お客様の権利と当社の責任を一か所で確認できます
セキュリティポリシー
はじめに
文書の目的
本文書の目的は、ESETインフラストラクチャ(ESETポートフォリオ、すなわち製品、アプリケーション、ソリューション、およびESETサービスを含む)内で適用される技術的、組織的、物理的制御およびセキュリティ手順をまとめることです。セキュリティ対策、制御、ポリシーは、以下を保護するように設計されています。
•オンプレミスまたはクラウド環境でのESETポートフォリオ運用およびデータ処理
•お客様データの機密性、完全性、および可用性
•違法な破壊、損失、変更、不正な開示またはアクセスからのお客様情報の保護
ESETは、変化する脅威に対応し、セキュリティ技術および業界標準の発展に適応するために、本文書とそれらを管理する特定の対策、制御およびポリシーを更新することができます。
オーディエンス
ESETポートフォリオのセキュリティ分野での保証が必要な方、または環境への統合を通じてESETのソリューションまたはサービスを使用することを意図しているお客様は、この文書をお読みください。
文脈、概念、および範囲
ESET, spol s r.o.は、統合管理システムを持つISO 27001:2022の認証です。
このため、情報セキュリティ管理の概念では、ネットワーク、オペレーティングシステム、データベース、アプリケーション、人事および運用プロセスなどの情報システムアーキテクチャスタックのすべての層にセキュリティ統制を適用する場合、ISO 27001フレームワークを使用して、階層型の防御セキュリティ戦略を実装します。適用されたセキュリティ方針とセキュリティ制御は、相互に重なり、補完することを目的としています。
本文書は、ESETポートフォリオ(組織、人事、および運用プロセス)で実装される技術的および組織的な対策をまとめることを意図しています。
セキュリティ手順および管理には、以下を含むがこれらに限定されない、ガバナンスおよび技術的な対策が含まれます。
•情報セキュリティポリシー
•情報セキュリティの組織
•人事セキュリティ
•アクセス制御
•暗号化
•物理および環境セキュリティ
•データ保護、ネットワークセキュリティ、アプリケーションセキュリティ
•運用セキュリティ
•通信セキュリティ
•システムの取得、開発、メンテナンス
•サプライヤーの関係
•情報セキュリティインシデント管理
•事業継続管理の情報セキュリティ要素
•コンプライアンス
略称
省略用語 |
完全な用語 |
|---|---|
会社 |
ESET, spol. s r.o. |
CSP |
クラウドサービスプロバイダー |
DR |
災害復旧 |
ESET |
ESET, spol. s r.o. |
GDPR |
一般データ保護規則 |
ICT |
情報および通信技術 |
IR |
インシデント応答 |
である |
情報セキュリティ |
ISMS |
情報セキュリティ管理システム |
IT |
IT |
NIS |
サイバーセキュリティ法・改正ネットワークおよび情報セキュリティ指令 |
PKI |
公共鍵インフラストラクチャ |
製品 |
ESETポートフォリオ - 製品、アプリケーション、クラウドプラットフォーム、ソリューション、およびそれら以外のESETサービス |
SIEM |
セキュリティ情報およびイベント管理 |
SSDLC |
Secureソフトウェア開発ライフサイクル |
QMS |
品質管理システム |
注意:イタリック体 - 一般のユーザーは利用できない、参照される会社の内部文書の名前に使用されます。例えば、内部規則に関するポリシー
セキュリティ管理
情報セキュリティ管理プログラム
ESETは、情報資産の保護を指導する組織間機能として、情報セキュリティ管理プログラムの枠組みを確立し、維持しています。情報セキュリティドキュメントは、内部規則に関するポリシーを通じたセキュリティポリシー、プロセス、およびドキュメントに基づきます。ESETは以下の上位ポリシーとして機能する統合管理システムポリシーを採用ました。
•ISMSポリシー
•QMSポリシーおよび
•情報セキュリティポリシー
ESETは、統合管理システムに関するポリシーを遵守し、品質および情報セキュリティ管理の枠組みを定義します。このポリシーはESETの情報セキュリティ責任者(CISO)が所有し、セキュリティと品質に対するトップレベルの管理のコミットメントを表します。これらのドメインの管理および保証に関する責任を定義し、ESETがISO 9001およびISO 27001規格に準拠して管理システムの効果を継続的に評価し、改善するというコミットメントを明記します。
企業ポリシーは毎年文書化、維持管理、見直しが行われ、大幅な変更の後には更新され、適合性、適格性、有効性の継続を保証します。アップデートは内部スタッフに通知され、すべての従業員がポリシーにアクセスできます。ポリシーは正式に採用され、CEOによって署名され、公開され、すべての従業員および関連当事者に通知されます。ESETの従業員はオンボーディング時にポリシーを正式に承諾します。
ポリシーに加えて、ESETの情報セキュリティおよびテクニカルセキュリティチームは、業界およびベンダーセキュリティのベストプラクティス(CISベンチャル、OWASP、NISTなど)に基づいてプロセス、手順、標準、および構成基準を設計しています。これらはITおよびテクノロジーチームに提供され、ESET情報システムおよび製品の開発、構成、および運用を安全に保証します。
ESETは、ESETのISO 9001およびISO 27001の認証に従って設計され、すべてのスタッフが利用できる相互接続されたガバナンスドキュメントを維持します。運用手順は、各チームの特定のニーズに応じて調整され、指定されたワークスペース内で管理され、必要に応じて更新されます。
ポリシー遵守の監視および懲戒手順は、セキュリティポリシーの非遵守に対処し、是正するために導入され、ESETの説明責任と継続的な改善への取り組みを強化しています。
継続的なコンプライアンスと効率を確保するために、ESETはリスク管理枠組みを導入し、技術的および組織的管理を維持しています。ESETのリスク管理プロセスには、統合管理システム内のリスクの包括的な評価と管理が含まれます(ISO 9001およびISO 27001)。これには、資産の評価、セキュリティ要件の特定、リスクの計算、適切な緩和戦略の選択が含まれます。情報セキュリティ責任者(CISO)は、全体的なリスク管理プロセスを監督し、セキュリティリスクおよび関連メトリックを管理者に定期的に報告することを保証します。さらに、サードパーティのリスク管理は、ESETの契約セキュリティスタンダードに従ってベンダー評価を通じて厳しく施行されます。
業界基準の遵守
外部の検証および認定は、データを保護し、規制要件を遵守するためにESETの機能および技術を利用している組織にとって重要です。詳細については、ESETの認証ページをご覧ください。
コンプライアンス監視
統合管理システムポリシーは、定期的なレビューおよび監査を含む統合管理システムを確立します。
内部監査では、内部監査に関するポリシーに記載されているESETのポリシーおよびプロセスの遵守を定期的に確認します。内部規制に関するポリシーには、内部規制の適用および必要な場合は関連する調整を定期的に監視する責任が規定されています。
定期レビューおよび内部および外部監査は、年間および3年間の長期監査プランに従って実施されます。内部監査は、監査範囲に応じて、独立した監査者が定期的にESETのポリシーおよびプロセスまたは適用される標準(ISO 9001, ISO 27001およびSOC2)の遵守を確認します。内部監査は少なくとも毎年計画され、実行されます。監査結果は、専用のチケットシステムで収集され、記録され、それぞれの所有者が割り当てられ、事前に定められた期間内に不遵守を解決する責任を負います。管理監督と決定を必要とする監査結果は、定期的な管理レビュー会議で検討されます。
情報セキュリティの組織
情報セキュリティの責任は、導入されている情報セキュリティポリシーに従って割り当てられます。内部プロセスは、不正または過失によるESET情報資産の修正あるいは悪用のリスクがないか、特定、評価されます。リスクがあったり注意が必要であったりする内部プロセス活動は、リスクを低減するために、セキュリティのベストプラクティスが適用されます。
情報セキュリティは、概念からプロジェクト完了まで適用されたプロジェクト管理フレームワークを使用して、プロジェクト管理において考慮されます。
リモート作業と通信はモバイルデバイスに導入されたポリシーを通して実行されます。これには、信頼できないネットワーク経由での転送中に強力な暗号化データを使用することが含まれます。モバイルデバイスのセキュリティ統制は、ESET内部ネットワークおよび内部システムとは独立して動作するように設計されています。
人事セキュリティ
ESETは、情報セキュリティを保護するために設計されたポリシーを含む標準の人事手順を使用します。これらの手順は、従業員のライフサイクル全体をカバーし、すべての従業員に適用されます。
ESETでは、ESETのスタッフに、オンボーディング中にバックグラウンドの検証およびスクリーニングを受けること、雇用契約の一部として非開示または秘密保持契約を締結して、内部セキュリティポリシーおよび標準に従い、ESETの機密情報および顧客データを保護すること、ESETのコンプライアンスおよび意識向上プログラムの一部としてオンボーディング中に情報セキュリティの意識改革トレーニングを完了することを求めています。
技術的な対策
IDおよびアクセス管理
ESETのアクセス管理ポリシーは、ESETインフラへのすべてのアクセスを管理します。インフラストラクチャ、テクノロジー、アプリケーション、またはツールレベルで適用される、アクセスの付与、取り消し、変更、および付与されたアクセスの修正に関するアクセス制御プロセス。アプリケーションレベルでの完全ユーザーアクセス管理は自律的です。アイデンティティのシングルログオンは、中央のIDプロバイダーによって管理され、ユーザーが許可された環境またはアプリケーションにのみアクセスできることを保証します。
セキュリティ基準に従ってESETインフラストラクチャおよびネットワークへのESET従業員のアクセスを管理するために、ユーザーおよびアクセス管理、ユーザーアクセスのプロビジョニング解除のプロセスと技術的対策、ユーザーアクセスのプロビジョニング、アクセス権のレビュー、削除、および調整が行われます。これには以下が含まれます。
•最小限の特権「知る必要がある」に基づくアクセス提供
•ユーザーアクセスの定期的なレビュー
•セキュリティポリシーに従ってユーザーアクセスの終了
•すべての人にユニークなアカウントを割り当てること
•ユーザーのアクセス試みのログ、レビュー、およびモニタリング
•物理アクセスログおよびレビュー
•高い特権のアクセスおよび管理者アクセスの多要素認証の実装
•指定された非アクティビティ期間後のインタラクティブセッションのタイムアウト履行
データ保護
ディスク暗号化
ESETはインフラストラクチャ内のデータを保護します。強力な暗号化を使用して、保存中(ポータブルデバイスを含む)および転送中のデータを暗号化します。暗号化の実施には、内部暗号化標準で定義されているルールが適用されます。GDPR、NIS2指令、または業界および金融規制など、関連する規制に従ってお客様のデータが保持されます。
導入された対策:
•一般的に信頼できる認証局は、パブリックWebサービスの証明書を発行するために使用されます。
•内部ESET PKIは、ESETインフラストラクチャ内のキーを管理するために使用されます。
•CSPプラットフォームのネイティブ暗号化を有効にすると、クラウド環境におけるデータ処理またはデータの永続性に関連する部分(データストレージ、バックアップ)の保存中のデータが保護されます。
•転送中のデータを暗号化するために、強力な暗号化(TLSなど)が導入されています。
データバックアップと回復
バックアップは、情報および通信技術の運用における情報セキュリティに関するポリシーに準拠します。
すべてのESETポートフォリオ構成およびデプロイメントデータは、ESETが保護し、定期的にバックアップするリポジトリに保存され、環境構成の自動回復が可能になります。通常の災害復旧テストプロセスは、ビジネス期待時間内にバックアップの復元可能性を確認するために使用されます。
ESETのお客様のデータは、業界標準および規制、高可用性の運用、契約上の回復可能性要件に従って定期的にバックアップされます。バックアップは修正から保護され、バックアップの有効性は、災害復元実行プロセスによって定期的にテストされます。
ネットワークセキュリティ
ネットワークセグメントは、ESETネットワーク環境全体で適用されます。ネットワークは、定義された基準に基づいて分離され、ファイアウォール上のVLANを使用して執行されます。
ESETは、L7ファイアウォール、侵入検出システム、侵入防止システムを含むさまざまな境界保護システムを使用しています。これらのシステムは、外部アクセスポイントを保護するために設定および維持され、ネットワークへの不正なアクセス試みが検出され、防止されることを保証します。
内部資産へのリモートアクセスは、ユーザーまたはサイト間のVPNを通じてESET内部ポリシーに規定されている役割と責任、セキュリティ要件、および制御とともに提供され、セキュリティ業界標準に準拠して設定されています。VPNユーザーアカウントはActive Directory内で維持され、従業員アカウントのプロビジョニングプロセスに含まれます。
ESETは、クラウド環境で処理、受信、または保存されるデータを保護するために、ネットワークセキュリティ管理を導入し、維持します。CSPアカウントと基盤インフラストラクチャは、CSPの仮想ネットワーク内のネットワークアクセス制御リストおよびセキュリティグループを使用して、プロビジョニングされるすべてのリソースへのアクセスを制限します。クラウドリソースへのアクセスは、暗号化されたチャネルを通じてのみ行われます。
強化
ESETは、システムのセキュリティプロセスを活用して、攻撃に対する脆弱性を減らします。これには、以下の技術とベストプラクティスが含まれます。
•ホストまたはコンテナをインストールまたはデプロイするために使用される署名されたゴールド画像
•不必要なサービスを無効に
•リスクが高い重要なコンポーネントの自動化された計画的な適用および緊急の修正
•サービス終了に到達する前にオペレーティングシステムをアップグレードします。
•セキュリティ設定の構成
•繰り返し可能な一貫したインフラストラクチャおよびアプリケーション管理の自動化
•不必要なソフトウェアの削除
•ローカルリソースへのアクセスの制限
•アンチウイルス、エンドポイント検出および対応、ネットワークポリシーなどのホストベースの制御
ESETは一元的なアプローチを使用し、アタックサーフェス(攻撃者が悪用できるすべての潜在的な入口の総称)を最小化することを目的として、IT環境のコンポーネントに強化を適用し、検証を行います。詳細については、本文書の次の部分を参照してください。
アプリケーションセキュリティ
セキュア開発手順
ESETは、ソフトウェア開発ライフサイクルにおけるセキュリティに関するポリシー(SSDLC)を通じて、安全なソフトウェア開発手順を導入します。このポリシーにより、開発のすべての段階でセキュリティ制御とリスク管理を統合できます。
SSDLCポリシーでは、以下に関する要件が定義されています。
•コードは、安全なコードのガイドラインに従って書かれ、合併前に確認されます。
•新しい機能と重大な変更について、脅威モデリングとデザインレビューを実施。
•自動セキュリティチェック(静的分析、依存性スキャン、および選択されたダイナミックテスト)は、IC/CDパイプラインの一部として実行されます。
•サードパーティおよびオープンソースコンポーネントを追跡し、最新の状態に保ちます。すべてのリリースされた製品に対してSBOMが維持されます。
•インシデントの発見、侵入テスト、バグボーンティレポートをレビューし、開発プロセスに戻します。
SSDLCポリシーの目的は、すべてのESETソフトウェア製品が安全で信頼できるものであり、適用される標準および規制に準拠していることを保証することです。
製品の脆弱性管理
ESETは、アプリケーションおよび製品のライフサイクル全体を通じて、アプリケーションおよび製品の脆弱性を特定、評価し、解決するための定義されたプロセスを維持します。
プロセスには、内部で検出された問題と外部の情報源からのレポートが含まれます。
製品の脆弱性管理の一部として、ESETは
•自動検査ツールを使用して、ソースコード、依存関係を検査し、既知の脆弱性を検出するためにアーティファクトを構築します。
•修正の割り当て前に、結果を手動でレビューして影響と関連性を確認します。
•重大度、利用可能性、製品曝露に基づいて修正を追跡および優先します。
•修正を検証するために、ターゲットのセキュリティテストおよびリテストを実行します。
•開発とリリース計画に脆弱性データを統合し、配信前に重要な問題を解決します。
•調整された開示とパブリックバグボンティングプログラムを通じて、外部レポートを受け入れ、処理します。
•CVE番号管理当局(CNA)としての役割の一部として、確認された製品の脆弱性についてCVEIDを割り当てます。
•構造化されたトリアージプロセスに従って、脆弱性の重大度およびビジネス影響に基づいてパッチおよび修正を実施します。
oトリアージプロセスは、ISO/IEC 30111(脆弱性処理)およびISO/IEC 29147(脆弱性開示)と一致します。
oCVSSスコアや、CISAの既知の悪用された脆弱性(KEV)カタログなどの外部情報ソースに基づいて、優先順位が付けられます。
o最終的な修復に関する決定は、責任のある製品およびセキュリティチームが連携して行います。
これらのプロセスにより、すべてのESET製品で脆弱性が一貫して、透明かつ追跡可能な方法で管理されることが保証されます。
侵入テスト
ESETは、独自の侵入テストプログラムの中で、製品の全体的なセキュリティ保証プロセスの一部として、本製品の定期的な侵入テストを実行します。テストは、主要リリース前に実行され、維持されている本製品では計画された間隔で行われるものとします。
ESETでの侵入テストは、
•実施されたセキュリティ管理および緩和策が有効であることを確認する
•自動ツールが検出できない可能性のある脆弱性の特定
•前回の修復の結果の検証
•リリースされた本製品の攻撃面全体およびリスク曝露の評価
テストは、業界の標準的な方法(OWASP WSTG/MTG、NIST SP 800-115、PTES)を使用して、資格を持つ内部の専門家または信頼できる外部パートナーによって、隔離された環境で行われます。
結果は、内部および外部で報告された問題に使用される同じ脆弱性管理プロセスを通じて文書化、評価、および追跡されます。
侵入テスト結果は、製品改善計画およびSSDLCに直接送信され、学んだ教訓が記録され、再発する弱点が時間とともに減少されることを保証します。
運用セキュリティ
ICTの運用における情報セキュリティポリシー
本会社内のICTの運用における情報セキュリティに関するポリシーは、ISO 27001標準に従ってICTの運用に関連する基本的なセキュリティルールを定めるものとします。
ICTの運用における情報セキュリティポリシーは、ITの運用プロセスおよびそのドキュメントに関するセキュリティ要件を定義します。これには、運用手順、変更管理、役割および責任の分離、本番環境の分離、テストおよび開発環境、サードパーティのITサービス、パフォーマンスプランニング、ITプロジェクト、マルウェア保護、バックアップ、ネットワークセキュリティ、メディアセキュリティ、eコマース要件および監視が含まれます。
ログおよび監査
システムでのログおよび監査は、内部の基準およびガイドライン(セキュリティモニタリングおよびセキュリティインシデント管理に関するポリシー)に従って行います。
インフラストラクチャ、オペレーティングシステム、データベース、アプリケーションサーバー、およびセキュリティ統制のログとイベントは、継続的に収集されます。ESETは中央ログ管理プラットフォーム(SIEM)を使用して、不正な変更または破壊から関連するログを保護します。ログはITおよび内部セキュリティチームによってさらに処理され、プロセスとセキュリティの異常および情報セキュリティインシデントが特定されます。SIEMのデータは、規制に基づいて要求される期間、および後期脅威ハンティングのために保持されます。
セキュリティモニタリングとインシデント対応
セキュリティモニタリングおよびセキュリティインシデントの管理は、セキュリティモニタリングおよびセキュリティインシデント管理に関するポリシーで定義されています。
ポリシーの概要
•セキュリティログおよび監査の開発、適切な設定、保護、ストレージ、分析、評価、保持に関する責任およびルール
•セキュリティインシデント管理のプロセス、役割、責任
•セキュリティインシデントの防止
•セキュリティインシデントの影響を最小化
•セキュリティインシデントからの学習
•監視アクティビティとその範囲、および監視とインシデント対応における従業員の役割に関する従業員への教育
24時間動作する確立されたセキュリティ運用センター(SOC)は、ITインフラストラクチャおよびアプリケーションのセキュリティ状態を継続的に監視し、セキュリティインシデントに対応することができます。
ESETの情報セキュリティインシデント管理は、定義されたインシデント対応手順に基づいています。インシデント対応内の役割が定義され、IT、セキュリティ、法務、人事、広報、経営陣を含む複数のチームで割り当てられます。標準的なインシデントはSOCチームが処理します。より重大なセキュリティインシデントについては、コマンドセンターに通知されます。コマンドセンターは、SOCチームと協力して、インシデント対応を調整し、他のチームを関与してインシデントを処理します。内部セキュリティチームの責任あるメンバーがサポートするSOCチームは、証拠収集と事後分析の責任も負っています。インシデントの発生と解決は、顧客やパートナーなど、影響を受ける当事者に通知されます。ESETの法務チームは、ネットワークおよび情報セキュリティ指令(NIS2)を規定する一般データ保護規制(GDPR)およびサイバーセキュリティ法に従って、必要に応じて規制団体に通知する責任を負います。
パッチ管理
パッチ管理は、脆弱性を解決するためにいくつかの緩和アクティビティの一つとして使用されます。
セキュリティパッチは、特定された脆弱性の重大度およびリスクに基づいて評価され、適用されます。
定義されたトリアージおよび優先化プロセスにより、パッチデプロイメントの順序とタイムラインが決定されます。このプロセスは、ISO/IEC 30111に沿ったESETの内部ガイドラインに従います。CVSSスコアや、CISAの既知の悪用された脆弱性(KEV)カタログなどの脅威に関する外部の情報源に基づいて、リスクベースの決定や優先順位付けを行います。
すべてのパッチは、システムの安定性または互換性に悪影響を与えることなく、ターゲットの問題を解決するように、本番環境に展開する前に、管理された環境で検証されます。
展開は、必要に応じてトレーサビリティ、説明責任、およびロールバック機能を保証する、確立された変更管理手順に従います。
パッチアクティビティは、効果を確認し、古いシステムを特定し、継続的なプロセスの改善を推進するために、継続的に監視され、レビューされます。
アプリケーションログガイドラインでは、ESETが開発したすべてのアプリケーションのログを規制する技術的対策と要件が明記されています。
マルウェアおよび脅威保護
マルウェアに対する保護(アンチウイルスソフトウェアとEDRによる)は、情報および通信技術の運用における情報セキュリティに関するポリシーに規定されています。従業員は、ESET従業員の情報セキュリティポリシーに記載されているように、マルウェア感染の疑いをすぐにSOCに報告する必要があります。
従業員エンドポイントに関する要件は、ワークステーションのセキュリティ標準に明記されています。
ESETは、エンドポイントおよびクラウドワークロードを保護するために、検証されたサードパーティのソリューションで強化した独自のマルウェア対策ツールを使用します。
SOCチームは、セキュリティモニタリングおよびセキュリティインシデント管理に関するポリシーに基づいて脅威ハンティングアクティビティを実施します。脅威データ(フィード)は、SIEMシステムに収集され、自動的に注入され、セキュリティモニタリングのイベントに適用される脅威インテリジェンスを生成します。
技術コンプライアンス
内部セキュリティチームは、インフラストラクチャ、クラウド、Web関連コンポーネント、および開発者およびIT管理者が遵守するためのベストプラクティスを、さまざまな技術的なセキュリティ基準を提供し、維持します。テクニカル標準に基づいて、内部セキュリティチームは、ITチームがセキュアな設定のデプロイメントおよび執行を自動化するために使用する設定ベースラインファイルを準備します。
さらに、コンプライアンススキャンは、可能であれば脆弱性評価ツールを使用して実行されます。ESETは侵入テストプログラムを確立し、ESETが開発する製品、アプリケーション、およびサービスは、プログラムプランに基づいて定期的な侵入テストを受けるものとします。すべての結果は文書化され、製品の関与者に報告され、できるだけ早く緩和されることを保証します。
警備
物理セキュリティポリシーおよび関連する物理セキュリティ標準は、オフィス施設およびデータセンター周辺の物理的なセキュリティに関するルールを定義します。本ポリシーでは、以下に関するルールと手順が規定されています。
•ESETの施設の保護
•物理アクセス制御
•オフィス、部屋、建物のセキュリティ
•安全な地域での作業
•設備、ケーブル、インフラのセキュリティ
データセンターセキュリティ
ITインフラストラクチャコンポーネントは複数のデータセンター内に物理的に配置されています。したがって、各リージョン内で冗長性が達成されます。
物理的なセキュリティの領域は、物理セキュリティに関するポリシーおよびオフィス施設およびデータセンターの関連セキュリティ基準 - データセンターの物理セキュリティ基準に定義されています。ESETは、セキュリティ領域の設定に関するルールと、物理的なセキュリティ領域に適用される制御を定義しました。物理的なセキュリティゾーニングや分離、アクセスおよびビジター管理、火災および洪水防止、CCTVおよび有人監視などの主要な制御は、明確に定義され、実施され、継続的に監視されています。DCのセキュリティは、責任あるスタッフおよび外部監査官によって定期的に確認されます。
ESETは、CSPの物理的なセキュリティ対策および制御に依存しています。したがって、関連するCSPのコンプライアンスレポートを定期的に見直します。
物理アクセス制御
物理的な入場制御は、物理セキュリティに関するポリシーおよびオフィス施設およびデータセンターの関連セキュリティ基準に定められています。施設は、特定のアクセス制御を備えた保護ゾーンに分けられます。
認証は、キー、ID/アクセスカード、およびPINを使用して、セキュリティベストプラクティスに従って管理されます。
物理アクセス監視および不正アクセス防止/検出が実施されます。入場はすべて、CCTVによって監視され、ログに記録されます。また、領域は、モーションまたはガラス割れセンサーによって監視されます(非耐力壁(ガラスまたはドライウォールなど)、非常口、窓を含む)。
ビジネス継続および災害回復
ESETは、ビジネス継続管理ポリシーとISO 22301に従って、ビジネス継続管理に関するポリシーの維持、定期的なレビュー、評価、および改善を実施します。
ESETは、BCMプログラムを設立し、会社内のすべてのアクティビティを優先的に行い、BCMポリシーに従ってCISOの承認を受けるものとします。BCMプログラムでは、冗長性または機能およびITインフラストラクチャの複製を通じて、運用アクティビティおよびBCMに関連するリスクを緩和するためのアクティビティが定義されています。
事業継続目標(RTO、RPO、MTD、回復の優先事項)を定義したビジネス影響分析(BIA)を準備し、見直しています。災害復旧計画(DRP)は、BCMプログラムに従って見直し、テストされます。ビジネス継続戦略は、重要なビジネス資産の維持に関するアプローチを決定します。通常の事業継続活動からのすべてのアウトプットは、継続的な改善のためのインプットとして役立ちます。
サードパーティリスク管理
サプライヤーサービスの監視およびレビューは、サプライヤー関係における情報セキュリティに関するポリシーに準拠します。レビューは四半期ごとに実施され、結果はサプライヤー評価に保存されます。