【Global Transparency Initiative】ステータスアップデート

Kaspersky LabのGlobal Transparency Initiativeの現況および更新情報。

Kaspersky Labは2017年10月、Global Transparency Initiativeを発表しました。当社には隠すものなどないこと、したがってお客様の信頼を損ねるようなことはないことを、言葉だけでなく行動で証明するための取り組みです。

この取り組みの進捗は、この記事を更新する形で随時お知らせいたします。

※更新情報:2018年8月2018年11月2019年4月2019年7月2019年8月2019年11月2020年2月2020年11月

なぜスイスなのか

スイスを選んだのには、いくつか理由があります。スイスは欧州の中心部に位置する一方で、EUには加盟しておらず、自国で意思決定のできる独立した国家です。Global Transparency Initiativeの原則の1つは当社の独立性を示すことであることから、取り組みを開始するにあたってこれ以上ない場所です。

スイスはIT分野で革新的かつ高度であることでもよく知られており、当局からのデータ処理要求に関して厳格な規則を有することでも有名です。したがって、当社のユーザーデータは、世界で最も安全な場所の1つにて保管され、処理されることとなります。

Global Transparency Initiativeのステップ

Global Transparency Initiativeの他の要素も進行中です。

当社では、最初のTransparency Centerをスイスに開設する計画です。現在、設備の設置を進めており、チューリッヒのデータセンターにてデータ処理を開始する準備が整い次第、開設の予定です(今年終盤を予定)。
更新情報:これまでにスイスのチューリッヒ、スペインのマドリード、マレーシアのサイバージャヤ、ブラジルのサンパウロの4か所にTransparency Center を開設済みであり、新たなTransparency Centerをカナダのニューブランズウィックに開設予定です。

このほかに目指しているのは、ソフトウェアおよび脅威検知ルールデータベースのアセンブリラインの移転です。ただし、ユーザーデータに対する不正アクセスの懸念に対処することを優先し、アセンブリライン移転に関してはデータ移転プロセスを開始してからの着手となります。

また、その他国々のユーザーデータ処理を担う施設の移転も決定しています。この移転はかなり複雑なプロセスであるため、お客様の保護にできるだけ混乱が生じないよう、漸次の実施とする判断を下しました。したがって、欧州のユーザーデータを処理する設備について移転が完了したのちに、その他国々のユーザーデータ処理設備の移転に着手します。
更新情報:データ処理およびデータ保管の場所について、移転が完了しました。欧州、米国、カナダのユーザーに加え、アジア太平洋地域の複数国のユーザーに関しても、データ処理およびデータ保管が完了しています。

第三者によるコードとプロセスのレビューについても、現在は適任であるパートナーを探している段階であり、このデータ移転後に開始します。
更新情報:4大監査法人の1社 によるSOC 2 Type 1監査が完了しました。

Global Transparency Initiativeの実施は、当社にとって非常に重要です。この長期にわたるプロジェクトに時間と労力を注ぐことは、Kaspersky Labの完全な透明性、および独立性を証明するために不可欠であり、当社の信頼性を裏付ける理由たるものと確信しています。当社の透明性への取り組みに関する活動を一か所でご参照いただけるように、Global Transparency Initiativeに関して新たな展開があった場合には、この記事を追記・更新していきます。また、Transparency Centerに関するWebサイト(英語)もあわせて追記・更新します。

【進捗情報】2018年8月29日現在

進捗は良好であり、今年春には、取り組みの一環としてバグ報奨金プログラムの報酬を最高10万ドルへ引き上げました。本プログラムは、当社製品の安全性と信頼性を高めるのに貢献しています。これ以外にも、Global Transparency Initiativeの次段階として、欧州のユーザー処理の移転に必要な機器の導入が開始されました。

Kaspersky Labはまた、当社サーバーのホスティングに関する設備の提供について、欧州のプロバイダーであるInterxion および NTS と契約を交わしました。公的セクター・民間セクターのステークホルダーが表明した、ユーザーデータに対する不正アクセスの懸念に対処するため、データの収集、処理、保管に必要な新規インフラを、2018年末までにスイスのチューリッヒに設立します。欧州のユーザーに関するデータの処理および保管については今年中に移転を開始し、その他国々のユーザーに関するデータも追って移転を開始します。欧州諸国に関しては、2019年第4四半期にデータ移転完了の予定です。

【進捗情報】2018年11月14日現在

2018年11月13日、最初のTransparency Centerが公式に開設の運びとなりました。当社製品のコード、ソフトウェア更新、脅威検知ルールのレビューを、信頼できるパートナーの皆さまにご覧いただけるようになります。

また、欧州でカスペルスキー製品をお使いのお客様より共有された悪意あるファイルおよび不審なファイルの処理を、チューリッヒに在する世界水準のデータセンター2か所にて同日より実施します。

また、Kaspersky Labは、脅威検知ルールデータベースの作成および配信に関わる当社のエンジニアリング手法が最高の業界セキュリティ慣行に則していることについて第三者による確認を得るため、SSAE 18の下での監査の実施について4大監査法人の1社と契約を交わしています(リンク先は英語)。

【進捗状況】2019年4月4日現在

2019年4月2日、2番目となるTransparency Centerの開設を発表しました。Kaspersky Labの製品および技術に関してより多くの情報を提供する目的で、スペインのマドリードに6月開設予定です。同Transparency Centerはまた、当社製品のポートフォリオ、エンジニアリング手法、データ処理手法に関する情報を来訪者へ提供する、ブリーフィングセンターとしての役割も担います。2020年までにアジアおよび北米でTransparency Centerを開設する計画についても進行中です。

当社のデータ処理インフラの移転も、順調に進んでいます。データ受理インフラはすでにスイスへ移転済みであり、データ保管インフラの移転に関しても第2四半期末までに終了する計画です。欧州のユーザーに関するデータ処理に関しては、2019年末までに完全移転することを見込んでいます。

このほか、ロシアの法律について、またこうした法律がKaspersky Labにどのように適用されるかについて、有志の第三者による法的アセスメントを実施し、その結果を公開しました。本アセスメントは、スウェーデンのウプサラ大学の国際投資貿易法教授であり、ロシア法に精通するKaj Hober博士によって実施されました。主な結果は以下のとおりです。

  • Kaspersky Labはロシア連邦保安庁(FSB)より協力を要請される可能性はあるが、これに従う義務はない。
  • 実動・捜査活動に関しFSBへの支援を義務づける法の適用対象は、電気通信サービスを提供する企業に限られ、Kaspersky Labはこれにあたらない。
  • ロシア国内にデータを保管すること、またこれらデータおよび暗号化キー(データ復号用)のFSBへの提供を企業に強制する法の適用対象は、インターネットサービスプロバイダーに限られ、Kaspersky Labはインターネットサービスプロバイダーではない。

さらに、当社のバグ報奨金プログラムの対象製品として、Kaspersky Password ManagerとKaspersky Endpoint Security for Linuxが追加となりました。本プログラムを通じてこれまでに50以上のバグが発見・報告され、支払われた報奨金の総額は17,000ドルを超えています。

【進捗状況】 2019年7月23日現在

2019年6月、Kasperskyのお客様およびパートナー様向けに、2番目となるTransparency Centerをマドリードに開設しました。2020年末までには、少なくとも3番目のTransparency Centerを開設する計画です。

このほか、Global Transparency Initiative の重要なパートである、Kasperskyのサイバーリスクマネジメント統制に対する第三者によるService Organization Controls(SOC2 Type 1)監査が完了しました。WindowsおよびUnixサーバー向け製品の定義データベースの定期的な自動アップデートに関する管理統制について、4大監査法人の1社が監査を実施し、これら定義データベースの開発およびリリースが不正な変更から保護されていると結論づけました。この結果は、当社製品の安全性と信頼性を新たに裏付けるものです。本報告書は、要望に応じて当社のお客様および規制当局者様向けに開示が可能となっています。

さらに、当社のバグ報奨金プログラムの拡大を継続しており、このたびDisclose.ioプロジェクトへの参加を果たしました。これにより、当社製品の脆弱性を調査するリサーチャーの皆さまにセーフハーバーを提供し、リサーチャーの皆さまに対して法的措置をとらないことを保証するものです。Disclose.ioへの参加に関しては、こちらの記事をご確認ください。

【進捗状況】2019年8月21日現在

今月、3番目となるTransparency Centerの開設を発表しました。2020年の早い時期に、マレーシアのサイバージャヤに開設予定です。この施設は、すでに開設したチューリッヒとマドリードのTransparency Centerと同様に、当社のパートナー企業や政府関係者が当社製品のソースコードを確認することができる場となります。また、マレーシアのサイバーセキュリティ専門の国家機関であるCyberSecurity Malaysiaが、同センターの場所を提供します。

当社CEOのユージン・カスペルスキー(Eugene Kaspersky)は、これがKasperskyにとってアジア太平洋地域初のTransparency Centerであり、当社の製品および技術に関してより多くの情報を求めるパートナー企業や政府機関のステークホルダーの声に応えることを目的としたGlobal Transparency Initiativeが順調に進んでいることを示すものであると述べています。

【進捗情報】2019年11月18日現在

2019年11月13日、4番目となるTransparency Centerの開設を発表しました。2020年1月に、ブラジルのサンパウロに開設予定です。マドリッドとチューリッヒに開設した欧州のTransparency Center、マレーシアのサイバージャヤに開設予定であるアジア太平洋地域のTransparency Centerに続き、ラテンアメリカ地域初の開設となります。この新しいTransparency Centerは、当社の透明性を反映するものであると同時に、当社がセキュリティのいかなる問題に対しても迅速かつ徹底的に対処可能であることを改めて示すものです。

データの保管と処理を行うインフラの移転も進んでいます。欧州ユーザーのデータに続き、米国とカナダのユーザーデータもスイスへの移転を開始します。このデータは、ユーザーによる同意に基づき、サイバー脅威関連のデータを自動的に処理する高度なクラウドベースのシステムであるKaspersky Security Network(KSN)と共有されます。米国、カナダのユーザーデータ移転は2020年末までに完了の予定で、他地域ユーザーのデータについてもこれに続く予定です。

これらの取り組みにつき、サイバー空間の信頼性と安全性のためのパリ・コールの早期参画企業としてParis Peace Forum 2019(第2回パリ平和フォーラム、リンク先は英語)にて先日発表を行いました。

KasperskyのTransparency Centerでは、当社ソフトウェアをソースコードからコンパイルする手法について情報を提供すると共に、ソースコードを一般に公開されているコードと比較いただくことが可能です。また、当社のエンジニアリング手法およびデータ処理手法のほか、当社製品ポートフォリオについても、同センターにて確認いただくことができます。

【進捗情報】2020年2月28日現在

Global Transparency Initiativeの取り組みは、継続的に進められています。この取り組みの一環として、KasperskyはISO/IEC 27001:2013の認証を取得しました。TÜV AUSTRIAによって発行された本認証により、Kaspersky Security Networkをはじめとする当社のデータセキュリティシステムが業界のベストプラクティスに適合していることが確認されました。

認証の取得に当たっては、情報セキュリティマネジメントシステム(ISMS)の実装、監視、維持における規格に当社が準拠していること、また当社がISMSの改善に継続して取り組んでいることを証明する必要がありました。

監査は第三者認証機関であるTÜV AUSTRIAによって実施されました。監査では、Kaspersky Security Network(KSN)のインフラによる悪意のあるファイルや疑わしいファイルの配信マネジメントシステムに加え、チューリッヒ(スイス)、フランクフルト(ドイツ)、トロント(カナダ)、モスクワ(ロシア)の当社データセンターでのKaspersky Distributed File System(KLDFS)におけるファイルの保管とアクセスが対象となりました。

認証の内容についてはTÜV AUSTRIA認証ディレクトリ(英語)もしくは、Kasperskyの Webサイト(英語)でご覧いただけます。

【進捗情報】2020年11月19日現在

201811月に発表した、データの保管と処理を行うインフラの移転が完了しました。欧州、米国、カナダのユーザーデータに加え、アジア太平洋地域の複数国についても、ユーザーデータの保管および処理の移転が終了しました。移転対象の国は、日本、オーストラリア、ニュージーランド、バングラデシュ、ブルネイ、カンボジア、インド、インドネシア、韓国、ラオス、マレーシア、ネパール、パキスタン、フィリピン、シンガポール、スリランカ、タイ、ベトナムです。

これらの国々でカスペルスキー製品をお使いのお客様より共有された脅威関連のデータは、スイスのチューリッヒにある2つのデータセンターにて処理されます。このようなデータには、マルウェアの自動解析のために当社製品からKaspersky Security Network(KSN)へ送信された、疑わしいファイルや未知の悪意あるファイルも含まれます。

カナダのニューブランズウィック州の非営利団体であるCyberNB Associationと提携し、北米のTransparency Centerを開設することを発表します。5番目となるこのTransparency Center は、2021年初旬の稼働開始を予定しています。当社パートナーの皆様には、Transparency Centerにて、当社製品のソースコードのほか、当社のエンジニアリング手法およびデータ処理手法、当社製品ポートフォリオについて確認いただくことができます。

2020年には、サンパウロおよびクアラルンプールのTransparency Centerが完全に稼働可能となりました。また、チューリッヒに最初に開設されたTransparency CenterをInterxionのデータセンターへ移転し、稼働を再開しました。

移動および訪問に関する制約が課された現状を考慮し、ソースコードの確認はリモートからでも可能となっています。Kaspersky Transparency Centerへのリモートアクセスをご希望の方は、こちらのページにて詳細をご確認ください。

ナショナルCERTおよびNational Cyber Security Centre (NCSC)を含むベトナムのAuthority of Information Security(AIS)と共に、Cyber Capacity Building Program20205月発表)を立ち上げました。同プログラムには、KasperskyのICS CERTチームと実施するファジングのセクションが追加されました。2021年には、ビジネスパートナーをはじめとする企業の皆様にもご利用いただけるようになります。セキュリティの備えを強化することだけでなく、サプライチェーン攻撃に対する自社のシステムおよびネットワークのレジリエンスを評価することにも活用いただけます。利用をご希望の場合は、こちらのページにて詳細をご確認ください。

バグ報奨金プログラムの対象製品が拡大されました。カスペルスキー VPN セキュアコネクションと、同製品の一部であるサードパーティ製ソフトウェアモジュールが、新たに対象製品となっています。2018年3月以来、本プログラムを通じてこれまでに76件のバグが解消され、37件の報告に対して支払われた報奨金の総額は57,750ドルに達しています。

 

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?