カスタマートラストポータル

シマンテックの情報セキュリティポリシー、顧客データの保護についての基準と保証プログラムに関する情報およびリソースをご覧ください。

セキュリティプログラムの概要

シマンテックのビジネスの根幹を成す信頼

プライバシーと個人データを保護する取り組み

最も価値の高い資産を守ることはビジネスの中心であり、シマンテックはお客様のデータとそのデータが表す個人のプライバシーの保護に常に警戒しています。

  • シマンテックの活動の中心はデータとその保護です。シマンテックのビジネスはセキュリティ、コンプライアンス、説明責任を基盤として構築されており、お客様の最重要資産を保護します。
  • シマンテックは EU の一般データ保護規則(GDPR)およびプライバシー権の保護に対応しています。
  • プライバシーは基本的人権であり、個人データの保護は、自社データ、お客様のデータ、パートナー様のデータのいずれかを問わず、シマンテックが企業責任を果たす取り組みの一環でもあります。
グローバル証明書管理

カスタマートラストオフィス

カスタマートラストオフィスは、セールスプロセスの中でシマンテックのお客様のデューデリジェンス要件をサポートし、さらにはシマンテックの情報セキュリティポリシー、活動、製品保証についてお客様に十分な見識を提供する上で重要な役割を果たします。グローバルセキュリティオフィス(GSO)内にあるこのチームは、セールス、法務、製品の各チームと連携し、情報セキュリティアセスメント(「ISA」)に関するお客様からの質問に回答したり、製品保証の文書(ISO 27001認定、SOC 監査レポート、侵入テストの証拠、脆弱性スキャンの結果など)を提供したりします。

詳細はこちら

セキュリティ証明書

プライバシーに関する声明

シマンテックのプライバシーに関する声明では、シマンテックが Web サイト経由で収集する情報の種類、情報の使用方法、情報を共有する相手について説明しています。また、情報を保護するためにシマンテックがとっているセキュリティ対策について説明しています。さらに、利用者の情報を更新したい、シマンテックのメール送信リストから利用者の氏名を削除したい、シマンテックのプライバシー取扱準則に関する質問の回答を得たい場合の、シマンテックへの連絡手段についても記載しています。

Learn More

情報セキュリティポリシーと基準

シマンテックの情報セキュリティポリシーと基準は、ISO、CSA、NIST/IEC 27001、SOC 2、PCI などの業界標準に準じています。これらのポリシーと基準は、年に 1 度(必要に応じて)見直され更新されます。情報セキュリティに関する以下の領域は、シマンテックの情報セキュリティポリシーと基準の対象となります。

  • リスク管理とコンプライアンス
  • セキュリティトレーニングと意識向上
  • パーソナルセキュリティ
  • データの分類と保護
  • 暗号化と鍵管理
  • セキュリティインシデント管理と対応
  • サプライチェーンのリスク管理
  • 論理的なアクセス制御
  • 職場とデータセンターのセキュリティ
  • エンドポイントセキュリティ
  • アーキテクチャとクラウドセキュリティ
  • 変更管理
  • 資産管理
  • 製品開発と運用セキュリティ
  • ビジネスの回復性とディザスタリカバリ
  • データバックアップと復旧
  • 許容される利用とメディアの取り扱い
  • 脆弱性とパッチ管理
  • セキュリティの監視

ミッション

シマンテックの証明書に関する専門家を含むグローバルスタッフは、グローバル証明書のベストプラクティスに関する意識を高めるために積極的に活動しており、シマンテック製品の証明書の取得および維持に必要なビジネスおよび技術的な手続きを紹介し、シマンテックの製品チームに包括的なガイダンスとサポートを提供しています。

証明書に関するサポート、およびさらに支援が必要な場合は、Joan Barbieri  まで電子メールでお問い合わせください。

シマンテックの証明書

共通基準

国際共通基準承認協定(CCRA)には、情報技術製品の評価および情報の保証とセキュリティの保護プロファイルに関する統一アプローチに合意する 26 カ国が参画しています。この協定によって購買判断の明確化、評価の精度向上、セキュリティと機能のより良いバランス、製品入手までの期間の短縮が可能になるため、メンバー国の政府機関およびその他 IT 製品の顧客にメリットをもたらします。

この共通基準は国際基準である ISO/IEC15408 および ISO/IEC 18045 の基盤であり、以下のようなフレームワークを形成しています。

  • 保護プロファイルの使用により、政府、軍などのユーザーは、セキュリティの機能保証の要件を指定できます。
  • ベンダーは自社製品のセキュリティ特性について、国際基準を満たす機能を実装(または実装していると主張)することができます。
  • テストラボは製品を評価し、実際に主張通りの仕様になっているかを判断できます。

出典: Common Criteria IT Security Evaluation & the National Information Assurance Partnership

詳しくは、National Information Assurance Policy および Common Criteria をご覧ください。

続きを表示
閉じる

 

Federal Identity, Credential and Access Management(FICAM)

FICAM TFS は米連邦政府のための ID 連携フレームワークです。このフレームワークには、市民および法人向けの安全かつ円滑なオンラインサービス提供を可能にするためのガイダンス、プロセス、サポートインフラが含まれます。

NSL IDEF 認定も取得しています。IDEF とは、Identity Ecosystem Framework バージョン 1.0 を指します。この正当かつ有効な認定書は、公共機関と民間市場のどちらにも対応しています。

以下のノートン セキュアログインおよび証明書パッケージは GSA によって運営されている FICAM プログラムに対応しています。 承認されたアイデンティティプロバイダの一覧についてはこちらをご覧ください。

詳しくは、Adam Madlin にお問い合わせください。

連邦情報処理規格 140-2(FIPS 140-2)

FIPS 140-2 製品ステータス

連邦情報処理規格 140-2(FIPS 140-2)の認証は、連邦政府関連の市場で暗号化を用いた製品を販売するベンダーにとって重要なものです。貴社の IT 製品がなんらかの形式の暗号化を利用している場合、連邦機関または DoD 施設に製品を販売および設置する前に、米国立標準技術研究所(NIST)およびカナダ通信安全保障機構(CSE)が共同で運営する暗号化モジュール評価・認証制度(CMVP)の FIPS 140-2 基準に対する認証が必要になる可能性があります。

FIPS 140-2 は、取扱注意であるが機密扱いしない(Sensitive, but Unclassified - SBU)情報を取り扱う IT 製品が満たすべき米連邦政府指定の要件を説明しています。基準は NIST が発行、CSE が採用し、CMVP 傘下の機関が共同で管理しています。

この基準は、IT システム内の未分類情報を保護するセキュリティシステムで使用されている暗号化モジュールが満たすべきセキュリティ要件を定義しています。セキュリティはレベル 1(最低)からレベル 4(最高)までの 4 つのレベルに分けられています。これらのレベルは、暗号化モジュールが配備される可能性のある広範なアプリケーションと環境をカバーすることを目的としています。セキュリティ要件は、暗号化モジュールの安全な設計と実装に関連する領域をカバーします。これらの領域には、基本設計と文書、モジュールのインターフェース、権限を与えられた役割とサービス、物理的セキュリティ、ソフトウェアセキュリティ、オペレーティングシステムセキュリティ、鍵管理、暗号化アルゴリズム、電磁妨害/電磁両立性(EMI/EMC)、セルフテストが含まれます。 NIST のリンクなど、FIPS 140-2 の要件に関する追加情報については、こちらをご覧ください。

認証済みシマンテック製品の一覧

下記の一覧では、シマンテック製品が以下のステータスのいずれかであることを示しています。

  • FIPS 140-2 認証済み
    • 製品が既存の暗号化モジュール(シマンテックまたはサードパーティ製)を使用し、「プライベートラベル」としての認証プロセスを経ているもの
  • 準拠
    • 認証済みの既存のサードパーティ製モジュールを使用しているが、NIST から明確に個別の認証を取得していないもの
  • 該当なし
    • 暗号化モジュールを含まない製品
  • 現時点ではなし
    • 暗号化モジュールを使用しているが、現時点では FIPS 140-2 認証を取得していない製品

製品ラインが流動的であるため、以下に掲載されているある時点での情報の正確性は保証いたしかねますが、製品ごとの現在のステータスまたは FIPS 140-2 ステータスを最新の情報に保つよう努力いたします。シマンテックは、自社のソフトウェアおよびハードウェア製品、サービスまたはアプライアンスソリューションすべてについて、FIPS 140-2 要件への準拠またはその認証については保証いたしかねます。

以下の FIPS 140-2 のステータスまたは内容に関するお問い合わせ、または、FIPS 製品ステータスの最新情報についてはこちらにお問い合わせください

FIPS 準拠のシマンテック製品

シマンテック製品名 ステータス 暗号化モジュールの有無 暗号化モジュールの種類
Data Center Security 6.6 FIPS 準拠 はい BSAFE 導入 OpenSSL (証明書番号 1058
IT Management Suite 8.0 FIPS 準拠 はい  
Critical System Protection 7.x FIPS 準拠 はい  
続きを表示
閉じる

 

FIPS 認証済みシマンテック製品

シマンテック製品名 ステータス 暗号化モジュールの有無 暗号化モジュールの種類
Data Loss Prevention 12.5 FIPS 認証済み はい

Symantec Java Cryptographic Module(認証済み証明書番号 2138

Symantec DLP Cryptographic Module(認証済み証明書番号 2318

Data Loss Prevention 14.0 FIPS 認証済み はい

Symantec Java Cryptographic Module(認証済み証明書番号 2138

Symantec DLP Cryptographic Module(認証済み証明書番号 2318

Data Loss Prevention 15.0 FIPS 認証済み はい

Symantec Java Cryptographic Module(認証済み証明書番号 3082

Symantec DLP Cryptographic Module(認証済み証明書番号 2318

暗号化 - Desktop Email Encryption 10.3 FIPS 認証済み はい Symantec PGP SDK 4.2.1(証明書番号 1684)
暗号化 - Drive Encryption 10.3 FIPS 認証済み はい Symantec PGP SDK 4.2.1(証明書番号 1684) 
暗号化 - Symantec Endpoint Encryption 11.1.1 FIPS 認証済み はい PGP Cryptographic Engine 4.3
暗号化 - File Share Encryption 10.3 FIPS 認証済み はい Symantec PGP SDK 4.2.1(証明書番号 1684) 
暗号化 - Gateway Email Encryption 3.3 FIPS 認証済み はい Symantec PGP SDK 4.2.1(証明書番号 1684)
暗号化 - Management Server 3.3 FIPS 認証済み はい Symantec PGP SDK 4.2.1(証明書番号 1684)
暗号化 - Mobile Encryption FIPS 認証済み はい Symantec PGP SDK 4.2.1(証明書番号 1684)
暗号化 - PGP Command Line 10.3 FIPS 認証済み はい Symantec PGP SDK 4.2.1(証明書番号 1684)
暗号化 - PGP Key Management Client Access 10.3 FIPS 認証済み はい Symantec PGP SDK 4.2.1(証明書番号 1684)
暗号化 - PGP Key Management Server 3.3 FIPS 認証済み はい Symantec PGP SDK 4.2.1(証明書番号 1684)
Endpoint Protection 12.1 FIPS 認証済み はい

Symantec Java Cryptographic Module Version 1.2(証明書番号 2138)BSAFE

証明書番号 1786

Endpoint Protection Small Business Edition 12.1 FIPS 認証済み はい Java cryptography module 1.3
Messaging Gateway 10.5 FIPS 認証済み はい

Symantec Scanner Cryptographic Module、Symantec Control Center Cryptographic Module

OpenSSL & RSA B-safe ラッパー

Mobility Suite - Hosted FIPS 認証済み はい OpenSSL
Mobility Suite - On Premise FIPS 認証済み はい OpenSSL
Symantec Insight for Private Cloud FIPS 認証済み はい OpenSSL を 2 つ使用
続きを表示
閉じる

 

FIPS 認証のないシマンテック製品

シマンテック製品名 ステータス 暗号化モジュールの有無 暗号化モジュールの種類
Control Compliance Suite - AM 該当なし いいえ  
Cyber Security DeepSight Intelligence Datafeed
該当なし いいえ  
Cyber Security DeepSight Intelligence Portal 該当なし いいえ  
Endpoint Protection Small Business Edition 2013 該当なし いいえ Open SSL 0.98
Mail Security for Domino 8.1 該当なし いいえ  
Mail Security for MS Exchange 7.5 該当なし いいえ  
ノートン セキュアログイン 現時点ではなし はい Java crypto
Protection Engine 7.5 該当なし いいえ  
Protection for Sharepoint Servers 6.0 該当なし いいえ  
Symantec Embedded Security: Critical System Protection 1.0
現時点ではなし はい OpenSSL
Validation and ID Protection Service(VIP) 現時点ではなし はい FIPS-mode OpenSSL
続きを表示
閉じる

 

Federal Risk and Authorization Management Program(FedRAMP)

シマンテック製品 ステータス
Symantec VIP 処理中
Email Security for Government: SMG 認定済み

Federal Risk and Authorization Management Program(FedRAMP)とは、クラウド製品とサービスのセキュリティ評価、認定、継続的な監視に関する標準化されたアプローチを提供する政府全体におよぶプログラムです。このアプローチは「1 度実施し、繰り返し使用」のフレームワークを使っており、政府機関のコストを推定 30% から 40% 削減するとともに、政府機関による評価に要する時間とスタッフを減らすことができます。FedRAMP は連邦調達庁(GSA)、国立標準化技術研究所(NIST)、国土安全保障省(DHS)、国防総省(DOD)、国家安全保障局(NSA)、行政管理予算局(OMB)、連邦情報政策責任者(CIO)協議会およびワーキンググループ、民間業界の緊密な連携によって成り立っています。

目標

  • 評価および承認の再利用によって安全なクラウドソリューションの採用を加速
  • FedRAMP 内外において各基準に達したベースラインセットをクラウド製品の承認に使用することにより、一貫したセキュリティ承認を実現し、クラウドソリューションの安全の信頼性を向上
  • 既存のセキュリティ実務の一貫した適用を確保し、セキュリティ評価の信頼性を向上
  • 継続的なモニタリングのための自動化およびほぼリアルタイムのデータを増加

利点

  • 政府機関全体で既存のセキュリティ評価の再利用を増加
  • 大幅なコスト、時間、リソースを削減 - 「1 度実施し、繰り返し使用」
  • リアルタイムのセキュリティ可視性を向上
  • リスクベースの管理に対して統一したアプローチを提供
  • 政府機関とクラウドサービスプロバイダ(CSP)の間の透明性を向上
  • 連邦のセキュリティ承認プロセスの信用性、信頼性、一貫性、品質を改善

中心となる当事者

FedRAMP プロセスには中心となる当事者として、次の 3 機関があります。政府機関、CSP、第三者評価組織(3PAO)です。政府機関はクラウドサービスの選択、FedRAMP プロセスの活用、CSP に対する FedRAMP 要件に対する準拠の要求に責任があります。CSP は政府機関に対して実際にクラウドサービスを提供し、サービスの提供を実施する前にすべての FedRAMP 要件を満たす必要があります。3PAO は FedRAMP 要件に基づき CSP システムの初期および定期的な評価を実施し、遵守していることを証明し、CSP が要件を満たしていること確認する継続的な役割を果たします。 FedRAMP の暫定的な承認(P-ATO)には、一貫性のある評価プロセスを確保するための認定された 3PAO の評価が必要です。

主要なプロセス

FedRAMP ではクラウドシステムを以下の 3 段階のプロセスで承認します。

  1. セキュリティ評価: セキュリティ評価プロセスでは、NIST 800-53 統制のベースラインセットを使用する FISMA に従い、標準化された要件セットを使用してセキュリティを承認する必要があります。
  2. 活用と認証: 連邦政府機関は FedRAMP リポジトリでセキュリティ承認パッケージを閲覧し、その機関でセキュリティを承認するためにセキュリティ承認パッケージを活用します。
  3. 継続的な評価と承認: 承認されると、セキュリティ承認を維持するために継続的な評価および承認アクティビティを実施する必要があります。

ガバナンス

FedRAMP は政府全体におよぶプログラムであり、多数の省、機関、政府組織から情報が提供されます。このプログラムの意思決定機関は DOD、DHS、GSA の CIO で構成される合同認定委員会(JAB)です。 JAB、OMB、連邦 CIO 委員会に加え、NIST、DHS、FedRAMP Program Management Office(PMO)が FedRAMP を効果的に運営するための中心的な役割を担っています。

 

Voluntary Product Accessibility Template

シマンテックは、能力を問わずあらゆるユーザーにご利用いただけるテクノロジソリューションの開発に取り組んでいます。その取り組みの一環として、私たちは情報技術工業協議会が開発した Voluntary Product Accessibility Template(VPAT™) を利用して、政府機関の契約担当官やその他の購買担当者によるシマンテック製品およびサービスの機能のアクセシビリティ評価をサポートしています。

ただし、VPAT のリリースは、電子技術および情報技術の購入によって、1973 年リハビリテーション法 508 条(合衆国法典第 29 編第 794 条(d))の要件が満たされることをシマンテックが保証するものではありません。

シマンテックの VPAT プログラムについて詳しくは、こちらにお問い合わせください。