Kaspersky Global Transparency Initiative

「透明性」は、今日、私たちの誰もが信頼するデジタル世界の重要な要素になっています。
当社の透明性への取り組み(Global Transparency Initiative:GTI)には、当社の製品、内部プロセス、事業運営における信頼性の検証と実証について、幅広いサイバーセキュリティコミュニティや関係者と連携するための実行可能で具体的な多くの施策が含まれています。

Kasperskyの透明性への取り組み

Kasperskyは、透明性への取り組みの一つとして、多くの地域のデータの処理と保管をスイスに移転しました。また、最初のトランスペアレンシーセンターもスイスに開設しました。

User Data

脅威データをスイスで処理・保管

ヨーロッパ、米国、カナダ、アジア太平洋地域の複数の国のカスペルスキー製品ユーザーから同意を得て収集した脅威に関するデータは、スイスのサーバーで処理し、保管しています。

スイスが長きにわたり維持してきた中立性は、当社のマルウェア検知ポリシー(いかなるマルウェア攻撃も検知して無害化する)と共通しています。また、スイスは強固なデータ保護法を施行しています。

Transparency Center

トランスペアレンシーセンター

信頼できるパートナーや政府関係者が、当社製品のソースコード、ソフトウェアのアップデート、脅威検知ルールをレビューすることができる施設です。チューリッヒ(スイス)、マドリード(スペイン)、クアラルンプール(マレーシア)、サンパウロ(ブラジル)、ブランズウィック(カナダ、予定)にトランスペアレンシーセンターを設置しています。

Software Assembler

独立機関によるレビュー

当社のソリューションとプロセスの整合性を検証するための、第三者機関による内部プロセスのアセスメントを実施しています。
• 4大会計事務所の1社によるSOC 2監査
• データセキュリティシステムのISO 27001認証

How it works

トランスペアレンシーセンターの役割

トランスペアレンシーセンターは、信用できるパートナーが、当社製品のソースコード、ソフトウェアのアップデート、脅威検知ルール、そのほかの活動を確認できる施設です。このセンターを通じ、安全な環境で外部評価を受けるために不可欠な重要な技術文書を含む当社製品とそのセキュリティに関する情報を、パートナー企業や政府機関に提供しています。また、信頼できるステークホルダーが、当社のポートフォリオ、エンジニアリング、データ処理手法について詳細に知ることができるブリーフィングセンターの役割も持ち合わせています。

トランスペアレンシーセンターは、チューリッヒ、マドリード、クアラルンプール、サンパウロに設置しています。2021年には5つ目の、北米に特化したトランスペアレンシーセンターを、CyberNB Associationと共同で、カナダのニューブランズウィックに開設します。

トランスペアレンシーセンターでは、当社製品のソフトウェアをソースコードからコンパイルし、公開されているコードと比較することができます。

透明性への取り組みを、ここまで実施しているサイバーセキュリティ企業はほかにはありません。トランスペアレンシーセンターの開設により、当社の保護テクノロジー、インフラストラクチャ、データ処理手法の完全な透明化に向けて、大きな一歩を踏み出しています。

トランスペアレンシーセンターの利用や詳細については、 TransparencyCenter@kaspersky.comにお問合せいただくか、こちらをご覧ください。



第三者の専門家によって確認されたセキュリティ対策

「4大会計事務所」によるSOC 2評価

4大会計事務所の1社が、「Service Organization Controls for Service Organizations(SOC 2)Type 1」に従い、当社ソリューションのセキュリティと処理の完全性について監査を実施しました。

最終報告書では、当社の脅威検知ルールのデータベース(定義データベース)の開発とリリースが、強力なセキュリティ統制によって不正な変更から保護されていることが確認されました。
詳しくはこちらをご覧ください。

aicpa soc


TÜV AUSTRIAによるISO/IEC 27001:2013

情報セキュリティマネジメントシステムの国際規格であるISO/IEC 27001:2013認証の取得は、当社の強力なデータセキュリティへの取り組みとデータサービスが、業界のベストプラクティスに完全に準拠していることを示しています。

第三者認証機関であるTÜV AUSTRIAによって、Kaspersky Security Network(KSN)を含む当社のデータセキュリティシステムが、業界のデータプライバシー基準を満たしていることが、確認されました。
詳しくはこちらをご覧ください。

tuv austria

厳格なプライバシー保護

当社の最新のデータ保護対策は、最高レベルの業界標準に従って実装されており、カスペルスキー製品やサービスで処理される情報に極めて高いレベルのセキュリティを提供しています。お客様のデータを保護するための手順の改善にも継続的に取り組んでいます。

ヨーロッパ、米国、カナダ、アジア太平洋地域*の複数の国でカスペルスキー製品のユーザーから同意を得て共有された、悪意あるファイルや疑わしいファイルは、チューリッヒにある2か所のデータセンターで処理、保管されます。これらのデータセンターは、業界標準に準拠した世界最高レベルの設備を備えており、高度なセキュリティを確保しています。

さらに、当社がKaspersky Security Network(KSN)インフラストラクチャを利用した悪意のあるファイルや疑わしいファイルの情報配信、および当社の分散ファイルシステム(KLDFS)にそれらのファイルを安全に保管、アクセスする際に、ISO/IEC 27001:2013規格に準拠した管理システムを使用していることを、第三者認証機関のTÜV AUSTRIAが認証しています。これには、スイスのチューリッヒ、ドイツのフランクフルト、カナダのトロント、ロシアのモスクワにある当社のデータセンターが含まれます。詳しくはこちらをご覧ください。

* 日本、オーストラリア、ニュージーランド、バングラデシュ、ブルネイ、カンボジア、インド、インドネシア、韓国、ラオス、マレーシア、ネパール、パキスタン、フィリピン、シンガポール、スリランカ、タイ、ベトナム。


透明性に関するレポート

当社は、サイバーセキュリティに関する技術的な専門知識とユーザーデータの2つのカテゴリで、世界各国の法執行機関と政府機関からのリクエストに対応する際の方法を公開しています。また、国別のリクエスト件数も開示しています。

2020年および2021年上半期の法執行機関や政府機関からのリクエストへの対応手順や詳細は、こちらのレポートでご覧いただけます。

カスペルスキー製品ユーザーから受けたリクエストに関する詳細は、こちらからご覧いただけます。


透明性への取り組みに関する最新ニュース

このセクションでは、透明性への取り組みの一環である、スイスへの脅威に関するデータ移転やそのほかの活動に関する最新情報をお知らせします。定期的に更新情報と進捗レポートを掲載します。


お客様からの質問にお答えします

  • なぜ透明性が重要なのですか?

    サプライチェーンの問題と「バルカニゼーション(分断化)」は、緊密につながった今日のグローバル環境のセキュリティにとって大きな課題です。それらを克服するために、世界はサイバーセキュリティにおける信頼と透明性を必要としています。当社は、企業が信頼を獲得し維持するために、製品や事業運営の透明性を高める必要があると考えています。新たな施策では、Kasperskyの「グローバルな透明性への取り組み」の総合的な枠組みの中で、目に見える具体的なステップを実践することで、それらの目標を達成するためのアプローチを実証します。

  • 「グローバルな透明性への取り組み」について説明してください

    当社の最も重要なステークホルダーであるお客様からの信頼を獲得し、維持する当社の取り組みを再確認するものです。これには、実行可能で具体的な多数の施策が含まれます。その目的は、社外の独立したサイバーセキュリティの専門家などに、カスペルスキー製品、社内プロセスや事業運営の信頼性の検証および確認に参加いただき、当社があらゆるセキュリティ問題に迅速かつ徹底的に対処することを実証するための、追加の説明責任を果たす仕組みを導入することです。

    透明性への取り組みの一環として、Kaspersky Security Network(KSN)でユーザーの同意を得て共有されたデータの処理と保管を、ロシアからスイスに移転しました。

    また、信頼できるパートナー企業や政府関係者がカスペルスキー製品のソースコード、ソフトウェアのアップデート、脅威検知ルールを確認するための施設であるトランスペアレンシーセンターを世界各地に開設しました。これらは、当社のエンジニアリングとデータ処理手法について詳細に学習できるブリーフィングセンターとしても機能します。現在、チューリッヒ(スイス)、マドリード(スペイン)、クアラルンプール(マレーシア)、サンパウロ(ブラジル)に開設しています。2021年中に、カナダのニューブランズウィックにも開設する予定です。

  • なぜインフラストラクチャの移転を決定したのですか?

    この移転の目的は、データのセキュリティと完全性について高レベルの世界標準を維持しながら、データの処理と保管を中立的な地域に移転することで、お客様の懸念に対処する姿勢を示すことです。

    このような活動は、お客様へのサービスにおけるカスペルスキーソリューションの完全性と信頼性を保証し、規制当局のあらゆる懸念に対処するという当社の絶え間ない取り組み姿勢も示しています。

  • 一部の国のデータをスイスに移転せず、ロシアで処理するのはなぜですか? データ処理の移転について、どのような原則に基づいて対応する国を決めたのですか?

    各国のデータ処理の移転に関する決定は、市場の特性、顧客の要求、地域の規制に基づいています。ヨーロッパ、米国、カナダ、アジア太平洋地域の複数の国の顧客向けに、データの処理と保管をスイスに移転しました。

  • スイスへのデータ移転は、ほかのユーザーのデータにどのように影響しますか?

    データ処理に関しては、スイスとロシアの間に違いはありません。どちらの地域でも、利用者のプライバシーを尊重し保護するという基本原則を遵守し、厳格なポリシーを適用して、ユーザーのデータを処理するための統一したアプローチを使用します。

  • トランスペアレンシーセンターでは何がレビューや評価の対象になりますか?

    信頼できるパートナーがレビューできるのは、 カスペルスキー製品のソースコード、ソフトウェアのアップデート、脅威検知ルールです。

    トランスペアレンシーセンターの主な機能は次のとおりです。

    - 安全なソフトウェア開発ドキュメントへのアクセス
    - 公開されている製品のソースコードへのアクセス
    - 脅威検知ルールのデータベースへのアクセス
    - カスペルスキー製品のお客様データの受信と保管に使用する、クラウドサービスのソースコードへのアクセス
    - 製品開発に使用されるソフトウェアツール(ビルドスクリプト)、脅威検知ルールのデータベース、クラウドサービスへのアクセス

    当社では、カスペルスキー製品を独自に評価していただくために、政府機関と企業ユーザーに3つのオプションを用意しています。現在は移動や訪問が制限されている厳しい状況のため、お客様やパートナー企業はソースコードをリモートで確認することもできます。詳しくはこちらをご覧ください。

  • 誰がレビューや評価を実施できるのでしょうか?

    チューリッヒとマドリードのトランスペアレンシーセンターは、信頼できるパートナーや政府関係者が検査に利用できます。詳細については、アクセスポリシーをご覧ください。

  • SOC 2 Type 1レポートとは何ですか?

    SOC 2 Type 1レポートの目的は、サービス受託組織での内部統制の設計と実施について、その保証を必要とする既存または潜在的な顧客ニーズに対応するものです。レポートでは、サービス受託組織が顧客の情報を処理するために使用するシステムのセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーに関連する統制について確認することができます。

  • 「グローバルな透明性への取り組み」の今後の方向性を教えてください。

    今後もセキュリティコミュニティと協力して、透明性と説明責任を優先し、最新のソフトウェア製品のセキュリティを強化することで、お客様の信頼をさらに高めていきたいと考えています。当社は、複数のステークホルダーが協力して取り組むことで、テクノロジーに対する信頼と信用を高めることができるという信念を持っています。透明性の原則について詳細は、こちらをご覧ください。

  • 各国の法執行機関とはどのように連携していますか?

    当社は、世界中のサイバーセキュリティの利益を最優先として国、地域、INTERPOLのような国際的な法執行機関とも連携しています。サイバー犯罪捜査を支援するために、各国の法に則り、技術的な助言や専門的なマルウェア解析などを行なっています。また、当社の専門知識だけでなく、サイバー犯罪の調査中に判明したマルウェアに関する知見や技術的発見、技術的分析も公開しています。

  • ユーザーデータに関する法執行機関からのリクエストには、どのように対応していますか?

    全てのリクエストに対して必ず法的な検証を実施します。これは、ユーザーを保護してセキュリティとプライバシーを確保し、適用される法令と手続きを確実に遵守するための規定ルールです。リクエストで必要になるのは以下のとおりです。

    - 法的な正当性がある
    - 適用される法律および法手続きに従って発行されている
    - 上記の原則に則っている
    - 技術的に実行可能である
    - その実施により当社のユーザーのセキュリティまたはプライバシー、カスペルスキー製品やサービスの完全性が影響を受けない

    リクエストが上記の5つの基準を満たしていない場合、当社はリクエストの拒否、リクエストに対する申し立て、あるいは追加説明を求めます。法により許可されている場合は、データ要求の対象となったユーザーに事前に通知します。すべてのリクエストはログに記録され、それらに関する情報はこちらに公開されます。