Akamai の InfoSec プログラム

Akamai の情報セキュリティプログラムは、情報セキュリティに関する方針、ガイドライン、および基準を明確かつ簡潔に提供できるよう設計されています。Akamai にとって、機密情報の喪失に対する最大の防御策は、徹底した体制でリスクを監視する従業員です。すべての従業員は、Akamai のリスクを評価し、その緩和戦略を開発し、防護措置の有効性を監視するよう指導されています。

情報セキュリティプログラムの目標は、次のとおりです。

  • カスタマーの体験およびセキュリティを強化します。
  • セキュリティの競争優位を高めます。
  • Akamai の上級管理職が適切と考えるレベルまでセキュリティおよびプライバシーのリスクを管理します。
  • すべての法的要件および規制要件をできる限り効率よく遵守します。
  • 現在進めているセキュリティトレーニングを社員に提供します。

Akamai のセキュリティプログラムの基本原則は次のとおりです。 

最小限の権限。   これはアーキテクチャ、製品、またはサービスを設計する際の原則であり、各システムエンティティ(例えば、個々のユーザーやマシン)には業務の遂行に必要な最小限のシステムリソースおよび権限が与えられます。 この原則により、多くの場合、事故、エラー、または不正行為によってもたらされる損害が抑制されます。

明示的に許可されていない限り拒否。   明示的に許可されていないものは例外なく拒否されます。 すべての設定のデフォルトは、仕様/契約で明示的に必要になる場合を除き、アクセスを拒否し、変更を拒否することです。 

業務の分離。   個人または連携する個人の小さなグループがプロセスの重要な側面をいくつか不適切に制御して、容認できない損害または損失をもたらすことがないように、システム機能のステップをさまざまな役割に分割し、それぞれに責任および権限を割り当てるというやり方。 

深い防御。   これを機能させるには、多層のセキュリティを構築して、ネットワークを区画化し、保護対象のさまざまな資産のより近くにアクセス制御ポイントを追加します。 これにより、セキュリティ全体が単一の防御メカニズムに依存しないようにすることができます。

リスクのセグメント化。   この目的は、指定された個人に関連付けることができるデータのみへのアクセスと、その個人について知っておくべき事項へのアクセスを分離するように事前に入念に計画しておくことです。 ある区画の安全性が損なわれても、侵入者がその後に続く各区画にアクセスするのも同じように困難なものとなります。 

障害時の安全性確保。   何らかの理由でシステムで障害が発生すると、システムは安全な状態ではなくなります。 この原則は起動時にも当てはまります。システムを初期化すると、初期状態が最も安全な状態となり、その後、機能がアクティブになって、その安全な状態が維持されます。 この原則は、「フェイルクローズ」とも呼ばれます。 

単純性。   単純なシステムは、エラーの発生確率が低いため、複雑なシステムよりも安全性の確保が容易です。 コンポーネントや機能の中に未使用のものや不要なものがあれば削除して複雑さを軽減すると、診断が容易になり、信頼性が高まります。

普遍的な認証および承認。   しっかりと確立された ID ベースおよび役割ベースの認証を使用して、明示的にアクセス制御を決定します。 認証システムを共通化すると、ユーザーが多くの認証シークレットを保守する必要性が軽減され、社員が役割を変更したときに最小限の権限に違反する権限が未監査のまま残る可能性が低くなります。

説明責任。   セキュリティシステムの不可欠な要素は、特定のアクションを誰が実行し、特定の時間帯にどのアクションが発生したかを特定する機能です。 責任を負う個人またはエンティティを対象に、コンピュータセキュリティに対する違反または違反しようとした試みをトレースできます。

責任の所在

最高セキュリティ責任者の指示下にある InfoSec 部門が、次のセキュリティ機能を担当します。 

  • 展開された(本稼働)ネットワークのセキュリティを監督します。 
  • 脆弱性追跡システムを開発および保守します。 
  • 認証者追跡システムを開発および保守します。 
  • 法的措置を取る際に法律部門と調整します。
  • 社内ベースで方針違反に関連するセキュリティ調査を実施します。
  • 次期プロジェクトおよび製品について助言します。
  • セキュリティ監査および評価を監督します。
  • セキュリティインシデントに対応します。
  • セキュリティの意識を高めるためのトレーニングおよび助言を提供します。 
  • カスタマーが直面するセキュリティの問題を処理します。
  • インシデント管理プロセスを監督します。 
  • 重大な脆弱性プロジェクトおよびプロセスを監督します。 
  • 脅威を監視し、検知した脅威を公開し、Akamai セキュリティのパブリックストーリー全体を伝えます。

エンタープライズ・セキュリティ・グループが、企業のネットワークおよびシステムのセキュリティを監督します。 これには次のことが含まれます。

  • 新しいサードパーティアプリケーションおよび本稼働アプリケーションのセキュリティ評価を実施します。
  • 企業環境をサポートするエンタープライズ・インフラ・サービス・チームと調整します。
  • フィッシング、マルウェア、およびシグネチャのアップデートに対するリアクティブなセキュリティを管理します。

すべてのディレクタおよびマネージャーが、情報セキュリティプロセスを組織の運用プロセスに統合し、社員が情報セキュリティのすべての方針、プロセス、基準、およびガイドラインに準拠することに責任を負います。 すべてのマネージャーが、部下の適切なセキュリティトレーニングに責任を負います。

情報リソース、アプリケーション、リポジトリ、およびデータベースの所有者が、自身の担当するデータを適切に保護するための方針、手順、ガイドライン、および基準を作成および保守します。 例えば、アプリケーションの管理者およびユーザーの適切な役割および責任を文書化できます。 このような所有者が、自身の制御を監視および監査してコンプライアンスを確保します。

社員が、自身の役割に適用されるすべての方針、手順、ガイドライン、および基準を読み、理解し、準拠します。 また、年 1 回、トレーニングおよび方針に関する文書を受領したことを確認します。

Architecture Review Board は、各主要サービスのアーキテクト、または Akamai エンジニアリングおよびプラットフォーム運用組織(Luna 部門および Aura 部門を除く)に所属するアーキテクトで構成されています。 Architecture Review Board は、集団でも個人でも、Akamai システムの整合性に責任を負います。

チーフ・セキュリティ・アーキテクトは、このグループのメンバーで、セキュリティアーキテクチャを定義および保守し、展開しているネットワーク・インフラ・アーキテクチャにセキュリティ・アーキテクチャ・ソリューションを統合し、戦略面および戦術面からセキュリティをレビューします。

法人向けサービス担当バイスプレジデントが、年間を通してレビューを必要とする物理的なイベントおよびインシデントに関する上級管理職向けリアルタイムレポートを提供します。

システム管理担当シニアディレクタおよび法人向けサービス担当バイスプレジデントが、企業の情報処理施設へのアクセスを認証します。

プラットフォーム担当エグゼクティブ・バイス・プレジデントが、展開しているネットワーク情報処理施設を認証します。 Akamai が展開しているネットワークサーバーは、世界各地の施設に展開されています。 Akamai では、コロケーション施設パートナーに対し、物理的なアクセスを認証済みおよび画像識別済みの個人に限定するように求めています。 また、プロバイダに対し、Akamai サービス要求の検証を実施するように求めています。プロバイダは、Akamai から渡される書面による指示書がなければ、Akamai システムにはいっさいアクセスできません。

法律部門が、Non-Disclosure Agreement(機密保持契約、NDA)フォームを保守します。 社員以外と機密情報について話し合う場合は、事前に、署名入りのコピーを法律部門のファイルに保管しておく必要があります。 個々の社員は、自身がリリースする情報の性質を理解し、機密性が高いすべての Akamai 情報を機密情報として正しく識別する責任を負います。 社員は、必要になる手順について何か疑問がある場合、NDA および Acceptable Use Policy(利用規定、AUP)を確認する必要があります。

不断の努力

Akamai は、年に 1 回のリスク評価に頼るのではなく、展開しているネットワークのリスクを絶えず管理します。 脆弱性が日々調査および管理されます。 機密データの公開、改ざん、または破棄をもたらす可能性がある重大な脆弱性は、正式なセキュリティインシデントとなり、Akamai の「技術危機およびインシデント管理プロセス」によって管理されます。 脆弱性およびインシデントは、年間を通して上級管理職チームによってレビューされます。

Akamai は、多段脆弱性評価フレームワークをすでに実装しています。 セキュリティリスクは、リスクの重大度とリスクをもたらす可能性がある攻撃者を評価するリスクマトリクスに示すように、定性的なリスク評価を受けます。 この 2 つの要因に基づいて、脆弱性はリスクの重大度に従って分類されます。 また、ソフトウェアの欠陥によってもたらされるリスクには、Common Vulnerability Scoring System(共通脆弱性評価システム、CVSS)を使用してスコアが付けられます。CVSS は、損害の可能性よりも尤度に大きく焦点を当てたシステムです。

リスクと CVSS スコアに基づき、ラインマネージャー、システム所有者、および InfoSec との間で修正プロジェクトが優先的に扱われます。 InfoSec は、評価済みセキュリティリスクのデータベースを保守し、新たに識別されたリスクを評価し、今後評価を必要とするリスク領域を特定します。

情報処理

Akamai では、次の 4 層からなる情報分類を使用しています。 
  • Akamai パブリック
  • Akamai 機密情報: リリースに NDA 必須 
  • Akamai 機密情報: 社外秘
  • Akamai 機密情報: 限定配布

Akamai 文書の処理担当者は、文書に情報の分類および感度を示す適切なラベルを貼るように指示されています。 文書にラベルを貼ることにより、その文書の保有者に対し、専有情報および機密情報が存在すること、および特別なアクセス、制御、または保護要件があることを警告します。

Akamai の方針は、形態を問わずすべての情報には、情報資産所有者が文書化した事業目的との整合性に基づいて保管および廃棄のタイムラインが伴うというものです。 法律部門が、記録保管方針を定義します。

この方針では、会社が関わる既存の訴訟または今後訴訟になりうる事象に関連する情報は保管しておく必要があると規定しています。 ユーザーは、情報が既存の訴訟または今後訴訟になりうる事象に関連しているのかどうかについて疑問がある場合、法律部門のメンバーに問い合わせることが求められます。

この情報を不正開示または不正利用から保護するために、情報の処理および保管の手順が確立されています。 マネージャーは、これらの手順を正しく実行できるように部下の適切なセキュリティトレーニングに責任を負います。

Akamai の機密情報が含まれているすべての記憶媒体の担当者は、廃棄の前に、一般に受け入れられている原則に従って媒体を消去しておく必要があります。 記録媒体を消去できない場合、媒体は Akamai の法人向けサービス担当バイスプレジデントから提供されるメカニズムを使用して物理的に破壊されます。

期限切れまたは不要になった電子的でない(例えば、紙)情報を廃棄するには、承認されたメカニズムを使用します。 Akamai の法人向けサービス担当バイスプレジデントが、書類シュレッダーサービスを提供し、すべての Akamai 施設でコンテナを使用できるようにします。

情報のタイプによっては、特別な処理要件があります。 

財務情報および社員情報: このカテゴリには、非公開のすべての Akamai 財務情報と Akamai 社員の個人情報が含まれています。 このような情報の管理担当者は、この情報に対し、アクセスを許可すべき社員のリストを添付した上で目立つマークを付けるように指示されています。 例えば、社員の経歴に関する情報には、「Akamai 機密情報: 限定配布」とマークします。 

E メール: 全社員が、「電子通信利用規定」に従うことが求められます。電子通信はその性質上保護されないことを踏まえて、機密情報を E メールで送信する場合は事前に十分に注意する必要があります。 すべての E メールシステムにおいて、転送中および保管中の E メールを保護できるように、十分な保護対策を講じる必要があります。 暗号化制御を使用すると、E メールによる送信時に機密情報を保護できます。 

電話および機密情報: Akamai には、ソーシャルエンジニアリングが疑われる行為、携帯電話の問題、およびマルウェアに社員が対処する場合に使用できるリソースがあります。

インターネット通信: 法律部門が、「掲示板、チャットルーム、および公開方針」に対する会社の方針をすでに定義しています。 これによると、個人のウェブサイトやブログ(電子ジャーナル)で Akamai の機密情報を公開したり、議論したりしてはいけないことになっています。 ニュースメディア、業界アナリスト、およびその他の個人が、機密情報やインサイダー情報を得ようとして日常的にブログをサーフィンしています。 Akamai の名前、ロゴ、または Akamai を代表するアカウントであることを示唆するその他の情報を使用したソーシャル・ネットワーキング・アカウントは、承認された社員に限定されています。 個人のソーシャル・ネットワーキング・サイトで Akamai の機密情報を公開することはできません。

外部との共同作業

情報セキュリティプログラムは、さまざまな外部サービスを利用する際にも適用されます。具体的には、アートワークおよび広告コピーを提供する、広報活動およびミーティングプランを支援する、カスタマープレゼンテーション、カンファレンス、および出願に備えて会社の機密資料を印刷およびコピーする、その他のサービスを Akamai に提供する、といったサービスです。 ここでいう外部には、施設スタッフ、セキュリティ業者、保守担当者、清掃業者、装飾スタッフが含まれます。 

データは、転送中に最も脆弱になります。 転送中にデータが傍受されたり、破損したりしないようにするには、情報の価値に見合った適切な対策を講じる必要があります。 Akamai の E メールルームでは、サイト間でデータを物理的に転送できます。 また、Akamai は作業休止中/保管中のデータを保護するデータセキュリティ規格にも取り組んでいます。

Akamai のデータを処理する外部企業は、Akamai と同じく慎重にデータを取り扱うように指示されています。 

方針では、Akamai のパスワードを暗号化せずにネットワーク経由で転送してはいけないと規定しています。ウェブブラウザでパスワードを入力するときは、まず SSL を「ロックする」アイコンを探してください。 パスワードを安全ではない状態で誤って送信した場合、送信者は InfoSec 部門およびシステム所有者に通知して、パスワードの入れ替えについて助言を仰ぐように指示されています。 

機密情報を持ち運ぶ場合は、念には念を入れるように求められています。 持ち運ぶ機密情報の量は、必要な情報量に制限されます。 ラップトップなどの機密情報は、常に社員の管理下に置くものとします。 手荷物として預け入れてはいけません。Akamai 社員の管理下にない状態で運ばれることになります。 公共輸送機関の狭い場所や公共の場で機密情報に関する話をしないでください。 

方針では、適切な NDA 契約を取り交わし、プライベートの場である場合を除き、機密性が高いビジネス情報に関する話をしてはいけないと規定しています。 

社員が業界の会合でパブリックプレゼンテーションを実施したり、パネルディスカッションに参加したりする場合、そのプレゼンテーションまたはディスカッションは責任者の承認を得た適切なものである必要があります。 展示会で、Akamai は一般公開の承認を得ている場合を除き、現在計画中または進行中の事業に関して具体的な内容を発表しません。 

機密文書および機密資料は、展示会に出展しません。 社員は、輸送時や、会合および展示会の前、最中、後に機密資料を慎重に保護するように指示されています。 

Akamai は、情報セキュリティチームを通してすべての法執行機関に全面的に協力します。 社員は、個人名、所属、および連絡先情報を入手し、直ちに法律部門に要求を伝えるように指示されています。 また、Akamai から得た情報を情報セキュリティチームの許可なく提供しないように指示されています。

パブリックリレーションズ 

Akamai のイベント、プログラム、およびサービスに関する定例のニュースおよびプレスリリースは、承認された社員のみが発表します。 ニュースメディアから求められたコメントは、企業コミュニケーション部門を通して発表します。

企業コミュニケーションのシニアディレクタは、コミュニケーションの戦略および方針を策定して、メディアに対処するための具体的な企業ガイドラインを提供しています。 

所属先の部門またはグループから入手できるサービスについてカスタマーから問い合わせがあった場合、社員はカスタマーのお名前と電話番号を伺って、グループの承認された担当者に要求を伝えるように指示されています。 また、Akamai 社員のリストまたは電話名簿のコピーまたは情報をベンダー、人材紹介会社、またはこの情報を求める第三者に提供しないように指示されています。

業界アナリストからの情報要求は例外なく、アナリストリレーションズ部門で対応します。 この他の詳細については、企業コミュニケーション部門に問い合わせてください。

物理セキュリティ 

Akamai の物理セキュリティの責任は、法人向けサービス、ネットワーク・インフラ・エンジニアリング(展開)、およびプラットフォーム運用で分担しています。 全社員が、各人の作業区域および区域内の設備のセキュリティを担当します。

法人向けサービス担当バイスプレジデントが、すべての Akamai 事業所の物理セキュリティを担当します。 

すべての Akamai 事業所およびデータセンターにおいて、アクセス制御の手段が必要です。 社員以外の訪問を受けたときは、出入り時に記帳を求め、その訪問者に常に同行する必要があります。 このような区域内の移動は、社員には容易で、侵入者には困難なものになるようにする必要があります。 

Akamai 社員は一般に、事業所、仕切り部屋、会議室など、すべての共通作業環境にアクセスできます。 社内データセンターなどの重要な区域、および保管室などの頻繁には訪れない区域は、必要性を文書で提出した場合にのみ立ち入りが認められます。 区域の責任者が、承認済み社員のリストを年に一度は確認します。 

法人向けサービス担当バイスプレジデントが、適切な非常時通報機能を提供します。 

法人向けサービス担当バイスプレジデントが、物理セキュリティインシデント報告プロセスを担当します。

Network Operations Command Center(NOCC)

大規模な Akamai Network Operations Command Center(NOCC)が、マサチューセッツ州ケンブリッジにあります。 この他にも数ヵ国に NOCC を展開しています。 物理アクセスは、承認された社員に制限され、カード式の鍵で制御されています。 NOCC には 1 日 24 時間週 7 日、プラットフォーム運用の社員が常駐します。 

グローバルネットワーク運用のシニアディレクタが、NOCC セキュリティを担当します。 

インフラエンジニアリングのディレクタが、Akamai が展開しているネットワークの物理セキュリティを担当します。 具体的には、展開しているネットワークで使用している外部施設およびプロバイダのリスクを特定し、損害を軽減するための適切な制御および保護対策を確立します。 

ネットワークインフラのディレクタが、施設への Akamai システムの展開に先立ち、外部施設インシデントレスポンス手順、災害復旧計画、およびサービスレベル契約を適切にレビューします。

Akamai の Secure Content Delivery(セキュア・コンテンツ・デリバリー、ESSL)ネットワークでは、特別な制御が必要です。例えば、ESSL サーバーは動作検知カメラを設置した鍵付きのキャビネットにのみ配備します。 ネットワーク・インフラ・エンジニアリング(展開)グループは、ネットワークパートナーおよびベンダーを選ぶ際に、セキュリティ要件を考慮する必要があります。 

Akamai を訪問する人のほとんどは正当な訪問理由を持っていますが、Akamai では訪問者方針を定めています(具体的な内容は、特定の施設および区域に合わせて調整されます)。 この方針では、次のように規定しています。 

  • Akamai 社内のどこにいるときでも常に見える位置にバッジを付けること、および社員は訪問者にバッジの提示を求めるか、またはセキュリティ担当者を呼ぶこと。 
  • 短時間の訪問者には、Akamai の敷地にいる間常に社員が同行すること。
  • 社員は、ぴったり後に付いていくこと。同僚のためにドアを押さえておくことはまったく合理的な行動ですが、バッジが見える位置にあることを確認することも同じように合理的な行動です。 
  • 訪問者が作業区域に立ち入ることが想定される場合は、機密情報を保管するか、またはカバーを掛けておくこと。 
  • 知的財産権情報について話をする場合や、機密情報、知的財産権を有するプロセス、またはコンピュータ画面に表示されるデータが訪問者の耳に届いたり、目に入ったりする区域へのアクセスを許可する場合は、事前に、明らかに「知る必要性」があり、NDA が存在していることを確認すること。 
  • 重要なビジネスインフラは、安全な区域に展開すること。 冗長な電源冷却システムおよび火災検知保護システムは、ベースライン保護の一部です。 高可用性を必要とするシステムの場合、その他の予期せぬ環境上の脅威を軽減するために、代替のデータセンターに冗長なシステムが配備されています。 電源およびデータケーブルは、保安区域に制限されています。 保安区域間を通るケーブル配線には、コンジットを使用しています。

インシデント管理

方針では、すべてのセキュリティインシデント、脆弱性、および誤動作を可能な限り臨機応変に報告することと規定しています。

プラットフォーム運用部門は、分散ネットワークに影響を与えるセキュリティインシデントを処理するためのトレーニングを受けたスタッフが常駐し、すべてのセキュリティインシデント管理およびインシデントレスポンスの中心となっています。 NOCC ではインシデントマネージャーを任命し、インシデントマネージャーは技術インシデントレスポンス手順に従って問題を解決し、必要に応じて他の社員や部門とも関わります。 

発生したイベントが情報セキュリティイベントである疑いがある場合、または情報セキュリティイベントに間違いない場合、その問題はセキュリティ分野の専門家にエスカレーションされます。 セキュリティ分野の専門家の多くは、Technical Incident Manager(技術インシデントマネージャー、TIM)としてのトレーニングも受けています。

週に一度は会議を開いて、重大なインシデントとその他のセキュリティイベントのインシデント報告をレビューします。

InfoSec のメンバーによって物的証拠が集められ、法執行機関または裁判所の担当者に提供できるまで常に間違いのない管理が行われます。 受け渡し管理バッグがある場合は、バックに収まる小さな証拠用に使用します。 法執行機関に預けることができない証拠は、鍵の掛かった事務所か、または情報セキュリティチームのみが使用できる金庫に保管します。 

デジタル証拠が、InfoSec のメンバーによって、必要に応じて他のチームのメンバーの助けを借りながら集められます。 すべての証拠は、暗号化して署名し、取り外し可能なメディアに記録した上で、できる限り情報セキュリティ部門で保管します。

ネットワーク管理 

Akamai のプロセスには、データをネットワーク経由で転送する場合に Akamai へのリスクを軽減するネットワーク制御が含まれています。

ユーザーマシン(例えば、企業の事業所)またはグローバルな使用を目的としないバックエンドマシン(例えば、データベースサーバー)は、物理的に別個のファイアウォールデバイスによって保護するように設置します。 ネットワークエンジニアリング部門が、ファイアウォールを導入して設定します。

ファイアウォールを横断する必要があるサービスの場合、アプリケーションレベルのカプセル化やサイト間 VPN など、安全性が高まるように再導入を検討します。 情報セキュリティチームが設計の支援にあたることもできます。

Akamai ・ワークステーション・コンピュータが企業ファイアウォールセキュリティ境界の外部から企業ネットワークに接続できるように、エンタープライズ・インフラ・サービス・グループが VPN ソフトウェアのスイートを提供し、サポートします。 このソフトウェアは、Akamai セキュリティ方針および標準に準拠するマシンでのみ使用することを強くお勧めします。 

企業ネットワークへのアプリケーションレベルのアクセスは、SSH 経由で使用できます。 

企業ネットワークへのアクセスは、承認済みのソフトウェアに制限されます。 社員は、自分のネットワーク層から企業ネットワークにアクセスできない場合があります。 

PCI-DSS などの業界標準に新たに対応するには、ESSL(安全に展開された)ネットワークが必要です。

コンピュータメディア 処理 

さまざまなデバイスに格納されるデータによっては、コンピュータメディアの扱いに留意します。 ほとんどの場合、このようなメディアは「Akamai 機密情報: 社外秘」となっています。 財務情報、人事情報、法務情報、またはカスタマー情報を格納しているメディアは、適切に取り扱う必要があります。 また、Akamai には「機密データの破棄と設備の廃棄」というプロセスがあります。 

メディアの中には(最も顕著なのはベンダーおよびレスキュー CD)、NDA の下で配布されるものの、その範囲が広く、実質的には公開されているのと変わらないものもあります。 このような CD の編集担当者は、このレベルの配布を認識し、不要な機密情報を含めないように指示されています。

社内での配布には通常、取り外し可能なメディアを使用しません。 社外での配布や重要なデータのオフラインバックアップには、CD-R、DVD、またはストレージデバイスが適しています。 このようなメディアには、「セクション 8 情報処理」に従って、はっきりとマークを付ける必要があります。 また、このようなメディアは、データを保持しているコンピュータと同じように慎重に扱い、不要になったときには安全に消去または破棄する必要があります。 USB ストレージデバイスや PDA、携帯電話、カメラなどのメモリカードなど、動的に取り外し可能なメモリに含まれている Akamai 機密情報データは、不要になったときには安全に削除する必要があります。 

Akamai 機密資料を取り外し可能なメディアに保存し、社外で取り出すことは禁止されています。