Kaspersky、SOC 2の再監査を成功裏に完了、保証報告書を受領

[本リリースは、2022年5月18日にKasperskyが発表したプレスリリースに基づき作成したものです]

最高水準のセキュリティ原則に取り組んでいるKasperskyでは、このたび、世界的規模の四大会計事務所の一社によるSOC 2 Type1の再監査を完了しました。この評価により、Kasperskyのアンチウイルスベースの開発とリリースプロセスが、セキュリティ統制によって不正な変更から保護されていることが再確認されました。

米国公認会計士協会（AICPA）によって開発されたService Organization Controls（SOC）報告書のフレームワークは、組織のセキュリティ統制がAICPAのTrustサービス基準（TSC）の五つの対象範囲である、セキュリティ、可用性、処理のインテグリティ、機密性、プライバシーに準拠していることを保証する報告書です。当社は、透明性への取り組み（Global Transparency Initiative：GTI）の一環として、2019年に初めてSOC 2 Type 1の監査を受けました。

2019年の監査以降、当社では新たなセキュリティツールや統制を導入したことから、今回は前回よりも監査の範囲を拡大して監査が行われました。2022年1月下旬に開始された監査は、4月下旬に無事に終了しました。今回の監査では、脅威検知ルール類で構成されるアンチウイルスベースの開発とリリースに関する当社のポリシーと手順、そのプロセスで使用するインフラのネットワークセキュリティおよび物理的なセキュリティ、そして当社の担当チームが使用するモニタリングツール類が特に詳細に調査されました。また、アンチウイルスベースのリリースプロセスの利用規約を、当社の従業員やお客様に伝達する方法も監査の対象となりました。

監査の結果、WindowsとUnix OSシステムのアンチウイルスベースについて、その開発およびリリースプロセスを保護する当社の内部統制は、TSCが定める五つの対象範囲全てに適合するように適切に設計されていると結論づけられました。報告書の全文は、ご要望に応じ当社のお客様に提供しています。

Kasperskyの最高技術責任者 アントン・イワノフ（Anton Ivanov）は次のように述べています。「ハイクラスなサイバーセキュリティソリューションを提供する当社のエンジニアリング業務のインテグリティとセキュリティが再び認められたことを誇らしく思います。お客様やパートナー様のセキュリティと信頼は私たちにとって重要な優先事項であり、今回の新たな評価によって必要な保証を提供し、また、当社が提供しているソリューションやサービスの信頼性も検証するものです。この報告書は、インフラをプロアクティブに保護し、お客様とパートナー様のセキュリティを保証するという当社のコミットメントが認められたとも言えます」

今回のSOC 2 Type 1報告書の更新はGTIの幅広い活動の一つであり、説明責任に対する当社の継続的な取り組みを示すものです。当社のステークホルダーが、当社製品のソースコードやソフトウェアのアップデート、脅威検知ルールを確認できる施設としてトランスペアレンシーセンターの運営を業界の中でも先駆けて開始しました。また、当社のエンジニアリング業務やデータサービス、既存の各種業界規格への準拠について、第三者の独立機関による評価を定期的に受けており、今年2月にはISO 27001認定も更新しています。ISO 27001は、国際的に認知および適用されるセキュリティ規格で、認定証は独立認証機関のTÜV AUSTRIAから発行されています。

・当社の透明性への取り組み「Kaspersky Global Transparency Initiative」についてはこちらをご覧ください。