2019年7月24日

Kaspersky、内部統制を評価する保証基準SOC2 Type1監査報告書を受領

Kasperskyはこのたび、4大会計事務所の1社によるSOC2 Type1監査を成功裏に完了しました。最終報告書では、Kasperskyの脅威検知ルールデータベース(アンチウイルス定義データベース)の開発とリリースが、強力なセキュリティ統制によって不正な変更から保護されていることが確認されています。

[本リリースは、2019年7月11日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyはこのたび、4大会計事務所の1社によるSOC2Type1監査を成功裏に完了しました。最終報告書では、Kasperskyの脅威検知ルールデータベース(アンチウイルス定義データベース)の開発とリリースが、強力なセキュリティ統制によって不正な変更から保護されていることが確認されています。また、Global Transparency Initiativeの新たな進捗状況についてもお知らせします。

SOC(Service Organization Controls)のレポートフレームワークは、サイバーセキュリティのリスクマネジメント統制に関し世界的に認められており、米国公認会計士協会(AICPA)がセキュリティ統制の効果的な設計と導入について、顧客に情報提供するために開発したものです。Kasperskyはお客様に対する責任を持つ透明性のある企業として、カスペルスキー製品の信頼性を実証し、AICPAが定めたTrustサービスの原則と基準(セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシー)に従って行動していることを実証するために、この基準を利用しました。

4大会計事務所の1社によってSSAE 18基準に則り実施された監査では、KasperskyがWindowsサーバーおよびUnixサーバーで稼働する製品向けに作成し、配信するアンチウイルス定義データベースの定期自動アップデートに対する内部統制も対象になっています。最終報告書には、特定の日付における、上述の統制の適切性およびその適切な運用について明記されています。契約条件により、監査を実施した4大会計事務所の1社の名前を開示することはできませんが、SOC2 Type1報告書における上述の責任および要件に関する主な情報については、ご要望に応じて開示可能です。詳しくはこちらをご覧ください。

Kaspersky CTOのアンドレイ・エフレーモフ(Andrey Efremov)は次のように述べています。「カスペルスキー製品のセキュリティは、まさに当社の最優先事項の1つです。この第三者による監査を完了したことで、お客様に製品のセキュリティを保証し、研究開発プロセスや統制の信頼性を示せることを誇りに思います。本監査により、当社の透明性を実証するための取り組みが、また1歩前進しました」

本監査は、Kasperskyが2017年に発表したGlobal Transparency Initiativeの一環として実施されました。これは、お客様とパートナー企業に対して、カスペルスキー製品とサービスがサイバー脅威からの保護の面で秀でているだけでなく、細心の注意と敬意を払ってお客様の脅威に関するデータを取り扱っていることをさらに保証するための取り組みです。当社はお客様の脅威に関するデータの保管と処理をスイスへ移転することをコミットしており、現時点で、欧州ユーザーのデータ移転の第2段階を終え、2019年末までに完了する予定です。

Kasperskyはデータの移転に加えて、2020年までに3か所にTransparency Centerの設置を進めています。また、バグ報奨金プログラム(Bug Bounty Program)を継続し、さらに、当社の透明性と信頼性の向上を目指したほかの複数のプロジェクトにも取り組んでいるところです。

■ Global Transparency Initiativeの進捗状況

  • バグ報奨金プログラム:当社は、バグ報奨金プログラムを継続しています。最近では、Imaginaryチームのリサーチャーに対して、このプログラムで過去最大となる$23,000の報奨金を支払いました。同チームが、第三者がユーザーのPC上でシステム権限を使用して任意のコードを遠隔実行できる可能性のあるセキュリティ問題を発見したためです。このバグについては即座に修正されました。Kasperskyは、Imaginaryチームからの報告と当社製品の改善点への助言について感謝の意を表します。
  • 脆弱性リサーチャー向けのセーフハーバー:当社は、Disclose.ioフレームワークに対応しています。このフレームワークは、脆弱性リサーチャーが、自分が発見した事柄によって法的に不利な結果が生じることへの懸念に対して、「セーフハーバー」(法令違反にはならないとされる範囲)を提供するものです。当社は、社外の専門家が当社製品の脆弱性を発見し報告することで貴重な助言が得られると理解しており、脆弱性の報告について公平に対処されるようさらに保証する用意があります。
  • Transparency Centerを複数か所に設置:チューリッヒのTransparency Centerに続き、2019年6月に2か所目のセンターをマドリードに開設、運用を開始しています。同センターでは、Kasperskyのお客様とパートナーおよび政府関係者が、チューリッヒのセンターと同様にソースコードレビューができるほか、当社のデータ処理の手法や当社製品の機能のセキュリティについて、個別に説明を受けることができます。
  • 法執行機関をサポートする、脅威インテリジェンスの提供:当社は、サイバーセキュリティベンダーとしては初めて、法執行機関向けの高度なサービスを無償提供することを発表しました。この独自のアプローチは、国境のないサイバー犯罪に法執行機関が立ち向かうことをサポートする目的で開発し、脅威インテリジェンスレポート、脅威データフィード、Automated Security Awareness Platform(Kaspersky ASAP)の3つのサービスを含んでいます。法執行機関にこれらサービスを無償提供することで、Kasperskyのサービスの運営方法や、サイバー犯罪および高度なサイバー脅威に対する闘いへの貢献について、認識を高めてもらうことを目指しています。このサービスの詳細については、こちらをご覧ください。

Kasperskyは、今後もGlobal Transparency Initiativeの展開を続け、定期的に最新情報を提供してまいります。