Kaspersky、透明性への取り組み開始から5年を経て、新たな拡大計画を発表

[本リリースは、2023年6月27日にKasperskyが発表したプレスリリースに基づき作成したものです]

当社が「透明性への取り組み（Global Transparency Initiative：GTI）」を2018年に開始してから今年で5年となりました。GTIは、サプライチェーンのリスクに取り組むための業界標準の設定を目指す当社の重要なプログラムです。現在、サードパーティ製ソフトウェアの使用に関連するリスクへの注目が高まり、EUサイバーレジリエンス法（European Cyber Resilience Act）などの規制法案も登場し、企業や規制当局は使用するソフトウェアの安全性により強い関心を持っています。このような状況を受けて、当社のGTIの取り組みをさらに発展させる計画を発表します。法人顧客やパートナーが、当社製品のソースコード、ソフトウェアアップデート、脅威検知ルールなどを確認することができるトランスペアレンシーセンターを、中東とアフリカに新たに開設します。また、ソースコードレビューの対象を、法人向けオンプレミスソリューションの全てに拡大します。

当社は、提供する当社ソリューションの信頼性を提示し、また、サイバーセキュリティ業界全体で透明性の基準を推進することを目指してGTIを発展させ、規模を拡大してきました。これまでに、当プロジェクトに投資した総額は790万米ドルに上ります。GTIは六つの柱で構成しており、データの移転、トランスペアレンシーセンターの開設、第三者機関による定期的な監査、脆弱性（ぜいじゃくせい）管理プログラム、セキュリティ評価の概要を学ぶことができるCyber Capacity Building Program（CCBP）、透明性レポートが含まれています。

GTI立ち上げ当初の活動の一つに、カスペルスキー製品ユーザーから受け取ったサイバー脅威関連のデータを、強固なデータ保護と中立性で知られるスイスのデータセンターに移転したことが挙げられます。現在では、ヨーロッパ、北米、ラテンアメリカ、中東、およびアジア太平洋地域の複数の国のカスペルスキー製品ユーザーのサイバー脅威関連のデータは、スイス・チューリッヒにある二つのデータセンターで保管され処理されています。

今後、GTIの取り組みをさらに発展させる次の活動を予定しています。
・トランスペアレンシーセンターを新たに中東とアフリカに開設
2024年半ばまでに、中東とアフリカにそれぞれ初のトランスペアレンシーセンターを開設します。また、アジア太平洋地域にも、既設の東京、シンガポール、マレーシアに加え、新たにセンターを設置する予定です。トランスペアレンシーセンターのグローバルネットワークをさらに拡大していきます。
当社の法人顧客やパートナー、政府規制当局のサイバーセキュリティ担当者が、当社製品のソースコード、ソフトウェアアップデートや脅威検知ルール、および当社の内部プロセスについて詳細を確認できるトランスペアレンシーセンターは、2018年のデータ移転の開始と同時に設置を始めました。2018年11月に最初のセンターをチューリッヒに開設し、その後、ヨーロッパ、北米、ラテンアメリカ、アジア太平洋地域に8カ所のセンターを設置し、現在では合計9カ所となりました。これまでに、世界各国の規制当局や企業など約60の団体の利用がありました。

・ソースコードレビュー対象を、法人向けオンプレミスソリューション全般に拡大
トランスペアレンシーセンターで実施できる、製品のソースコードレビューの対象範囲を拡大します。これまでは代表的な個人向け製品と法人向け製品が対象でしたが、2023年7月より、オンプレミスとして提供する法人向けソリューションの全てを対象とします。この背景として、代表的な製品以外の製品のソースコードも確認したいとの要望が増えたことがあります。このほかにもセンターでは、EUサイバーレジリエンス法案に示される勧告事項に関連した設計文書や脅威モデルなどを対象とし、カスペルスキー製品の自己認証結果を新たに確認できるようになります。

そのほかのGTIの主な取り組みをご紹介します。
・第三者による定期的な監査の実施
定期的な監査を受け、当社ソリューションのセキュリティを検証しています。2019年以降、当社のデータ管理システムは、情報セキュリティマネジメントシステムの国際規格であるISO/IEC 27001:2013 に従った定期的な認証を受け、当社が強力な情報セキュリティを施行できること、および当社のデータサービスが業界最高レベルに準拠していることを確認しています。さらに、定期的に第三者の監査機関によるSOC 2監査を受け入れ、アンチウイルスの定義データベースの開発と配布のプロセスをレビューし、セキュリティが確保されていること、および不正な変更から保護されていることを検証しています。

・透明性レポートを定期的に公開
技術的な専門知識とユーザーデータについて、法執行機関および政府機関から受けたリクエストへの対応状況を定期的に公開しています。2022年下半期の最新レポートでは、6カ国の政府および法執行機関（LEA）から受けた合計37件の対応について公開しています。リクエストの内訳は、技術情報・専門知識（不正アクセスの痕跡（IoC）、サイバー攻撃者の手口に関する情報、マルウェアのリバースエンジニアリング、フォレンジック分析の結果など）が33件で、そのうち23件に対応しました。ユーザーデータに関するリクエストは4件で、1件に対応しました。残りのリクエストは、データが存在しない、あるいは法的な検証要件を満たしていなかったため拒否しました。

・バグ発見報奨金プログラムの実施
当社製品の最も重大な脆弱性やバグの発見に対して報奨金を支払うプログラムでは、現在、最大10万米ドルの報奨金が支払われます。2018年3月以降、軽微な脆弱性について55件の報告があり、それに対してパッチ適用を実施しました。これまでに当社が支払った報奨金は総額で7万7,450米ドルに上っています。

・Cyber Capacity Building Program（CCBP）
当社の専門家が提供するCCBPは、さまざまな組織がICT製品のセキュリティを評価するための仕組みとスキル向上を支援するプログラムです。世界中の幅広いコミュニティーの支援を目的とし、セキュアなコードレビューやコードファジングなどの方法が学べます。2020年以降、六つの政府機関が当プログラムを受講しました。

Kasperskyの最高技術責任者 アントン・イワノフ（Anton Ivanov）は次のように述べています。「当社はユーザーデータの保護方法を常に検討し、最高レベルの業界標準に従ってデータ管理対策を実施するという統合的なアプローチを取り、第三者の監査機関によって、そのアプローチを検証しています。データ保管と処理には業界標準に準拠したワールドクラスの施設を使用しています。このような観点から、当社製品ユーザーの皆様は、データのセキュリティとプライバシーについて安心していただきたいと考えています」

■ GTIについて詳しくは「KASPERSKYの透明性への取り組み」でご覧いただけます。