Kasperskyの透明性への取り組み

2017年、当社は Global Transparency Initiative （透明性への取り組み）を開始しました。このプロジェクトの下、データインフラストラクチャーの一部をスイスに移設し、パートナーやお客様による製品のソースコードのレビューを可能とするトランスペアレンシーセンターも開設しました。また、当社のサービスやエンジニアリング手法は、認定されたサードパーティの独立組織の評価を受けました。さらに、サイバー犯罪の調査の一環として、政府機関からリクエストされるデータや技術的な専門知識に関する情報についても、定期的に開示しています。ここでは、この取り組みにおける新しいステップについてお話ししたいと思います。

Global Transparency Initiative の一環として行ってきたこと

プログラムの開始から 5 年で、当社はトランスペアレンシーセンターを 4 か所開設しました。この施設では、お客様企業やパートナーは、当社製品のソースコードやソフトウェアの更新をレビューすることができます。それにより、秘匿された機能や文書化されていない機能が当社の製品に存在しないことをご確認いただけます。さらに、当社はエンジニアリング手法やデータ管理手法も外部テストのために提供しています。トランスペアレンシーセンターは、ヨーロッパ、ラテンアメリカ、アジア、北米で運営されています。センターに直接行くことができない方は、リモートでも訪問いただけます。

テクノロジーサイバーセキュリティ企業として、当社は自社製品が使用するデータを処理し、ユーザーに提供する製品の有効性を向上させています。このデータにはサイバー脅威に関する情報が含まれています。たとえば、クラウドベースのマルウェア分析の自動実行を目的として、ユーザーの同意を得て製品から送信される疑わしいファイルや悪意のあるファイルなどがその情報に該当します。このデータは、新しい脅威や未知の脅威の特定と、製品やソリューションの継続的な改善に役立ち、そしてユーザーを保護するより良い方法を提供します。

2018 年 11 月以降は、ヨーロッパのユーザーのサイバー脅威に関連するデータは、スイスの当社データセンターで処理・保管しています。それから程なくして、北米、アメリカ、中東、およびアジア太平洋地域の多くの国々のユーザーデータの処理や保管もスイスに移転しました。

また、独立認証機関のTÜV AUSTRIA から ISO 27001 コンプライアンス認証 を受けました。それにより、当社が効果的な情報セキュリティ管理システムを整備していることが認められました。ユーザーは、当社が処理したデータは最高レベルの保護下にあるということを確信していただけます。

さらに、企業、政府、組織、教育機関が IT システムを保護するために必要なスキルを習得する手助けをすべく、 Cyber Capacity Building Program トレーニングを開始しました。最近は、トレーニングのオンラインコース を開始し、企業ユーザーおよび個人のユーザーもご利用いただけるようになりました。

透明性への新たなステップ

透明性を向上させる過程で、Kasperskyは多くの仕事を成し遂げてきました。ですが、ここで止まるつもりはありません。当社は最近、透明性への取り組みの一貫として、新たな取り組みを行いました。

新たに3カ国にトランスペアレンシーセンターを開設

2022年6月16日に、日本、シンガポール、米国の3カ国に「トランスペアレンシーセンター」を開設しました。これまでの施設と同様に、お客様企業やパートナーの皆様に、当社製品や活動に関するセキュリティ保証を提供します。今回の新設により、当社のエンジニアリングやデータ処理方法について詳しく知っていただき、また、当社ソフトウェアのソースコードなどを確認する機会がより身近になります。

トランスペアレンシーセンターは、サイバーセキュリティを担当する国家機関や規制当局を含む、当社のお客様企業やパートナーにご利用いただけます。アジア太平洋地域の東京とシンガポールの2つの施設は、この地域のステークホルダーにとってより近い場所となり、米国マサチューセッツ州ウーバンのセンターは、これまでカナダのニューブランズウィックに設置していた同施設に代わって北米の拠点となります。

チューリッヒのデータセンターの拡大

2022 年初頭以降、チューリッヒのデータセンターの処理能力を大幅に向上させ、ラテンアメリカや中東のユーザーから送られてきた悪意のあるファイルや疑わしいファイルを処理するようになりました。また、以前は対象外となっていた北アメリカの国々（メキシコ、パナマ、ジャマイカ、そのほかの島国）のサイバー脅威に関連するデータの処理・保管も移転しました。

データセンターの設置場所にスイスを選んだのは、その厳重なデータ保護規制のためです。チュ－リッヒにある当社の 2 か所のデータセンターには、最も高い業界基準を満たす世界有数の設備が備わっています。

ISO 27001 の再認証

当社のデータシステムは、 ISO 27001 の要件 に則り、TÜV AUSTRIA に 再認証されました。認証の更新のみでなく、今回、監査の対象は大幅に拡大されました。現在、認証はサイバー脅威に関連するデータを処理するデータシステム（Kaspersky Distributed File System (KLDFS) ）と、統計（KSNBuffer データベース）の両方を対象としています。

TÜV AUSTRIA は独立認証機関です。当社のデータセキュリティへのアプローチが再び認められたことを誇りに思っています。

再度のSOC 2監査を成功裏に完了

2022年、当社は、2019年に初めて受けたSOC 2（Service Organization Control for Service Organizations）Type1監査を再び完了しました。この独立した審査は、国際的な四大会計事務所の一社によって実施されました。

2022年1月下旬に開始されたこの再審査は4月下旬に無事終了し、当社のアンチウイルスベースの開発およびリリースのプロセスが、強力なセキュリティコントロールによって不正な変更から保護されていることが確認されました。今回の審査では、アンチウイルスベースの開発とリリースに関する当社の方針と手順、このプロセスに関わるインフラのネットワークおよび物理的セキュリティ、当社チームが使用する監視ツールなどについてチェックが行われました。

当社が新たなセキュリティツールやコントロールを導入したため、今回の監査の範囲は2019年と比べて拡大しました。報告書の全文は、ご要望に応じてお客様に提供することができます。

SOC 2監査の詳細については、こちらのブログ記事をご覧ください。

政府機関や法執行機関からのリクエストへの対応

ユーザーデータが安全だとしても、法執行機関から情報提供のリクエストがあった場合にはどうなるのかと疑問に思われるかもしれません。当社は昨年より、情報提供のリクエストへの対応を定期的に公開し、法執行機関や政府機関からのリクエストにどのように対応したかをレポートとして発行しています。最近も 2021 年下半期のレポート （リンク先は英語PDF）を発行したばかりです。レポートに記載されている主要なものを挙げます：

• 当社のエキスパートは 12 か国の政府機関および法執行機関から 101件のリクエストを受けました。
• 84 件のリクエストは、技術的な専門知識に関するもので、17 件はユーザーデータへのアクセスを要求するリクエストが含まれていました。
• 上記17 件のリクエストすべてを拒否しました。そのうちの一部は法的要件を満たさず、そのほかは、当社には無いデータへのリクエストでした。

エンドユーザーからも個人の情報の保管場所や保管方法に関するお問い合わせが寄せられています。個人の情報をダウンロードまたは削除したいとお問い合わせもいただいています。2021 年に、このようなお問い合わせが 2,252 件あり対応しました。

教育プログラムの拡張

Kasperskyは、常に当社の経験をグローバルコミュニティに共有しています。その一環として、企業、政府、組織や教育機関が、各自の IT システムを保護するために必要なスキルを習得できるCyber Capacity Building Programを提供していますが、今回、ほぼ同じ内容の オンラインコース を開始しました。これにより、多くのパートナーやお客様がプログラムに参加いただけるようになりました。このプログラムでは、企業や個人が使用しているソフトウェアのセキュリティを評価し、サイバー攻撃のリスクと発生し得る被害を削減できる知識を得ていただくことができます。

次の取り組み

当社の最優先事項は、お客様、パートナーから信頼をいただくことです。当社は引き続きセキュリティ手法をさらに改良し、透明性への取り組みを継続していきます。そしていつか、この取り組みがサイバーセキュリティ業界の国際基準となることを願っています。

当社のセキュリティソリューションが提供する保護機能の品質に関しても朗報があります。最近、2021 年に主要な第三者機関が行った、当社の製品を含むセキュリティソリュ－ションに対する数十ものテストやレビューの結果をまとめました。その結果はこちら でご確認いただけます。