Kaspersky

トランスペアレンシーセンターの役割

トランスペアレンシーセンターは、信用できるパートナーが、当社製品のソースコード、ソフトウェアのアップデート、脅威検知ルール、そのほかの活動を確認できる施設です。このセンターを通じ、安全な環境で外部評価を受けるために不可欠な重要な技術文書を含む当社製品とそのセキュリティに関する情報を、パートナー企業や政府機関に提供しています。また、信頼できるステークホルダーが、当社のポートフォリオ、エンジニアリング、データ処理手法について詳細に知ることができるブリーフィングセンターの役割も持ち合わせています。

トランスペアレンシーセンターは、チューリッヒ、マドリード、クアラルンプール、サンパウロに設置しています。2021年には5つ目の、北米に特化したトランスペアレンシーセンターを、CyberNB Associationと共同で、カナダのニューブランズウィックに開設します。

トランスペアレンシーセンターでは、当社製品のソフトウェアをソースコードからコンパイルし、公開されているコードと比較することができます。

透明性への取り組みを、ここまで実施しているサイバーセキュリティ企業はほかにはありません。トランスペアレンシーセンターの開設により、当社の保護テクノロジー、インフラストラクチャ、データ処理手法の完全な透明化に向けて、大きな一歩を踏み出しています。

トランスペアレンシーセンターの利用や詳細については、 [email protected]にお問合せいただくか、こちらをご覧ください。

• アクセスポリシー

  当社のお客様のセキュリティと保護は当社の最優先事項です。そのため、当社は最も厳格なアクセスポリシーを採用しており、セキュリティ侵害の可能性がある場合は依頼を拒否する権利を有しています。

  トランスペアレンシーセンターは、次のような方々を歓迎します。

  • ⚬ 国家のサイバーセキュリティと情報システムの保護に責任を負う国家機関と規制当局（それぞれの地域の法律に準じます）
  • ⚬ 当社のパートナーや顧客となる見込みのある企業、または既存パートナーと顧客企業

  研究学術機関、メディア、情報セキュリティコミュニティの専門家を、将来的にトランスペアレンシーセンターに招待する可能性があります。

  いかなる状況においても、サイバー攻撃の任務や能力を有する情報機関または法執行機関に、トランスペアレンシーセンターの利用を提供することはありません。トランスペアレンシーセンターのセキュリティ情報とインフラストラクチャは、相談目的でのみ提供しています。カスペルスキー製品のソースコード、ソフトウェアのアップデート、脅威検知ルールを変更する行為は禁止されており、トランスペアレンシー運営委員会によって阻止されます。また、不正使用は現地の法執行機関に報告されます。

第三者の専門家によって確認されたセキュリティ対策

「4大会計事務所」によるSOC 2評価

4大会計事務所の1社が、「Service Organization Controls for Service Organizations（SOC 2）Type 1」に従い、当社ソリューションのセキュリティと処理の完全性について監査を実施しました。

最終報告書では、当社の脅威検知ルールのデータベース（定義データベース）の開発とリリースが、強力なセキュリティ統制によって不正な変更から保護されていることが確認されました。
詳しくはこちらをご覧ください。

TÜV AUSTRIAによるISO/IEC 27001:2013

情報セキュリティマネジメントシステムの国際規格であるISO/IEC 27001:2013認証の取得は、当社の強力なデータセキュリティへの取り組みとデータサービスが、業界のベストプラクティスに完全に準拠していることを示しています。

第三者認証機関であるTÜV AUSTRIAによって、Kaspersky Security Network（KSN）を含む当社のデータセキュリティシステムが、業界のデータプライバシー基準を満たしていることが、確認されました。
詳しくはこちらをご覧ください。

透明性に関するレポート

当社は、サイバーセキュリティに関する技術的な専門知識とユーザーデータの2つのカテゴリで、世界各国の法執行機関と政府機関からのリクエストに対応する際の方法を公開しています。また、国別のリクエスト件数も開示しています。

2020年および2021年上半期の法執行機関や政府機関からのリクエストへの対応手順や詳細は、こちらのレポートでご覧いただけます。

カスペルスキー製品ユーザーから受けたリクエストに関する詳細は、こちらからご覧いただけます。

透明性への取り組みに関する最新ニュース

このセクションでは、透明性への取り組みの一環である、スイスへの脅威に関するデータ移転やそのほかの活動に関する最新情報をお知らせします。定期的に更新情報と進捗レポートを掲載します。

• 2020年11月更新

  • ⚬ 2018年11月に発表した、データの処理と保管を行うインフラストラクチャの移転が完了しました。ヨーロッパ、米国、カナダに加え、アジア太平洋地域の複数国についても、ユーザーデータの処理と保管の移転が完了しました。アジア太平洋地域の移転対象国は、日本、オーストラリア、ニュージーランド、バングラデシュ、ブルネイ、カンボジア、インド、インドネシア、韓国、ラオス、マレーシア、ネパール、パキスタン、フィリピン、シンガポール、スリランカ、タイ、ベトナムです。
    これらの場所に拠点を置くユーザーから共有された脅威関連のデータは、スイスのチューリッヒにある2か所のデータセンターにて処理されます。このようなデータには、マルウェアの自動解析のために当社製品からKaspersky Security Network（KSN）へ送信された、疑わしいファイルや未知の悪意あるファイルも含まれます。
    
    
  • ⚬ 当社は、カナダのニューブランズウィック州にあるCyberNB Associationと共同で北米トランスペアレンシーセンターを開設したことを発表します。
    2017年10月の透明性への取り組みの開始に当たって発表した目標に則し、当社はCyberNB Associationと共同で北米地域にトランスペアレンシーセンターを開設しました。CyberNBは、カナダのニューブランズウィック州フレデリクトンに拠点を置く非営利組織です。民間セクター、政府組織、研究学術機関、知識とスキルの開発、人材獲得と従業員育成に関するステークホルダーとの連携や協力を通じて、サイバーセキュリティの成果の向上を目指すエコシステム手法を進めています。
    
    
  • ⚬ 2020年5月に発表された「Cyber Capacity Building Program」は、ベトナムの国家CERTと国家サイバーセキュリティセンター（NCSC）で構成される、Authority of Information Security（AI）の協力のもと、立ち上げに成功しました。同プログラムには、KasperskyのICS CERTチームと共同で実施するファジングのセクションが追加されました。2021年には、ビジネスパートナーをはじめとする企業の皆様にもご利用いただける予定です。セキュリティの備えを強化することだけでなく、サプライチェーン攻撃に対する自社のシステムおよびネットワークのレジリエンスを評価することにも活用いただけます。ご利用を依頼するには、 こちらにアクセスしてください。
    
    
  • ⚬ 当社のバグ報奨金プログラムの対象製品を拡大し、カスペルスキー VPN セキュアコネクションを追加しました。同製品の一部であるサードパーティ製のソフトウェアモジュールも、併せて対象となっています。2018年3月以来、76件のバグが解決され、37件の報告に対して合計で57,750ドル相当の報奨金を支払っています。
    
    

• 2020年5月更新

  • ⚬Kasperskyは「Cyber Capacity Building Program」を開発しました。ソフトウェア製品のセキュリティ評価に関する概要を学べる専用のトレーニングです。このトレーニングは、オンラインおよびオフラインの形式で提供され、政府機関、学術機関や企業がセキュリティの評価に関する基本的で実用的な方法や知識を約6時間で学べるようになっています。トレーニングでは、ソフトウェアのセキュリティを評価する方法、脅威モデリング、ソースコードのレビュー方法、脆弱性を管理する方法などを概説します。プログラムへの参加は無料で、まず、2020年第3四半期に政府機関と学術機関向けに実施する予定です。今年後半には、企業向けにも開始予定です。詳細については、こちらをご覧ください。
    
    
  • ⚬ 当社のエンジニアリング手法および優れたデータ保護基準をよく知っていただくため、トランスペアレンシーセンターのサービスにリモートでアクセスできるオプション「Blue Piste」を提供します。当社のセキュリティエキスパートが、データ処理方法やソリューションの機能に関する質問にお答えします。さらに、ソースコードレビューのデモを実際にご覧いただけます。Blue Pisteオプションをご希望の場合は、トランスペアレンシーセンターのページからお申し込みください。
    
    
  • ⚬ 業界のパイオニアの1社として、当社は脆弱性取り扱いの透明性と効率を高め、ユーザーへの害とリスクを軽減するために、「脆弱性の責任ある開示（Responsible Vulnerability Disclosure：RVD）」の倫理原則を発表しました。これらの原則は、当社の膨大なサイバーセキュリティの経験に基づくものであり、FIRST（Forum of Incident Response and Security Teams）が提供するガイドラインに沿っています。
    
    
  • ⚬ 当社は、バグ報奨金プログラムに継続的に取り組んでいます。2018年3月以降これまでに、66件のバグが報告されています。報告されたバグのうち26件に対し、合計で49,250ドルの報奨金を支払いました。
    
    
  • ⚬ 今年の初め、「Paris Call for Trust and Security in Cyberspace」（「サイバー空間の信頼性と安全性のためのパリ・コール」は新しいWebサイトを正式に立ち上げました。当社は、サイバースペースを安全で、オープンかつ協調的に保つための9原則を支持する初期支援団体の1社です。透明性への取り組みは、サイバーセキュリティの透明性と説明責任を高めることで第6の原則を実施する具体例として挙げられています。
    
    
  • ⚬ 当社の透明性への取り組みは、サプライチェーンのセキュリティに関する国連軍縮研究所（UNIDIR）のレポートや、インダストリアルインターネットコンソーシアム（IIC）による信頼できるソフトウェア開発のためのベストプラクティスなど、透明性および信頼性向上のベストプラクティスの例として、数多くの国際文献でも取り上げられています。
    
    

• 2019年11月更新

  • ⚬ 当社は、米国とカナダのユーザーデータをスイスに移転します。 これは、ヨーロッパのユーザーのデータに続く移転です。このデータは、ユーザーによる同意に基づき、サイバー脅威関連のデータを自動的に処理する高度なクラウドベースのシステムであるKaspersky Security Network（KSN）と自動的に共有されます。このデータには、マルウェアの自動解析のために当社製品からKSNに送信された、疑わしいファイルまたは未知の悪意あるファイルが含まれます。データ移転は、2020年末までに完了の予定です。
    
    
  • ⚬ 当社は、ブラジルのサンパウロにトランスペアレンシーセンターを開設予定です。このセンターは、中南米地域の信頼できるパートナー企業が当社製品のソースコードをレビューし、エンジニアリング手法とデータ処理手法、当社製品のポートフォリオについて詳しく知ることのできる、専用のセキュリティ施設として機能します。今年4月、ヨーロッパ第2のトランスペアレンシーセンターをスペインのマドリードに開設しました。また、マレーシアにアジア太平洋地域で初のトランスペアレンシーセンターを開設することも発表しました。トランスペアレンシーセンターでは、当社製品のソフトウェアをソースコードからコンパイルし、公開されているコードと比較することができます。当社エキスパートの支援を受けてコンパイルプロセスを実行することで、カスペルスキー製品に対する信頼を確実なものとすることができます。
    
    

• 2019年7月更新

  • ⚬ 当社は「Service Organization Controls for Service Organizations（SOC 2）Type 1」の監査を完了しました。4大会計事務所の1社が発行した最終報告書では、WindowsおよびUnixサーバー上で稼働するカスペルスキー製品向けに作成および配布される脅威検知ルールデータベース（定義データベース）の開発とリリースが、強力なセキュリティ統制により不正な変更から保護されていることが認定されています。SOC 2 Type 1報告書における上述の責任および要件に関する主な情報については、ご要望に応じて開示可能です。
    
    
  • ⚬ 当社は、バグ報奨金プログラムの発展に継続的に取り組んでいます。最近では、第三者がユーザーのPC上でシステム権限を使用して、任意のコードを遠隔実行できる可能性のある問題を発見したImaginaryチームのリサーチャーに対し、このプログラムで過去最大となる23,000ドルの報奨金を支払いました。このバグは即時に修正しました。Imaginaryチームからの報告と当社製品の改善点への助言について感謝の意を表します。2018年3月以降、このプログラムを通じてセキュリティリサーチャーから報告された66件のバグを解決済みであり、報奨金の総額は約45,000ドルとなりました。
    
    
  • ⚬ 脆弱性リサーチャー向けのセーフハーバー：当社は、Disclose.ioフレームワークに対応しています。このフレームワークは、脆弱性リサーチャーが、自分が発見した事柄によって法的に不利な結果が生じることへの懸念に対して、「セーフハーバー」（法令違反にはならないとされる範囲）を提供するものです。当社は、社外の専門家が当社製品の脆弱性を発見し報告することで貴重な助言が得られると理解しており、脆弱性の報告について公平に対処されるようさらに保証する用意があります。
    
    
  • ⚬ スペイン、マドリードのトランスペアレンシーセンター：6月よりお客様とパートナーおよび政府関係者が正式に利用可能となっています。チューリッヒのトランスペアレンシーセンターと同様に、ソースコードのレビューができるほか、当社のデータ処理の手法や当社製品の機能のセキュリティについて、個別に説明を受けることができます。
    
    
  • ⚬ 法執行機関をサポートする、脅威インテリジェンスの提供：当社は、サイバーセキュリティベンダーとしては初めて、法執行機関向けの高度なサービスを無償提供することを発表しました。この独自のアプローチは、国境のないサイバー犯罪に法執行機関が立ち向かうことをサポートする目的で開発し、脅威インテリジェンスレポート、脅威データフィード、Automated Security Awareness Platform（Kaspersky ASAP）の3つのサービスで構成されています。

• 2019年4月更新

  • ⚬ マドリード（スペイン）にトランスペアレンシーセンターを開設しました。2018年に開設したチューリッヒ（スイス）のトランスペアレンシーセンターと同様、当社のパートナー企業および政府関係者にとって信頼できる施設として機能します。このトランスペアレンシーセンターでも、カスペルスキー製品のソースコードを確認し、当社のエンジニアリング手法とデータ処理手法、また当社製品のポートフォリオについて知ることができます。同センターは6月から一般利用が可能となります。なお、2020年までにアジアと北米にトランスペアレンシーセンターを開設する計画については、現在進行中です。
    
    
  • ⚬ トランスペアレンシーセンターのレビューシステムが開発されました。これにより、当社のエンジニアリング手法とデータ保護基準の技術面以外の一般的な概要から、カスペルスキー製品のソースコードの重要な部分の詳細な包括的レビューまで、関心のある分野に応じて複数のレビューオプションをご用意しています。利用可能なオプションの詳細については、トランスペアレンシーセンターのWebサイトをご覧ください
    
    
  • ⚬ Kasperskyは、ロシアの法律に対する当社の義務について実施した、有志の第三者による法的アセスメントの結果を公開します。この分析は、データの処理と保管に関するロシアの3つの法律を対象とし、ロシア法と国際法の著名な専門家でスウェーデン・ウプサラ大学の国際投資貿易法の教授であるKaj Hober博士が実施しました。これらの法律は、ロシアを拠点とする当社が遵守しなければならないものとして広く報道されましたが、Kaj Hober博士の分析の結果、当社は主にその活動の性質上、これらの法的行為の義務を担う立場には該当しません。分析の結果は、オンラインで公開しています。
    
    
  • ⚬ バグ報奨金プログラムの、レビュー対象製品の範囲を拡大しました。特に大きな変更は、カスペルスキー パスワードマネージャーとKaspersky Endpoint Security for Linuxを追加した点です。本プログラムを通じ、セキュリティリサーチャーから報告された50件以上のバグが解決され、支払われた報奨金の総額は17,000ドルを超えました。

• 2018年11月更新

  最初のトランスペアレンシーセンターを開設、チューリッヒでヨーロッパのユーザーのデータ処理を開始、独立したエンジニアリング監査とバグ報奨金プログラムを新たに開始

  2018年11月13日、ヨーロッパのカスペルスキー製品のユーザーから同意を得て共有された悪意あるファイルおよび疑わしいファイルの処理が、チューリッヒ（スイス）にある2か所のデータセンターにて開始されました。 これらのデータセンターは、最高レベルのセキュリティを保証する、業界標準に準拠した世界水準の施設です。ここで処理されるデータには、マルウェアの自動解析のためにカスペルスキー製品よりKaspersky Security Network（KSN）に送信された、疑わしいファイルまたは未知の悪意あるファイルのほか、これらに付随するメタデータが含まれます。

  この取り組みは、製品の完全性と信頼性を保証するという当社の決意を反映しています。これと同時に、最初のトランスペアレンシーセンターを、同じくチューリッヒに開設しました。トランスペアレンシーセンターを通じ、政府機関やパートナー企業に対して、安全な環境での外部評価において不可欠かつ重要である技術文書など、当社製品とその安全性に関する情報を提供します。

  このほか進行中の取り組みには、4大会計事務所の1社との契約があります。脅威検知ルールデータベースの作成と配布に関連する当社のエンジニアリング手法の監査、および業界最高レベルのセキュリティ対策に準拠していることの確認を、第三者機関より受けることを目的としています。

  これに加え、積極的なバグ報奨金プログラムをサポートしています。1年の間に、セキュリティリサーチャーによって報告された50件以上のバグが解決され、そのうちのいくつかは特に価値あるものでした。

• 2018年8月更新

  • ⚬ 当社は、スイス、チューリッヒの主要なデータセンタープロバイダーであるInterxion社およびNTS社と契約を結びました。これらの世界標準の施設では、2018年後半より、ヨーロッパのカスペルスキー製品ユーザーから同意を得て提供されたデータの安全な処理と保管を開始する予定です。米国、カナダ、オーストラリア、日本、韓国、シンガポールなど、ほかの国々についても、移転を予定しています。ヨーロッパ諸国のユーザーのデータについては、2019年第4四半期までに完全移転を完了する予定です。詳しくは、こちら（https://blog.kaspersky.co.jp/transparency-status-updates/）をご覧ください。
    
    
  • ⚬ 同じくチューリッヒに開設される最初のトランスペアレンシーセンターは、2018年末までに初期稼働を開始する予定です。最終的には、カスペルスキー製品およびソフトウェアアップデートのソースコードを、責任あるステークホルダーに対して完全に開示する予定です。
    
    
  • ⚬ この取り組みのほかの柱としては、製品、製品アップデート、脅威検知ルールデータベース（定義データベース）を含むソフトウェアコードのアセンブリ実施場所の移転、あらゆる業務の管理およびレビューを担う独立した第三者機関の指名などがあり、いずれも2018年以降、プロジェクトの第2フェーズにて実施の予定です。