Compliance

Akamai コンプライアンスプログラム

Akamai の製品とサービスが、プライバシー法、規制、認定、フレームワークにどのように準拠しているかをご確認ください。

Privacy Trust Center

合意基準、フレームワーク、自己評価

コンプライアンスの合意基準やフレームワークには、特定の業界や機能など具体的な目的のために公開されたセキュリティ要件やコンプライアンス要件があります。Akamai は、そのようなプログラムに対応するセキュリティ機能やドキュメントなどを提供しています。特定の合意基準やフレームワークの要件が認定や認証の対象とならない場合もあります。

Privacy Trust Center

カリフォルニア州消費者プライバシー法(CCPA)

 

概要

2018 年カリフォルニア州消費者プライバシー法は、米国居住者のプライバシー権と消費者の保護を強化することを目的としたカリフォルニア州の法律です。

2020 年 1 月 1 日の時点で、カリフォルニア州でビジネスを行う企業または組織には、このカリフォルニア州の新しい厳格なプライバシー法を遵守することが要求されています。このプライバシー法は、同州内のすべての居住者に関する法的拘束力のあるプライバシー権を策定したものです。この新規制の適用対象はカリフォルニア州に拠点を置く企業だけではありません。拠点の所在地を問わず、同州でビジネスを行うすべての企業が対象となります。

Akamai のコンプライアンス

CCPA の観点では、Akamai はお客様のサービスプロバイダーとしての役割を果たします。Akamai サービスを使用するインターネットプロパティに関連して CCPA が求める義務の最終責任者はお客様となります。

すべての Akamai サービスは CCPA に準拠しているため、お客様は既存の Akamai サービスを継続して使用できるだけでなく、CCPA コンプライアンス戦略の重要な部分として Akamai Identity Cloud などのサービスを展開することもできます。

CCPA では、組織が処理するカリフォルニア州の消費者の個人データが適切かつ十分に保護されることを求めています。多くのウェブアプリケーションやウェブサイトに個人データがあり、そこへのアクセスが生じる相互接続環境では、これが大きな課題となる可能性があります。Akamai Intelligent Edge Platform は、そのような課題を満たせるようお客様を支援します。セルフサービスのデータ管理ツール、資格のあるセキュリティ専門家のチーム、柔軟で高品質な処理、定評のある最新のテクノロジーにより、強力なデータ管理およびセキュリティ機能を提供します。

CCPA リソース

該当する Akamai サービス

すべての Akamai サービスが該当します。

トップに戻る

 

e プライバシー法

 

概要

e プライバシー法は、電子通信およびデジタルマーケティングにおけるプライバシー権を保証するための重要な法的手段です。現在の指令 2009/136/EC バージョンは、ほとんどの EU 加盟国で国内法律に組み込まれています。

e プライバシー指令は、電気通信サービスプロバイダーを対象としており、以下から構成されます

  • ネットワークとサービスのセキュリティ
  • 通信の機密性
  • 端末に保存されたデータへのアクセス
  • トラフィックとロケーションデータの処理
  • 発信回線の識別
  • パブリック・サブスクライバー・ディレクトリ
  • 未承認の商用通信(「スパム」)
  • Cookie の使用

現在の指令 2009/136/EC を 2002 バージョンと比較した主な変更点は、電気通信サービスプロバイダーによるデータ漏えい通知に関する要件と、Cookie 使用の同意に関する要件の導入です。

電子的コミュニケーションにおける個人データに関して、e プライバシー指令をより一般的な GDPR より優先される規制とするように現在、EU 組織が検討中です。既存の指令との違いは、オーバー・ザ・トップ(OTT)通信サービスプロバイダーにも対応できるように e プライバシー規制の対象範囲が拡大されていることです。

Akamai のコンプライアンス

Akamai は、自社の Web サイト上での Cookie バナーの表示、サービス提供時の Cookie の使用に関するオプトアウトの仕組み、e プライバシー要件に準拠したマーケティング活動の実施など、指令 2009/136/EC のさまざまな要件および国内での施行に準拠しています。

該当する Akamai サービス

Web およびモバイル分析ソリューション(mPulseCloudTest)を含むすべての Akamai セキュリティソリューションが該当します。

Q&A

Akamai の mPulse サービスは、e プライバシー法に準拠していますか?

はい、Akamai のすべてのサービスが e プライバシー法に準拠しています。mPulse については、ホワイトペーパー「mPulse —データ保護法への準拠」をご覧ください。

トップに戻る 

Akamai and the GDPR Thumbnail
???Watch the Video???

EU 一般データ保護規則(GDPR)

 

概要

2018 年 5 月 25 日施行の一般データ保護規則(GDPR)は、欧州連合(EU)の最新のデータ保護法であり、欧州各国のデータ保護法を統合することを意図したものです。施行以来、組織はプライバシーポリシーの強化を余儀なくされ、世界中でデータ保護のベストプラクティスが確立されています。

GDPR は、EU の個人データの処理に関連するすべての操作を管理・保護し、不正アクセスから保護するよう組織に要求しています。遵守を怠った組織には、甚大な影響を与える罰金が科される可能性があります。

EU 一般データ保護規則

Akamai のコンプライアンス

Akamai のサービスは GDPR に準拠しています。つまり、お客様は Akamai の使用を継続できるだけでなく、GDPR コンプライアンス戦略の根幹として Akamai のサービスを展開することもできます。GDPR では、組織が処理する EU の個人データが適切かつ十分に保護されることを求めています。多くのウェブアプリケーションやウェブサイトに個人データがあり、そこへのアクセスが生じる相互接続環境では、これが大きな課題となる可能性があります。Akamai Intelligent Edge Platform は、そのような課題を満たせるようお客様を支援します。セルフサービスのデータ管理ツール、セキュリティ専門家のチーム、柔軟で高品質な処理、定評のある最新のテクノロジーにより、強力なデータ管理およびセキュリティ戦略を提供します。

GDPR
Akamai Identity Cloud リファレンスアーキテクチャ

ドキュメント「Akamai の個人データの処理活動と役割」では、サービスプロビジョニング時に行われる処理活動について説明しています。

さらに、Akamai はお客様と Akamai が個人データの処理に関する GDPR 第 28 条を遵守できるよう、お客様にデータ処理に関する契約への同意を求めています。

該当する Akamai サービス

Akamai のすべてのサービスが該当します。

Q&A

Akamai の mPulse サービスは、GDPR に準拠していますか?

はい、Akamai のすべてのサービスが GDPR に準拠しています。mPulse については、ホワイトペーパー「mPulse — EU データ保護法への準拠」をご覧ください。

トップに戻る

 

HIPAA/HITECH

 

概要

1996 年の U.S. Health Insurance Portability and Accountability Act(米国の医療保険の携行性と責任に関する法律、HIPAA)では、ヘルスケアサービスおよび保険のプロバイダーによる個人識別情報の処理に関する要件を示しています。

2009 年の Health Information Technology for Economic and Clinical Health Act(経済的および臨床的健全性のための医療情報技術に関する法律、HITECH)では、医療データへのアクセス権と、患者が自身のデータに対する管理権を保有する仕組みについて定義しています。これは、電子的に保護される医療情報の交換と、HIPAA が提示するプライバシーおよびセキュリティ保護の範囲を拡張するものです。

リソース

Akamai のコンプライアンス

HIPAA と HITECH はいずれも、コンテンツ配信およびウェブ・セキュリティ・サービスのプロバイダーである Akamai に直接的には適用されませんが、Akamai はヘルスケア業界のお客様によるヘルスケアデータの処理に関わっているため、ビジネスアソシエイトと見なされる可能性があります。そのため、Akamai とヘルスケア業界のお客様の間でビジネスアソシエイト契約が必要となる可能性があります。リクエストに応じて、Akamai の標準のビジネスアソシエイト契約のコピーを提供いたします。

HIPAA セキュリティルールを確実に遵守するために、Akamai は年次評価を実施しています。そのような評価や、評価機関からの関連文書のエグゼクティブサマリーは、Akamai との機密保持契約(NDA)に従って、Akamai のお客様およびパートナーに提供されます。

リソース

該当する Akamai サービス

ヘルスケアサービスや保険のプロバイダーにより個人識別情報の処理に使用されている、Akamai のウェブパフォーマンスおよびセキュリティサービス(Enhanced TLS サービスによって Akamai のセキュア CDN 上で実行)、ならびに Akamai Identity Cloud。

Q&A

Akamai で最近実施した HIPAA 評価はいつですか?

直近の HIPAA セキュリティルールのコンプライアンス評価は、CFGI によって実施されました。詳細については、アカウントチームにお問い合わせください。

Akamai は HIPAA 認定を取得していますか?

いいえ、そのような認定はありません。HIPAA コンプライアンスは継続的なプロセスです。Akamai では、HIPAA の要件に関して従業員トレーニングを実施しており、従業員が HIPAA 関連のポリシーや手順に確実に従えるようにしています。

Akamai はお客様とビジネスアソシエイト契約を締結していますか?

Akamai は、対象となる企業顧客へのサービス提供時に個人の医療情報を送信する場合、「ビジネスアソシエイト」となるため、通常の契約プロセスとして、必要なビジネスアソシエイト契約を締結します。リクエストに応じて、Akamai の標準のビジネスアソシエイト契約のコピーを提供いたします。

Akamai は HITRUST CSF フレームワークに関して評価を受けていますか?

Akamai は HITRUST CSF フレームワークに関する評価は受けていません。Akamai は、保護医療情報の使用に適していると特定されたサービスに関して、継続的な HIPAA および HITECH コンプライアンスを確認するために、認定された独立監査機関による年次監査を受けています。

トップに戻る

 

LGPD(ブラジル)

 

概要

ブラジルの一般データ保護法(Lei Geral de Proteção de Dados、2018 年法 13709 号:「LGPD」)は、2020 年 8 月 16 日より施行されます。LGPD は、ブラジルにおける個人データの使用(オンラインおよびオフライン、民間および公共部門)に関する新しい法的フレームワークです。監督機関として、国立データ保護機関(ANDP)が LGPD を作成し、その監督と執行の責任を担っています。

リソース

Akamai のコンプライアンス

Akamai のサービスは LGPD に準拠しています。つまり、お客様は Akamai サービスの使用を継続できるだけでなく、LGPD コンプライアンス戦略の重要な部分として Akamai サービスを展開することもできます。LGPD では、組織が処理するブラジルの個人データが適切かつ十分に保護されることを求めています。多くのウェブアプリケーションやウェブサイトに個人データがあり、そこへのアクセスが生じる相互接続環境では、これが大きな課題となる可能性があります。

セルフサービスのデータ管理ツールに基づいた強力なデータ管理およびセキュリティ戦略、セキュリティ専門家のチーム、柔軟かつ質の高いプロセス、高い評価を得ている先進テクノロジーを提供する Akamai Intelligent Edge Platform なら、お客様がそのような課題を克服するのに役立ちます。

ダウンロード/リンク

Privacy Trust Center

該当する Akamai サービス

すべてのサービスが該当します。

Q&A

LGPD は GDPR とどのように異なりますか?

LGPD と GDPR では、いくつかの点が異なります。たとえば、LGPD では、処理活動の法的根拠が 10 件ありますが、GDPR では 6 件です。

LGPD では、データ漏えいの通知義務に対する準拠期限がありますか?

LGDP では、データ管理者によるデータ侵害通知の準拠期限は定められていません。そのような期限は ANPD が設定することになります。

トップに戻る

 

MSA(シンガポール)

 

概要

Monetary Authority of Singapore(シンガポール金融管理庁、MAS)は、シンガポールの銀行、資本市場、保険、ペイメントセクターの金融機関を規制しています。いずれの規制も、コンテンツ配信およびウェブ・セキュリティ・サービスのプロバイダーである Akamai に直接的には適用されません。Akamai はシンガポールの金融サービスのお客様による金融データの処理に関わっているため、MAS の規制下にあるアウトソーシング・サービス・プロバイダーと見なされる可能性があります。MAS は、シンガポールの金融機関向けにアウトソーシングガイドラインを発行しています。これはアウトソーシング契約のリスク管理について説明するものであり、主として以下の内容が含まれています。

  • アウトソーシングにおける MAS との連携
  • アウトソーシング契約のリスク管理に関する健全なプラクティス
  • クラウドコンピューティング

リソース

修正:

Akamai のコンプライアンス

シンガポールの金融サービスプロバイダーによって使用される Akamai サービスは、これらのガイドラインではアウトソース活動として認識されます。Akamai サービスはそれらのガイドラインに準拠しているため、シンガポールの金融サービスのお客様は Akamai サービスの使用を継続できるだけでなく、アウトソーシングに関するコンプライアンス戦略の重要な部分として Akamai サービスを展開することもできます。

該当する Akamai サービス

  • Enhanced TLS を使用した Secure CDN と関連サービス
  • Enhanced TLS を使用した Secure CDN で実行される Ion などのウェブパフォーマンス製品
  • Enhanced TLS を使用した Secure CDN 上で実行される Kona Site Defender や Bot Manager などのクラウドセキュリティ製品
  • Prolexic の DDoS 緩和サービス
  • Akamai Identity Cloud

トップに戻る

 

Revised Payment Services Directive PSD2
???Watch the Video???

決済サービス指令(PSD2)

 

概要

EU による改訂版決済サービス指令(PSD2)とオープンバンキング(英国における PSD2 の実装)では、決済インフラストラクチャを公開して、顧客の銀行口座データへのアクセスをサードパーティープロバイダー(TPP)に付与することを金融機関に求めています。規制機関がこのイニシアチブを推進しているのは、TPP が消費者に決済サービスと口座情報サービスを提供できるようにすることで、金融サービスのイノベーション、競争、効率性が促進されるためです。

リソース

Akamai のコンプライアンス

Akamai ソリューションは、顧客体験、アプリケーションの安定性、セキュリティコントロールを強化することで、金融機関による PSD2 コンプライアンスを支援します。Akamai Intelligent Edge Platform は、TPP と金融機関の間のコミュニケーション手段として機能します。また、Akamai のセキュリティサービスは、金融機関の API を不正アクセスから保護し、認証されたアクセス要求のみが処理されるようにします。Akamai は次のことを実現して PSD2 コンプライアンスに役立ちます。

  • 顧客体験の向上
  • API のアクセス制御とガバナンスの提供
  • 攻撃からの API の保護
  • 共通の安全な通信の提供(SSL/TLS)
  • スクリーンスクレイピングの防止

ダウンロード/リンク

Akamai Compliance PSD2 Callout Image
サードパーティープロバイダー(TPP)が銀行とその顧客の仲立ちの役割をする場合、社内 API と独自のアプリはパブリック API とサードパーティーアプリに置き換えられます。
Akamai Compliance PSU Authorization Flow Callout Image
決済サービスユーザー(PSU)、サードパーティープロバイダー(TPP)、口座保有型決済サービスプロバイダー(ASPSP)の間の承認フロー。

該当する Akamai サービス

Identity Cloud、Secure Content Delivery、Kona Site Defender、Ion、DSA、API Gateway

Q&A

オープンバンキングは PSD2 と同じですか?

オープンバンキングは、英国における PSD2 の実装です。これは、2016 年 8 月に英国の Competition and Markets Authority(競争・市場庁、CMA)が発行したルールに基づいています。そのルールとは、英国最大手の 9 行に対し、認可を受けた新興企業に取引口座のトランザクションレベルのデータまで直接アクセス権を与えるように求めるものです。Wikipedia も参照してください

PSD2 の実装が常にカスタマイズされたソリューションになるのはなぜですか?

各認定機関の信頼プロバイダー(TP)や EU 諸国の特定の法律、各企業のポリシーに基づく社内コンプライアンス要件には独自のニーズがあるため、PSD2 は常にカスタマイズされた実装となります。

トップに戻る

 

クリティカルインフラストラクチャ(ドイツ)

 

概要

Akamai は 2017 年より、ドイツの BSI(情報セキュリティの連邦オフィス)によって策定された、コンテンツ・デリバリー・ネットワーク・サービスに関してドイツで要求されるクリティカル・インフラストラクチャ・サービス・プロバイダー要件に対応しています。Akamai は基盤となる法律の BSI 法に従って 2 年ごとに第三者による監査を実施し、その技術的および組織的な対策がシステムを適切に保護し、サービスの可用性、整合性、信頼性、機密性が確保されていることを証明しています。

リソース

Akamai の評価

Akamai Germany は 2019 年第 1 四半期に監査を完了し、BSI に承諾されました。この監査の根拠となっているのは、2018 年の Akamai の SOC 2 Type 2 レポートと ISO 27002 評価、およびドイツ国内の複数のデータセンターで 3 回行われたオンサイト監査です。

ダウンロード/リンク

該当する Akamai サービス

  • Akamai CDN

Q&A

Akamai CDN サービスがドイツでクリティカルインフラストラクチャになったのはいつからですか?

2017 年 6 月からです。

Akamai のセキュリティサービスについてはどうですか?

BSI 法では、セキュリティサービスはクリティカル・インフラストラクチャ・サービスとみなされません。Akamai は、分散サービス妨害(DDoS)攻撃からの保護サービスを他のクリティカル・インフラストラクチャ・サービス・プロバイダーに提供する推奨プロバイダーです。認定済みの DDoS 緩和サービスプロバイダー(ドイツ)もご覧ください。

トップに戻る

 

CSA STAR Level 2

 

概要

Cloud Security Alliance Security Trust Assurance and Risk(STAR)Program は、透明性、厳格な監査、規格調和に関する主要原則をカバーしています。企業は STAR を使用することでベストプラクティスを示し、自社のクラウド製品やサービスのセキュリティ体制を証明することができます。

STAR レジストリは、有名なクラウドコンピューティング製品とサービスで提供されているセキュリティおよびプライバシー制御を文書化したものです。一般公開されているため、クラウドを利用するお客様はセキュリティプロバイダーを評価し、調達に関して適切な決定を下せます。

リソース

Akamai の証明書

Identity Cloud は Cloud Security Alliance(CSA)Level 2、Type 2 認証(第三者監査)を取得しています。

該当する Akamai サービス

  • Akamai Identity Cloud

日付/期間/監査機関

A-LIGN Assurance が Akamai の CSA レベル 2、Type 2 認証を実施しました。

Akamai の最新の評価対象期間は 2018 年 5 月 1 日から 2019 年 4 月 30 日であり、有効期限は 2020 年 5 月 1 日です。

Q&A

Akamai の CSA Level 2、Type 2 認証のコピーはどのようにして入手できますか?

Akamai アカウントチームがレポートのコピーを提供します。

トップに戻る

 

FedRAMP

 

概要

米国政府のコンプライアンスプログラムである Federal Risk and Authorization Management Program(FedRAMP)は、クラウド製品とサービスに対するセキュリティ評価、承認、継続的な監視に関する標準化されたアプローチを提供します。

FedRAMP では、米国政府の効果的で反復可能なクラウドセキュリティを保証する一連のコアプロセスを策定し、管理しています。これにより、クラウドサービスの利用を拡大し認知度を高める成熟した市場が確立しました。

リソース

Akamai の証明書

Akamai Intelligent Edge Platform は、Infrastructure as a Service(IaaS)プロバイダーとして、FedRAMP Joint Authorization Board(JAB)の Provisional Authorization to Operate(P-ATO)を中レベルのベースライン要件において取得しています。

ダウンロード/リンク

該当する Akamai サービス

  • HTTP および HTTPS 配信(ESSL および FreeFlow Networks と呼ばれている)を提供する Intelligent Edge Platform、およびそのプラットフォーム上で実行されるサービス
  • Fast DNS(DNSSEC 使用)
  • NetStorage
  • メディア・ストリーミング・サービス
  • Akamai Control Center
  • Global Traffic Management

日付/期間/監査機関

FedRAMP に関して Akamai を評価する第三者監査機関は Coalfire Systems, Inc. です。

Akamai は 2013 年 8 月 23 日に FedRAMP の認証を取得し、コンプライアンスを維持するために年次評価と継続的な監視を受けています。

Q&A

Akamai の FedRAMP に関する文書はどのようにして入手できますか?

FedRAMP Marketplace の Web サイトで「Package Access Request Form」からリクエストしていただけます。

Akamai の FedRAMP 影響レベルは何ですか?

Akamai の FedRAMP 認証の影響レベルは中程度です。FedRAMP によると、中程度の影響レベルは FedRAMP 認証を受ける CSP 申請の 80% 近くを占めており、機密性、整合性、可用性の損失が政府機関の運営、資産、個人に重大な悪影響を与えることになる CSO が最も該当します。重大な悪影響には、政府機関の資産に対する運営上の相当な被害、金銭的損失、または(生命や身体の損失ではない)個人への被害が含まれます。

現時点で、Akamai は高程度の影響レベルの FedRAMP 認証は求めていません。

トップに戻る

 

IRAP(オーストラリア)

 

概要

Information Security Registered Assessors Program(IRAP)は、高品質の情報通信技術(ICT)セキュリティ評価サービスを政府に提供するための Australian Signals Directorate(ASD)イニシアチブです。ASD に従い、Australian Cyber Security Centre(ACSC)がオーストラリア政府の Information Security Manual(ISM)を作成しています。ISM の目的は、組織が社内の情報やシステムをオンライン脅威から保護するために適用できるサイバーセキュリティフレームワークを概説することです。

ISM は、80 以上の分野におけるセキュリティ要件を定義する 600 以上のセキュリティコントロールで構成され、以下の分野が含まれます。

  • サイバーセキュリティインシデント
  • システム強化
  • 脆弱性管理
  • パッチ適用
  • 暗号化
  • ネットワーク設計
  • アプリケーション開発

リソース

Akamai のコンプライアンス

Akamai は、ISM に規定された IRAP セキュリティコントロールの遵守状況について、独立監査機関による評価を毎年受けています。初回の IRAP 評価は 2019 年初頭に実施されました。この評価では、Akamai の実稼働および企業ネットワーク環境の両方が対象となり、NJOY Security がその結果をまとめたコンプライアンス評価レポートは 2019 年 4 月 8 日に完成しています。Akamai の IRAP セキュリティ評価のエグゼクティブサマリーや、IRAP の公式評価者による関連文書は、秘密保持契約(NDA)に従って提供可能です。

詳細については、Akamai のアカウントチームにお問い合わせください。

該当する Akamai サービス

  • Enhanced TLS を使用した Secure CDN およびそこで実行されるサービス
  • Enhanced TLS を使用した Secure CDN で実行される Ion などのウェブパフォーマンス製品
  • Bot Manager Standard と Premier
  • Enhanced TLS を使用した Secure CDN で実行される Kona Site Defender および Bot Manager などのクラウドセキュリティ製品
  • Fast DNS

日付/期間/監査機関

Akamai の最新の評価は 2019 年 4 月 8 日に NJOY によって完了しました

トップに戻る

 

ISO/IEC 27001:2013 および ISO/IEC 27018:2014

 

概要

ISO/IEC 27001 では、情報リスク管理に関する一連の活動である Information Security Management System(ISMS)を正式に規定しています。ISMS は、組織が情報に関するリスクを特定、分析、対処するための包括的な管理フレームワークです。セキュリティ脅威、脆弱性、ビジネスへの影響の変化に遅れることなくセキュリティ対策を微調整できるようになるため、ISMS はこのような動的な分野において重要です。

リソース

この標準は、クラウド・サービス・プロバイダーに対し、適切な情報セキュリティコントロールを提供するためのガイダンスを提供するもので、委任された個人識別情報(PII)のセキュリティを確保して顧客のクライアントのプライバシーを保護できるようにします。

この標準は、ISO/IEC 27001 に基づいてクラウドコンピューティングの情報セキュリティ管理システムを実装するために PII 保護コントロールを選択する際の参考情報となります。また、PII 保護コントロールの実装についてもガイダンスを提供します。

リソース

Akamai の証明書

Identity Cloud は、2019 年 4 月 22 日に最新の ISO 27001 および 27018 認証を取得しました。

該当する Akamai サービス

  • Akamai Identity Cloud

日付/期間/監査機関

A-LIGN Assurance が Akamai の CSA レベル 2、Type 2 認証を実施しました。

Akamai の最新の評価対象期間は 2018 年 5 月 1 日から 2019 年 4 月 30 日であり、有効期限は 2020 年 5 月 1 日です。

Q&A

Akamai の ISO 27001/27018 認証の対象地域はどこですか?

Akamai Identity Cloud サービスの ISO 27001/27018 認証は、ロシア連邦を除く全世界をカバーしています。

Akamai の ISO 27001/27018 認証のコピーはどのようにして入手できますか?

アカウントチームから提供いたします。

トップに戻る

 

PCI DSS Level 1

 

概要

Payment Card Industry Data Security Standard(PCI DSS)コンプライアンスは、ペイメント・カード・データを保存、処理、または伝送するすべての企業にとって必須です。主要なクレジットカード企業が開発した PCI DSS では、オンライン金融取引に関するデータ保護ならびに一貫性のあるセキュリティプロセスおよび手順を保証するための手段が定義されています。PCI DSS コンプライアンスを遵守しない企業は、罰金やペナルティを受けることになります。

PCI Security Standards Council が示しているように、PCI DSS コンプライアンスの要件には次のものがあります。

  • 企業のすべての側面を対象としたセキュリティポリシーを策定および順守する
  • データを保護するファイアウォールを設置する
  • パブリックネットワーク経由で伝送されるカード所有者データを暗号化する
  • アンチウイルスソフトウェアを使用し、定期的に更新する
  • 強力なパスワードと他のサイバー・セキュリティ・プロトコルを設定する
  • 厳格なアクセス制御を実施し、アカウントデータへのアクセスを監視する

多額のオンライン金融取引を処理する大規模な売買業者およびサービスプロバイダーの場合は、独立認定審査機関(QSA)が行う年 1 回の検証により、PCI DSS コンプライアンスの遵守が確認されます。

リソース

Akamai の証明書

Akamai の準拠証明書(AoC)は、Akamai の対象範囲内のサービスが PCI DSS v. 3.2.1 セキュリティ標準に準拠していることをお客様に証明するものです。

Akamai は、PCI DSS コンプライアンスについて、Secure CDN に対する第三者による外部侵入テストを四半期ごとに実施しています。これらの四半期ごとの侵入テストの結果や、コンプライアンスドキュメント、認定情報は、機密保持契約(NDA)に基づいてお客様に提供されます。

ダウンロード/リンク

該当する Akamai サービス

  • Enhanced TLS を使用した Secure CDN およびそこで実行されるサービス
  • Enhanced TLS を使用した Secure CDN で実行される Ion などのウェブパフォーマンス製品
  • Bot Manager Premier
  • Enhanced TLS を使用した Secure CDN で実行される Kona Site Defender および Bot Manager などのクラウドセキュリティ製品
  • mPulse デジタルパフォーマンス管理サービス
  • Akamai のゼロトラスト・エンタープライズ・セキュリティ・ソリューションの主要な構成要素である Enterprise Application Access(EAA)(akamai.com/zerotrust

Q&A

Akamai は PCI DSS 認証を取得していますか?

はい、Akamai は最高レベルである PCI DSS 3.2.1 Level 1 Service Provider として認証されています。このコンプライアンス評価は、独立認定審査機関(QSA)の Specialized Security Services, Inc. が実施したものです。PCI DSS 準拠証明書リスポンシビリティマトリクスは一般公開されています。

自社の Web サイトが Akamai を使用している場合、PCI DSS コンプライアンスをどのようにして保証できますか?

お客様の PCI DSS 認証については、お客様自身で取得していただく必要があります。認定審査機関(QSA)と連携して自社の制御を検証し、認証を取得してください。お客様および QSA は、カード所有者データ環境の部分に関して、Akamai の準拠証明書に基づいて PCI DSS に準拠した Akamai サービスを使用することができます。Akamai の PCI DSS リスポンシビリティマトリクスは、PCI DSS 要件に関する Akamai とお客様の責任を詳しく説明しています。より詳しく解説する PCI DSS カスタマー設定ガイドが必要な場合は、アカウントチームから提供いたします。

Akamai は Visa Global Registry of Service Providers および MasterCard Compliant Service Provider List に掲載されていますか?

はい。Akamai は Visa と MasterCard が提供するリストの両方に掲載されています。これは、Akamai がこれらのペイメントカード大手企業のプログラム要件をすべて満たしていることを証明するものです。

四半期ごとに実施される Akamai の Approved Scanning Vendor(ASV)脆弱性スキャンと外部の侵入テストのエグゼクティブサマリーを確認することはできますか?

はい。この情報は、秘密保持契約(NDA)に従ってアカウントチームが提供いたします。

トップに戻る

 

SOC 2 Type 2

 

概要

SOC(Service Organization Controls)は、American Institute of Certified Public Accountants(米国公認会計士協会、AICPA)が策定したセキュリティ標準であり、サービス組織のセキュリティ、可用性、処理の整合性、機密性、プライバシーに直接関連するコントロールについて報告します。

リソース

Akamai の証明書

Akamai は毎年 SOC 2 Type 2 レポートを受領しており、Akamai のセキュリティコントロールは年間を通じて継続的に監査されています。

該当する Akamai サービス

以下のサービスは、セキュリティおよび可用性に関する信頼サービス原則の対象となります

  • Enhanced TLS を使用した Secure CDN と関連サービス
  • Enhanced TLS を使用した Secure CDN で実行される Ion などのウェブパフォーマンス製品
  • Enhanced TLS を使用した Secure CDN で実行される Kona Site Defender および Bot Manager などのクラウドセキュリティ製品
  • Prolexic の DDoS 緩和サービス

以下のサービスは、すべての信頼サービス原則の対象となります

  • Identity Cloud

日付/期間/監査機関

セキュリティと可用性に関する信頼サービス原則をカバーする Akamai の SOC 2 レポートは、毎年 1 月から 9 月の期間を対象に Ernst & Young LLP によって作成されます。

5 つすべての信頼サービス原則をカバーする Akamai Identity Cloud の SOC 2 レポートは、毎年 5 月 1 日から 4 月 30 日の期間を対象に A-LIGN によって作成されます。

Q&A

Akamai の SOC 2 レポートの独立監査を実施しているのはどの機関ですか?

Akamai のコンテンツ・デリバリー・ネットワークのコアソリューションの独立監査を実施しているのは Ernst & Young LLP であり、セキュリティと可用性に関する信頼サービス原則をカバーしています。

Akamai Identity Cloud の独立監査を実施しているのは A-LIGN Assurance であり、5 つすべての信頼サービス原則をカバーしています。

SOC 2 レポートのコピーはどうやって入手できますか?

Akamai アカウントチームがコピーを提供いたします。

どの地域が対象となっていますか?

Akamai の SOC 2 レポートは Akamai のサービス全体を対象としており、特定の地域に限定されていません。

Akamai の SOC 2 レポートはどの期間が対象ですか?

Ernst & Young LLP による Akamai の SOC 2 レポートは、毎年 1 月 1 日から 9 月 30 日が対象です。A-LIGN Assurance による Akamai の SOC 2 レポートは、毎年 5 月 1 日から 4 月 30 日が対象です。

前回の対象期間より後の期間に関するブリッジレターはありますか?

Ernst & Young LLP による SOC 2 レポートについては、前年の 10 月 1 日から 12 月 31 日をカバーするブリッジレターをアカウントチームが提供します。A-LIGN Assurance による SOC 2 レポートは通年を対象としているため、このレポートではブリッジレターは不要です。

Akamai SOC 2 レポートの発行頻度はどれくらいですか?次のレポートはいつ入手できますか?

Ernst & Young LLP による Akamai の SOC 2 レポートは、通常であれば毎年第 4 四半期にリリースされます。

Akamai は SOC 2 認証を取得していますか?

SOC 2 にコンプライアンス証明書はありません。証明書が提供されるのではなく、認定された第三者の評価機関が、評価を受ける組織のコンプライアンスに関するレポートを作成し、その組織のシステムの説明、範囲、一般基準を満たすための規制の説明、証拠、および組織の説明と証拠の適切性について検討します。

なぜ Akamai には 2 つの異なる SOC 2 レポートがあるのですが?

Akamai Identity Cloud サービスは、2019 年の Akamai による Janrain, Inc. の買収によるものであるため、2 つの異なる SOC 2 Type 2 レポートが存在しています。つまり、コア CDN およびセキュリティサービスを対象とした Ernst & Young LLP によるレポートと、Akamai Identity Cloud を対象とした A-LIGN Assurance によるレポートです。

Akamai には SOC 1 レポートがありますか?

Akamai は(財務管理に重点を置いた)SOC 1 監査は受けていません。その理由は、Akamai が米国の株式公開企業であり、サーベンスオクスリー法や他の規制の対象として財務上の健全性が公開されているからです。お客様および見込み客には、Investor Relations Web サイトで Akamai の年次財務諸表および Form 10-K を提供しています。

トップに戻る

 

CSA STAR Level 1

 

概要

Cloud Security Alliance Security Trust Assurance and Risk(STAR)Program は、透明性、厳格な監査、規格調和に関する主要原則をカバーしています。企業は STAR を使用することでベストプラクティスを示し、自社のクラウド製品やサービスのセキュリティ体制を証明することができます。

STAR レジストリは、有名なクラウドコンピューティング製品とサービスで提供されているセキュリティおよびプライバシー制御を文書化したものです。一般公開されているため、クラウドを利用するお客様はセキュリティプロバイダーを評価し、調達に関して適切な決定を下せます。

リソース

Akamai の評価

2019 年 7 月の時点で、Akamai は CSA STAR Self-Assessment の一環として Cloud Controls Matrix(CCM)への準拠を文書化したレポートを提出済みです。これは、さまざまなクラウドコンピューティング製品によって提供されるセキュリティコントロールを文書化したもので、ユーザーによるクラウド・セキュリティ・プロバイダーの評価に役立ちます。

このレポートは STAR 登録サイトで公開されています。Akamai は、クラウドサービス業界の透明性を促進し、お客様にセキュリティプラクティスへの可視性を提供するために取り組んでいます。

ダウンロード/リンク

該当する Akamai サービス

  • Enhanced TLS を使用した Secure CDN と関連サービス
  • Enhanced TLS を使用した Secure CDN で実行される Ion などのウェブパフォーマンス製品
  • Enhanced TLS を使用した Secure CDN で実行される Kona Site Defender および Bot Manager などのクラウドセキュリティ製品

Q&A

Akamai の CSA STAR Self-Assessment はいつ実施されましたか?

Akamai の最新の CSA STAR Level 1 Self-Assessment は 2019 年 7 月 2 日に実施されました。

トップに戻る

 

ISO 27002

 

概要

ISO/IEC 27002:2013 は、International Organization for Standardization(国際標準化機構、ISO)および International Electrotechnical Commission(国際電気標準会議、IEC)が発行する情報セキュリティ基準であり、「Information technology – Security techniques – Code of practice for information security controls(情報技術 – セキュリティテクニック – 情報セキュリティ管理に関する実施規定)」と呼ばれています。

ISO/IEC 27002:2013 は、組織の情報セキュリティリスク環境を考慮した規制の選択、実装、管理など、組織の情報セキュリティ基準と情報セキュリティ管理の実践に関するガイドラインを提示します。

次のような組織が使用するために作成されています。

  • ISO/IEC 27001 に基づいて情報セキュリティ管理システムを実装するプロセスの中で、規制を選択する
  • 一般的に認められている情報セキュリティの規制を実装する
  • 独自の情報セキュリティ管理ガイドラインを作成する

リソース

Akamai の評価

Akamai は、企業の情報セキュリティプログラムの管理を規定する ISO 27002 の準拠について、毎年評価を受けています。最新の ISO 27002 評価は、CFGI によって 2018 年後半に完了し、レポートの日付は 2019 年 2 月 28 日となっています。このレポートのエグゼクティブサマリーは、Akamai との機密保持契約(NDA)に従って、お客様およびパートナーに提供されます。詳細については、アカウントチームにお問い合わせください。

該当する Akamai サービス

Akamai の ISO 27002 評価は、Akamai のすべての製品とサービス、および情報セキュリティプログラム全体に適用されます。

Q&A

Akamai の ISO/IEC 27002 評価はいつ実施されましたか?

Akamai に対する最新の ISO 27002 ギャップ評価は、2019 年 2 月 28 日に CFGI によって完了しています。

評価のコピーを入手できますか?

アカウントチームが最新の ISO 27002 評価のエグゼクティブサマリーを提供します。

トップに戻る

 

NIST

 

概要

National Institute of Standards and Technology(米国国立標準技術研究所、NIST)の 800-53 セキュリティコントロールは、米国の連邦情報システムに全般的に適用されます。情報および情報システムの機密性、整合性、可用性を効率的に保護するために、連邦情報システムは通常、公式の評価および認証プロセスを受けます。

NIST Cybersecurity Framework(CSF)は、世界中の政府および業界によってサポートされており、セクターや規模に関わらずあらゆる組織が使用するベースラインとして推奨されています。現在、政府機関は、Cybersecurity Executive Order に基づいて CSF を実装することが要求されています。

リソース

Akamai の評価

Akamai Intelligent Edge Platform は、第三者によるテストで NIST 800-53 セキュリティコントロールおよび追加の FedRAMP 要件に対する準拠が検証されています。Akamai の NIST 認証の影響レベルは中程度です。

FedRAMP コンプライアンスの詳細については、Akamai の FedRAMP コンプライアンスページをご覧ください。関連する NIST セキュリティコントロールが含まれています。

ダウンロード/リンク

トップに戻る

 

EU - 米国間プライバシーシールド

 

概要

欧州連合(EU)と米国間の個人データの転送を促進する EU - 米国間プライバシーシールドは、両地域間における商業目的での個人データの交換を規制するフレームワークです。その目的は、米国で処理された EU 加盟国の国民の個人データが、EU で処理された場合と同レベルで保護されているように保証することです。

リソース

Akamai の評価

Akamai の処理活動は、EU - 米国間プライバシー・シールド・プログラムおよびスイス米国間プライバシー・シールド・プログラムに従って認定されています。

ダウンロード/リンク

該当する Akamai サービス

Akamai サービスに関連する処理活動のすべてがプライバシーシールド認定の対象となります。Akamai の社内 HR による処理活動は対象となりません。

お客様の HR データがお客様のウェブ資産の一部であり、Akamai サービスのプロビジョニングの過程で Akamai によって処理される場合には、お客様の HR データの処理は Akamai のプライバシーシールド認定によってカバーされます。そのような.Akamai サービスに関連する処理活動は、Akamai の社内 HR による処理活動とみなされません。

Q&A

Akamai 認定の期間はどうなっていますか?

認定サイクルは 1 年です。現在の期間については、Akamai のプライバシーシールド認定に概説されています。

トップに戻る