SentinelOneセキュリティステートメント
SentinelOneは最も高度なエンドポイント保護ソリューションを提供することに加え、お客様から収集した全データを業界最高のスタンダードとプラクティスに沿って保護することにコミットしています。最高のデータセキュリティを求める多くのお客様に弊社ソリューションをご利用いただき、ご満足いただくだけでなく、お客様の期待を上回り、高いセキュリティ意識を持った全世界の組織から高い評価を受けています。
当社は、お客様の情報は適切に管理し保護する必要があることを理解しています。そのためSentinelOneでは、情報セキュリティプログラムを監督する専任セキュリティチームを設置しています。このチームは、高品質のネットワークセキュリティ、アプリケーションセキュリティ、ID/アクセスコントロール、変更管理、脆弱性管理、第三者ペネトレーションテスト、ログ/イベント管理、ベンダーリスク管理、物理セキュリティ、エンドポイントセキュリティ、ガバナンス/コンプライアンス、人材/人事セキュリティ、ディザスタリカバリ、その他多くのコントロールを活用して監督を行っています。以下を含む対策を行っています:サーバーはハイエンドのファイアウォールシステムで保護、定期的にスキャンを実行して脆弱性を早期に発見してパッチを適用。毎年ペネトレーション(侵入)テストを実施。顧客データは北米、ヨーロッパ、アジアなどの特定の地域内で処理して保存し、その場所をお客様にお知らせし、「知る必要がある人にだけ知らせる」という原則に基づいてシステムのアクセス権付与を限定。コンプライアンスの監視および監査を実施、すべての顧客データの転送にトランスポート層セキュリティ(TLS)暗号化(別名HTTPS)を使用。さらにお客様は、データの保存時に暗号化するかを選択できます。ソリューションはAWSにホスティングされます。AWSにはここで説明のとおり、ISO27001およびSOC3 TypeII スタンダードを用いた独立監査がされています。SentinelOneは強固な情報セキュリティの維持のため、第三者の監査人から毎年ISO27001 の監査を受けています。またFedRampコンプライアンス プログラムにも取り組み、2020年第3四半期にはFedRamp Moderate ATOが付与される予定です。
お客様には、強力なパスワードやアカウントアクセス制限など、ご利用のソリューションのインスタンスへのアクセス認証を守るために適切なセキュリティプラクティスを、お客様のソリューション管理者に実行していただくようお願いしています。アカウント認証情報への不正アクセスに気付いた場合は、すみやかにSentinelOneのサポートチームにご連絡ください。
SentinelOneのコンプライアンス
GLBAコンプライアンス
SentinelOneのエンドポイント保護ソリューションは、様々なデータセットを均等に収集し処理します。顧客がどのようにデータを分類していても影響ありません。特定のデータタイプの処理は完全に偶発的で、ソリューションを使用する必要はありません。SentinelOneはGLBAに定められるように非公開情報(NPI)は収集しません。SentinelOneはGLBAセーフガードルールに沿って顧客データを保護できるよう精緻な情報セキュリティプログラムを設計して実装し、GLBに準拠しています。
SentinelOneが組織のコンプライアンスニーズをどのように支援できるか
PCIコンプライアンス
SentinelOneマルウェアソリューションは、組織がPCI DSS要件5に準拠するPCI DSSを達成するのに役立ちます。これにより、組織は、悪意のあるソフトウェアによって一般的に影響を受けるすべてのシステムでウイルス対策ソフトウェアまたはプログラムを使用し、定期的に更新する必要があります。
SentinelOneが組織のPCIコンプライアンスにどのように役立つかについて詳しくは、TevoraPCIおよびHIPAAホワイトペーパーをご覧ください。
GLBAコンプライアンス
SentinelOneマルウェアソリューションは、セーフガードルールに沿ったGLBコンプライアンス達成するのに役立ちます。セーフガードルールでは、FTC管轄下の金融機関は顧客情報保護対策をし、FTCコンプライアンス指示に沿って自動更新のウイルス/スパイウェア対策ソフトウェアを用いなければならないと定めています。
