai が存在し、高速で確実、かつ安全な体験を提供しています。
Akamai はセキュリティが現代のオンラインライフにとって根源的に重要であることを理解しており、弊社のサービスと企業インフラで使用される顧客のデータを保護することに取り組んでいます。この目的のために、Akamai 独自のセキュリティ製品やサービスなどの先進的なセキュリティテクノロジーによって支えられた包括的な情報セキュリティプログラムを導入し、現在および将来の脅威に対する包括的な保護を提供しています。
責任共有モデル
顧客は Akamai ソリューションのさまざまな側面を制御しており、その結果として顧客の意思決定はセキュリティに影響を及ぼします。そのため、Akamai は弊社の製品およびサービスの提供および利用に関係するさまざまな当事者の役割と責任を定める責任共有モデルを採用しています。
このモデルでは、顧客はデータの機密性に適した Akamai サービスを活用し、そのサービスを正しく設定してアプリケーションに関連するリスクに対処する責任を負います。たとえば、コンテンツ配信ソリューションを使用する場合、顧客はユースケースに適した TLS 設定とキャッシングポリシーを選択する必要があります。クラウド・コンピューティング・ソリューションを使用する場合、顧客は、基盤となるオペレーティングシステムやソフトウェアスタックの安全な管理など、Akamai で実行するワークロードのセキュリティを確保するための対策を講じる必要があります。同様に、顧客は Akamai サービスと統合する独自のインフラを保護する責任を負います。
また、Akamai はすべての Akamai 製品を支える Akamai Connected Cloud プラットフォームの安全な開発と運用について責任を負い、顧客の適切な設定によって定められたセキュリティプロパティやプライバシープロパティに Akamai のサービスが違反しないようにします。
責任共有モデルの詳細については、PCI DSS コンプライアンスのためのレスポンシビリティマトリクスを参照してください。これは Akamai の 情報セキュリティコンプライアンス サイトで入手できます。以下では、Akamai の情報セキュリティプログラムに話を広げて、Akamai が自社のセキュリティ責任をどのように果たすかについて説明します。
情報セキュリティガバナンス
Akamai には、Chief Security Officer(CSO)が率いる InfoSec という情報セキュリティ専門組織があります。このセキュリティ専門家チームは、Akamai の情報セキュリティプログラムを維持し、Akamai におけるセキュリティのあらゆる側面を監督することを任務としています。
InfoSec は独立した組織ですが、Akamai の全体的なセキュリティ・リスク・プロファイルを管理するために、エンジニアリング、サービス、法務、人事などの他の部門と緊密に連携しています。
Akamai には、セキュリティリスクを特定、評価、緩和する InfoSec の能力をサポートする、確立されたガバナンス構造があります。Akamai の情報セキュリティ委員会(ISC)は、CSO が議長を務める主要なセキュリティガバナンス組織であり、あらゆる部門の社内幹部で構成されています。ISC は、情報に基づいて重要な意思決定を行うために、上級経営幹部と定期的にリスク情報を交換しています。また、Akamai の取締役会のメンバーは CSO からセキュリティ体制に関する最新情報を定期的に受け取っています。
機能
Akamai の情報セキュリティプログラムは、Akamai Connected Cloud を保護し、ひいては Akamai が顧客に代わって処理するデータ、および Akamai 社内の企業システム、データ、人を保護するように設計されています。
Akamai が備えている主なセキュリティ機能は次のとおりです。
リスク管理。InfoSec のリスク管理チームは、Akamai の包括的なリスク管理プロセスを通じて、Akamai のセキュリティ・リスク・エクスポージャーを継続的に監視し、新たなリスクと既知のリスクの両方を特定、評価、追跡します。リスクは中枢のリスクレジスターで追跡され、Akamai のリスク許容度を超えるリスクの状況が前述のセキュリティガバナンス組織に定期的に伝達され、各リスクオーナーと連携して解決のための取り組みが実行されます。
継続的な監視。InfoSec のグローバル・セキュリティ・オペレーションズ・チーム(GSO)は、自動化とオーケストレーションによって支えられている専門チームを通じて、複数のデータソースからセキュリティ信号をインジェストして相互に関連付けることにより、Akamai システムを継続的に監視します。ネットワーク・オペレーションズ・コマンド・センター(NOCC)は、Akamai システムのパフォーマンス、キャパシティ、および技術的な問題の兆候を継続的に監視することで、GSO の機能を補完します。どちらのチームも、フェイルオーバー機能を生かして複数の大陸に分散されています。
脆弱性管理。InfoSec の脅威および脆弱性管理チームは、Akamai の包括的な脆弱性管理プロセスを監督して、全体的なポリシーとメトリクスを確立し、脆弱性の重大度と影響を評価し、脆弱性と資産の正確な紐づけとタイムリーな問題修正のためのガイダンスをシステムオーナーに提供します。
インシデント管理。Akamai には、技術的なインシデントやセキュリティインシデントに対処するための適切な人員を確保することを目的として設計された、強固なインシデント管理プロセスがあります。この 3 段階のプロセスでは、喫緊の脅威の封じ込めと状況の評価を行って対象分野の専門家からなるタスクフォースを設置し、チームの解決基準に従って完全な修復とその検証を行い、最後にインシデント後のレビューを実施して、得られた教訓に基づいて長期的ポリシー、プロセス、制御の強化を行います。
脅威インテリジェンスとセキュリティ調査。Akamai のセキュリティ専門家は、新たな脅威を監視、分析し、それに対応します。彼らには、世界最大かつ最も分散されたクラウドプラットフォームによってもたらされる、インターネットのトラフィックと状況に対する Akamai 独自の可視性を活用できるという強みがあります。Akamai は、業界パートナー、法執行機関、スペシャル・インタレスト・グループ、職能団体、標準化団体、学術機関、オープン・ソース・コミュニティと協力して、自社の脅威インテリジェンス機能を強化しています。また、Akamai は、独自の社内調査機能を生かしてセキュリティに関する論文に貢献し、コミュニティと新たな知見を共有しています。
セキュアな開発。安全な開発は、Akamai のすべてのシステムオーナーとエンジニアリング部門が共有している責任です。InfoSec の製品セキュリティチームは、そのプロセスにおいて、システム設計者と開発者にセキュリティに関する専門知識を提供します。製品セキュリティチームは、一般的に適用される安全な設計、安全なコーディング、セキュリティテストに関する要件を監督し、要求に応じて実践的なガイダンスを提供するだけでなく、開発チームにセキュリティアーキテクトを派遣して 1 対 1 で協力し、初期設計段階で脅威モデリングを行い、その後 Akamai の標準的なシステム開発プロセスの正式なセキュリティレビューを通過できるよう開発者を導きます。Akamai 社内の侵入テストチームは、システム固有の攻撃テスト演習によってこれらの機能を補完します。
セキュリティに関する標準の遵守。Akamai は繰り返し監査を受け、ISO 27001、ISO 27017、ISO 27018、ISO 27701、PCI DSS、SOC 2 Type 2、FedRAMP など、Akamai の 情報セキュリティコンプライアンス サイトに掲載されている数々の標準を遵守していることを実証しています。また、それらのセキュリティ標準が求める、有資格のサードパーティベンダーが実施する脆弱性スキャン演習や侵入テスト演習を定期的に受けています。
お客様の信頼。InfoSec の顧客信頼チームは、セキュリティのエキスパートからなる専門チームであり、Akamai の顧客と協力してセキュリティに関する疑問を解決します。顧客信頼チームは、Akamai の情報セキュリティプログラム、アーキテクチャ、暗号化の使用のあらゆる側面や、その他の低レベルの技術的詳細とそれがもたらすセキュリティへの影響について話し合うことができます。また、Akamai の事業活動をより詳細に確認したいと考えている顧客とのオンサイト監査を調整します。
結論
Akamai は、さまざまな業界や地域の何千もの顧客からパートナーとして信頼を得ておリ、顧客のオンラインプレゼンス、セキュリティ、パフォーマンスを強化する安全で信頼性の高いクラウドサービスを提供していることに誇りを持っています。Akamai は、進化する脅威の状況の一歩先を行き、弊社のプラットフォーム、顧客、顧客のエンドユーザーをサイバー攻撃から保護するために、セキュリティ機能とイノベーションに絶えず投資しています。