Nozomi Networks トラストセンター

人事セキュリティ

Nozomi Networks 、情報資産を確実に保護するため、人的セキュリティに重点を置いています。

ポリシー

当社は、幅広いトピックをカバーする包括的なセキュリティポリシーを策定しています。これらのポリシーは、Nozomi Networks情報資産にアクセスできるすべての従業員および請負業者と共有され、利用できるようになっています。

トレーニングと意識向上

Nozomi Networks 人材セキュリティの重要な構成要素のひとつに、セキュリティ教育があります。全従業員には、入社時およびその後毎年、このトレーニングの受講が義務付けられています。さらに、セキュリティチームは様々なチャネルを通じて、セキュリティ意識のアップデートを定期的に提供しています。

バックグラウンド・チェック

従業員の身元調査は、Nozomi Networks人事セキュリティの実践において、もう一つの重要な側面である。同社は現地の法律に従い、すべての新入社員の身元調査を実施しています。これらのチェックは請負業者にも義務付けられており、犯罪、学歴、雇用の確認が含まれます。

秘密保持契約（NDA）

すべての新入社員は、機密情報を保護するため、秘密保持契約および守秘義務契約に署名することが義務付けられています。

オンボーディングとオフボーディング・プロセス

Nozomi Networks 、情報資産への適切なアクセス（および失効）を確保するため、オンボーディングおよびオフボーディングの要件を厳格に定めています。

企業セキュリティ

Nozomi Networks 、企業のITセキュリティを最高レベルで確保することをお約束します。ここでは、私たちがITセキュリティにどのように取り組んでいるかをご紹介します：

エンドポイントセキュリティ

Nozomi Networksシステムに接続されるエンドポイント、特に機密情報にアクセスできるエンドポイントには厳格な管理が適用されます。これは全体的なITセキュリティフレームワークの不可欠な部分です。

モニタリングとロギング

継続的な監視により、すべてのデータベースアクセスがログに記録され、そのログが集中管理システムに送信されます。管理者アクセス、特権コマンドの使用、およびその他のアクセス活動はログに記録され、保持されます。ログ情報は改ざんや不正アクセスから保護されます。

マルウェア対策

サーバーやラップトップ、デスクトップなどのエンドポイントデバイスは、一連の保護ツールを導入することで、マルウェア、悪意のあるコード、安全でないアプリケーションから保護され、監視されます。

物理的セキュリティ

オフィス、コンピュータールーム、機密情報を含む作業場へのアクセスは、物理的に制限され、許可された者のみがアクセスできる。従業員はアクセスカードを使ってオフィスに入室し、訪問者記録を管理する。建物を監視するための監視カメラとセキュリティ対策が実施されています。物理的なセキュリティ監査が実施されています。

アクセスコントロール

Nozomi Networks 、ユーザーがネットワーク、システム、アプリケーション、ネットワークサービスへのアクセスを許可されるのは、特別に許可されたユーザーだけであることを保証します。システムへのアクセスは監査され、ログに記録され、セキュリティとコンプライアンスを維持するために検証されます。

データへの不正アクセスのリスクをさらに軽減するため、Nozomi Networksアクセス制御モデルは役割ベースのアクセス制御（RBAC）に基づいており、職務の分離を実現しています。最小特権の原則が厳格に適用されます。

Nozomi Networks 、顧客データを含むシステムへのアクセスにはすべて多要素認証（MFA）を採用しています。すべての従業員は、承認されたパスワードマネージャーを使用することが義務付けられています。これらのパスワードマネージャーは、パスワードの再利用、フィッシング、その他のパスワード関連のリスクを防ぐために、ユニークで複雑なパスワードを生成、保存、入力します。これらのアカウントへのアクセス管理には、認証ツールが使用される。

サプライチェーンマネジメント

Nozomi Networks 、データのすべてのサブプロセッサーを継続的に監視・評価することにより、安全で信頼性の高いサプライチェーンの維持に努めています。私たちは、様々な指標を用いて、サブプロセッサーのパフォーマンスとコンプライアンスを評価し、レビューしています。

Nozomi Networks 業務の一環として、認定された第三者サブプロセッサーとのみ提携しています。各ベンダーは、サードパーティリスクマネジメントプログラムを通じて、プライバシーに関する必須規制を遵守し、セキュリティのベストプラクティスを順守しているかどうかを徹底的に評価されます。GRCチームは、各ベンダーのプライバシー、セキュリティ、および機密保持の慣行を評価するためのデューデリジェンスを実施します。このプロセスには、適用される義務を履行するための秘密保持契約の締結が含まれます。

継続的なコンプライアンスとセキュリティを確保するため、すべての重要なサプライヤーは毎年監査を受けています。また、ベンダー管理プラットフォームを情報の中央リポジトリとして活用し、サプライチェーンを効率的に管理・監視できるようにしています。これらの対策により、私たちは業務における最高水準のセキュリティと信頼性を維持しています。

リスク管理

Nozomi Networks 、サービスの安全性と信頼性を確保するため、リスクマネジメントに積極的に取り組んでいます。私たちのチームは、企業全体の構造、製品、新しいプロジェクト、提案された変更について、様々なリスク評価を定期的に行っています。リスクが特定されると、包括的なプロセスに従います。

この構造的なアプローチにより、Nozomi Networks リスクを効果的に管理・軽減し、最高水準のセキュリティを確保することができます。

リスクを特定する

まず、リスクを特定し、それがNozomi Networksサービスや企業とどのように関連しているかを理解することから始めます。

リスクを評価する

そして、組織全体に対する潜在的なエクスポージャーを全体的に把握するために、リスクの評価やランク付けを行う。

リスクに対処する

評価に基づき、適切なリスク処理プロセスに従ってリスクを処理する。

モニターとレビュー

最後に、あらゆるリスク要因を注視するため、継続的にリスクを監視し、見直しています。

データ暗号化

輸送中の暗号化

Vantage UI および API との通信はすべて、業界標準の HTTPS/TLS（TLS 1.2 以上）により暗号化されます。

静止時の暗号化

サービスデータはAES-256キー暗号化によりAWS内で暗号化されます。

アプリケーション・セキュリティ

セキュアコード

エンジニアリング・プロセスでは、OWASPトップ10のセキュリティ・リスクに焦点を当てたセキュア・コードの原則が用いられた。

フレームワーク セキュリティ・コントロール

Nozomi Networks 、OWASPトップ10セキュリティリスクへの暴露を制限するために、セキュリティコントロールが組み込まれた最新の安全なオープンソースフレームワークを利用しています。SQLインジェクション(SQLi)、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、その他の脆弱性のリスクを軽減します。

別々の環境

テスト環境とステージング環境は、本番環境から論理的に分離されています。開発環境やテスト環境ではサービスデータは使用されず、テスト目的のために安全かつ管理された環境が維持されます。

脆弱性管理

動的脆弱性スキャン

Nozomi Networks サードパーティのセキュリティツールを採用し、OWASPトップ10セキュリティリスクを含む一般的なWebアプリケーションセキュリティリスクに対して、コアアプリケーションを継続的かつ動的にスキャンします。

ソフトウェア構成分析

Nozomi Networks製品で使用されるライブラリや依存関係は、脆弱性の特定と管理のためにスキャンされ、すべてのコンポーネントが安全であることを保証します。

第三者による侵入テスト

社内の広範なスキャンとテストプログラムに加え、Nozomi Networks 第三者のセキュリティ専門家を起用し、詳細なペネトレーションテストを毎年実施しています。

データホスティングの地域性

Nozomi Networks 、お客様のご希望や要件に応じて、複数のAWSデータセンターから柔軟にお選びいただけます。

これにより、お客様はニーズに最適なデータセンターロケーションを選択することができ、最適なパフォーマンス、コンプライアンス、データ主権を確保することができます。さまざまな選択肢を提供するNetworks で、お客様はデータの保存場所や処理方法について十分な情報を得た上で決定することができ、全体的なセキュリティと信頼性を高めることができますNozomi

プライバシーへの取り組み

当社のプライバシー慣行は、業務のあらゆる側面にわたって個人情報を保護するように設計されています。これには、従業員、求職者、サプライヤー、パートナー、ウェブサイト訪問者、顧客、支払者に関連するデータが含まれます。当社は、特定された、明示された、正当な目的のためにのみ個人情報を収集し、データが正確、完全、かつ最新であることを保証します。当社は、不正アクセス、開示、改ざん、または破壊から個人情報を保護するために、強固な技術的および組織的対策を実施します。データの品質と完全性を維持するため、定期的な監査と見直しを行います。

透明性と個人の権利

透明性は、Nozomi Networksコアバリューです。個人情報がどのように収集され、利用され、保護されるかについて、明確で利用しやすい情報を提供します。当社の個人情報保護方針とお知らせは、当社のウェブサイトやその他の関連プラットフォームで容易に入手することができます。また、個人情報へのアクセス、訂正、削除、処理の制限など、適用される個人情報保護法に基づく権利を行使できるようにします。透明性へのコミットメントにより、お客様から最も機密性の高い情報を信頼していただくことができます。

Nozomi Networks 、これらの原則を遵守し、個人情報保護の実践を継続的に改善することにより、個人情報を保護し、最高水準のデータ保護を遵守することをお約束します。

AIガバナンス

Nozomi Networks、人工知能（AI）および機械学習（ML）技術の責任ある倫理的な開発、導入、利用に取り組んでいます。当社のAIポリシーは、当社のAI/MLシステムがEUのAI法を含む規制基準に準拠して開発・導入されることを保証するための包括的なガイドラインです。当社のプログラムは、当社のソフトウェアやサービスに組み込まれたすべてのAI/MLシステム、および組織内で使用されるサードパーティのAIツールに適用されます。

私たちのアプローチは、イノベーションを可能にし、責任ある行動を確保し、透明性を維持し、法的および規制上のコンプライアンス要件を遵守するという目標に沿ったものです。

ガバナンスと説明責任

Nozomi Networks 、AIイニシアチブを監督するための強固なガバナンス体制を確立しています。エンジニアリングリーダー、コンプライアンス、法務、IT部門が参加し、AIポリシーの要件を監督するための役割と責任を明確にしています。AIイニシアチブを評価するためのレビューボードまたは委員会が設置されており、すべてのAIプロジェクトが徹底的なリスク評価を受け、進化する規制に準拠していることを保証します。EUのAI法など

当社のガバナンスと説明責任へのコミットメントは、当社のAIシステムが公正、安全、倫理的に運用されることを保証し、ステークホルダーの信頼を維持するための当社の献身を強化するものです。