Elasticの製品とサービスのセキュリティ

Elasticのマネージドプロダクト、およびセルフマネージドプロダクトはセキュリティを考慮して開発されており、顧客情報を安全に保つ目的で設計された複数の機能を搭載しています。また、データ保護に関する法律や規制の要件を満たしており、それらを確実に遵守する上でも役立ちます。

  • プライバシー

    Elastic製品を使用して、組織のGDPRコンプライアンスを達成することができます。

    当社が個人データを収集、使用、共有する方法、およびその他の処理を行う方法については、下のプライバシーに関するセクションをご覧ください。

  • Elastic Cloud

    Elasticは世界中のあらゆるリージョン、あらゆる業界で、お客様の価値あるデータを保護し、信頼を寄せられています

  • プロダクト

    Elastic Securityは、SIEM、エンドポイントセキュリティ、クラウドセキュリティなどが統合された保護プラットフォームです。Elastic Stackに組み込まれたデータセキュリティ機能の詳細をご覧ください。

コンプライアンス基準

Elasticは、主要な情報セキュリティ基準およびグローバル規制に準拠した運用に取り組んでいます。セキュリティとコンプライアンスは、Elasticとお客様の間の共有責任です。

当社の各サービスは、プライバシーとコンプライアンスのあらゆる基準を満たすための監査および認定を受けています。

  • PCI DSS

    PCI DSS

    Elasticは、Elastic Cloudのレベル1サービスプロバイダーとして認定されています。

  • FedRAMP

    Elastic Cloudは、米国連邦リスクおよび承認管理プログラムでインパクトレベル“中”の認証を取得しています。

  • CSA STAR

    Elastic Cloudは、Cloud Security Alliance Security Trust Assurance and Risk(略称CSA STAR)プログラムの認証を取得しています。

  • ISO/IEC 27001

    情報セキュリティマネジメントシステム(ISMS)

  • ISO/IEC 27017

    クラウドサービスのプロビジョニングと使用に関するセキュリティ制御

  • ISO/IEC 27018

    個人を特定できる情報(PII)の保護

  • ISAE 3000

    国際保証業務基準(ISAE)No. 3000

  • SOC 2

    受託会社の内部統制

  • SOC 3

    Elastic CloudElasticサポートはすべてSOC 3 要件に準拠しています。

  • TISAX

    Trusted Information Security Assessment Exchange:高度な保護レベル(AL2)として位置づけ

    評価結果を取得するにはENXポータルにログインしてください。アセスメントID:AKZT2N-2/スコープID:S8ZT2N

  • HIPAA

    医療保険の相互運用性と説明責任に関する法律 

  • CyberGRX

    Elasticのサイバーセキュリティリスク体制に関する独立した検証レポート

    Cyber​​GRXレポートのコピーを入手するには、アカウント担当者にお問い合わせください

Elasticのセキュリティ

Elasticは世界中のデータを攻撃から保護するというセキュリティ上の使命に専心しているため、製品とサービスのセキュリティを最優先事項に位置づけています。包括的な情報セキュリティプログラムをたゆまず実施し、技術的および組織的に適切な顧客保護対策を取っています。 

Elasticでは経験豊富なセキュリティ担当者がチームを結成しており、セキュリティ エンジニアリング、脅威検知、インシデントレスポンス、セキュリティ保証、リスクとコンプライアンスなどを含む多様な領域で活動しています。この情報セキュリティチームは、組織全体(特にエンジニアリングチーム)と連携して、テクノロジー面から事業面まで世界クラスのセキュリティを確保しています。 

詳細については、Elastic Cloudのセキュリティに関するページをご覧ください。

Elasticのプライバシー

Elasticは、お客様の個人データの保護に取り組んでいます。その一環として、EUの一般データ保護規則(GDPR)などをはじめとする、世界中のデータ保護に関する法律や規制の要件への準拠対応も行っています。Elastic Cloudでは、データのセキュリティ、機密性、整合性を保護することが契約内容として含まれています。詳細についてはElastic Cloudの標準利用規約と、データプライバシーに関する補遺をご覧ください。また、Elasticはデータを保護するだけでなく、お客様がデータ保護に関する法律や規制の要件に準拠しやすくなるよう支援することも目的としています。Elastic Stackは、プライバシーに関するコンプライアンス目標の達成を支援するために設計されました。

レジリエンシー(回復性)

Elastic Cloudのクラスターは、ホスティングやデータ主権のニーズに対応。主要なクラウドサービスプロバイダーを通じてグローバルに利用できます。お客様は、アベイラビリティゾーンまたはリージョンのフェイルオーバー機能により、高可用性クラスターを実現することができます。Elastic Cloudのステータスページで、アップタイムデータの表示機能とアラートをご利用ください。

脆弱性管理

Elasticは、お客様に影響を与えるセキュリティ脆弱性に迅速に対処し、影響、深刻度、緩和対策に関する明確なガイダンスを提供することに注力しています。セキュリティコミュニティのメンバーおよびお客様と連携することで、当社の製品に影響を与えるセキュリティの脆弱性を把握し、責任を持って迅速にソリューションをリリースしています。Elasticのソースコードと問題の追跡は公開されています。脆弱性を発見された場合は、Elasticの製品とサービスの安全性を保つため、HackerOneバグ報奨金プログラムよりご報告ください 。

カスタマーゼロプログラム

Elasticは、全Elasticソリューションの、特にElastic Securityの熱心なカスタマーゼロです。つまり、当社の製品とサービスは、広く配布される前から実際の本番環境でしっかりとテストされています。Elasticでは、ロギングだけにとどまらない、できるかぎりあらゆるシーンで製品を使用しています。Elasticの情報セキュリティチームはElastic Stackの多様な機能を使用して、セキュリティイベントの作成、監視、検知、対応を日々実施しています。

詳細については、Elastic on ElasticElasticセキュリティに関する記事をご覧ください。

サプライチェーンのセキュリティ

Elasticでは、各ベンダーが当社のセキュリティとコンプライアンスの基準を満たしているかどうかを慎重に評価しています。Elastic Cloudはパートナー企業である主要なIaaS(Infrastructure as a Service)プロバイダーを通じて提供されます。各IaaSプロバイダーは、少なくともSOC 2監査とISO 27001認証を含む独立のサードパーティ監査を定期的に受けてサービスの安全性を示しています。これらの監査レポートと認証は、サードパーティのリスク管理プログラムの一環としてElasticによってレビューされます。

また、Elasticはサードパーティのコードのレビューも実施し、Elastic製品のサードパーティのオープンソースへの依存性リストも公開しています。

セキュリティ上の懸念がある場合は、security@elastic.coまでご報告ください。

PGPキーやその他の詳細については、Elasticのセキュリティ問題のページをご覧ください。