Nozomi Networks トラストセンター

当社は、幅広いトピックをカバーする包括的なセキュリティポリシーを策定しています。これらのポリシーは、Nozomi Networks情報資産にアクセスできるすべての従業員および請負業者と共有され、利用できるようになっています。

Nozomi Networks 人材セキュリティの重要な構成要素のひとつに、セキュリティ教育があります。全従業員には、入社時およびその後毎年、このトレーニングの受講が義務付けられています。さらに、セキュリティチームは様々なチャネルを通じて、セキュリティ意識のアップデートを定期的に提供しています。

従業員の身元調査は、Nozomi Networks人事セキュリティの実践において、もう一つの重要な側面である。同社は現地の法律に従い、すべての新入社員の身元調査を実施しています。これらのチェックは請負業者にも義務付けられており、犯罪、学歴、雇用の確認が含まれます。

すべての新入社員は、機密情報を保護するため、秘密保持契約および守秘義務契約に署名することが義務付けられています。

Nozomi Networks 、情報資産への適切なアクセス（および失効）を確保するため、オンボーディングおよびオフボーディングの要件を厳格に定めています。

Nozomi Networksシステムに接続されるエンドポイント、特に機密情報にアクセスできるエンドポイントには厳格な管理が適用されます。これは全体的なITセキュリティフレームワークの不可欠な部分です。

継続的な監視により、すべてのデータベースアクセスがログに記録され、そのログが集中管理システムに送信されます。管理者アクセス、特権コマンドの使用、およびその他のアクセス活動はログに記録され、保持されます。ログ情報は改ざんや不正アクセスから保護されます。

サーバーやラップトップ、デスクトップなどのエンドポイントデバイスは、一連の保護ツールを導入することで、マルウェア、悪意のあるコード、安全でないアプリケーションから保護され、監視されます。

オフィス、コンピュータールーム、機密情報を含む作業場へのアクセスは、物理的に制限され、許可された者のみがアクセスできる。従業員はアクセスカードを使ってオフィスに入室し、訪問者記録を管理する。建物を監視するための監視カメラとセキュリティ対策が実施されています。物理的なセキュリティ監査が実施されています。

Networks技術リソースの利用に関するガイドラインを定めた「技術利用規定」は、会社の資産を損失、侵害、または損害から保護するための責任ある慎重な行動を強調しています。 本ポリシーは、データ管理、電子メールの利用、コンピューター、ソフトウェアのインストール、携帯電話、インターネットアクセス、公共Wi-Fi、VPN、通信サービス、フィッシング/詐欺メール、Dropbox、リムーバブルメディア、アカウントと機密情報、パスワード、クラウドサービス、生成AIモデルなど、様々な側面をカバーしています。ポリシー違反は、解雇を含む懲戒処分の対象となる可能性があります。

アクセス制御ポリシーは、Nozomi処理施設のセキュリティを確保するため、認証、認可、アカウンティング（AAA）に関する要件を定める。最小権限の原則および知る必要性（need-to-know）に基づき、アクセスを権限付与された要員のみに制限することを義務付ける。 本ポリシーは、ユーザーアクセス管理、システム・アプリケーションへのアクセス制御、ネットワークおよびホスト型サービスへのアクセスをカバーします。監査管理、ユーザー登録・登録解除、特権アクセス権限管理、アクセス権限の定期的な見直しに関する規定も含まれます。本ポリシーは、Nozomi 、契約者、Nozomiにアクセスするすべての者に適用されます。

AIポリシー文書は、NetworksAIおよび機械学習（ML）技術の開発、実装、使用、監視に関するガイドラインを定めています。EU AI法などの規制基準への準拠を確保しつつ、責任ある倫理的なAI/MLシステム開発を重視しています。本ポリシーは、Networksソフトウェアおよびサービスに組み込まれた全てのAI/MLシステム、ならびに組織内で使用されるサードパーティ製AIツールを対象とします。 主要な原則には、公平性、透明性、データプライバシー、セキュリティが含まれます。本ポリシーは全従業員、契約社員、第三者ベンダーに適用され、法的・規制要件を遵守しつつイノベーションを促進することを目的としています。

事業継続方針は、災害や混乱時における従業員の安全を確保しつつ、製品・業務・サービスの一貫した可用性と提供を保証するため、Networks（BCP）の枠組みと要件を定めたものです。 本方針では、経営陣のコミットメント、役割と責任、リスク評価、コミュニケーション計画、継続性と復旧目標、災害復旧計画、機能別事業継続計画、演習とテスト、パフォーマンス評価、継続的改善、法的・契約上の義務の遵守を重点的に定めています。

変更管理ポリシーは、物理的および仮想ネットワーク機器、ソフトウェア製品、内部情報システム、Networks変更を管理するための責任と手順を規定します。変更の特定、追跡、計画、テスト、承認の重要性を強調するとともに、潜在的なリスクの評価と関連ステークホルダーへの詳細な情報伝達を求めます。 本ポリシーには、変更が失敗した場合の中止および復旧のためのフォールバック手順も含まれており、セキュリティに関連するすべての例外事項は適切な管理者による審査と承認を義務付けています。本ポリシーは、これらの資産の開発、管理、サポートに関わるすべての従業員および契約社員に適用されます。

データ取り扱い方針は、Networksデータの管理および保護に関するガイドラインを定めています。データ分類、廃棄、保存期間を網羅し、物理的または仮想的に保存されるすべてのデータが安全に扱われることを保証します。本方針では、機密データの暗号化、定期的な監査、適切なラベル付けを義務付けています。また、各種データの保存期間、記録および保存媒体の安全な廃棄方法を規定しています。 本ポリシーNozomi Networks および契約社員に適用され、不正アクセスや情報漏洩を防止するためのデータ保護の重要性を強調しています。

暗号化ポリシーは、Networks機密情報の保護のための暗号化制御および鍵管理手法を規定する。NIST SP 800-131aなどの国際標準や、機密性確保のためのAES、完全性確保のためのSHA-256といった承認済みアルゴリズムに基づき、保存時および転送中のデータに対して最先端の暗号化ソリューションの使用を義務付ける。 本ポリシーは、顧客データ、個人識別情報（PII）、パスワード、知的財産、コンプライアンス記録など、様々な種類の情報に適用されます。また、暗号化メカニズムは規制および法的要件を満たし、IT部門または最高技術責任者（CTO）の承認を得なければならないことも規定しています。

人事セキュリティポリシーは、Networks従業員および契約者の採用、研修、解雇を管理するための手順と指針を定めています。これには、身元調査、契約上の合意事項、全スタッフに対する必須の情報セキュリティ研修が含まれます。本ポリシーはまた、研修の適時完了の確保と、コンプライアンス違反に対するアクセス制限の実施において、従業員、管理者、コンプライアンス部門、IT部門の責任を詳細に規定しています。 さらに、解雇手続きについても規定しており、これには会社情報及び施設へのアクセス権限の即時停止、ならびに会社所有物の返却が含まれます。本ポリシーは機密扱いとなります。

情報セキュリティポリシーは、Networks制御システム向けに最高水準のセキュリティ、完全性、可用性を備えたサイバーセキュリティおよび可視化ソリューションを開発、提供、運用する取り組みを定めたものです。本ポリシーは、企業情報、個人情報、顧客データを紛失、不正アクセス、漏洩から保護することを目的としています。これを達成するため、Networks 27001:2022規格に基づく情報セキュリティマネジメントシステム（ISMS）Networks 。 ISMSには、事業機能に関連する適用可能なポリシー、プロセス、測定可能な管理措置が含まれており、顧客要件、契約上の合意、および利害関係者のニーズからの入力を取り入れています。本ポリシーは、ステークホルダーの信頼を維持し事業目標を支援するため、経営陣のコミットメント、定期的なリスク評価、継続的改善を重視しています。

オフィス管理手順書は、Networks来客アクセス、バッジ発行、およびコンピュータ室へのアクセス制御に関する要件を定めています。来客は到着時に必ずオフィスマネージャーに報告し、訪問内容は来客記録簿に記録されることを規定しています。オフィスマネージャーは、オフィスへのアクセス管理および従業員・複数日来客へのバッジアクセスカードの発行を担当します。 ITマネージャーはコンピュータルームへの物理的アクセスを管理し、許可された者のみが入室できるようにします。本文書には「オフィスセキュリティ－バッジ発行手順」への参照も含まれており、安全なアクセス管理システムの維持の重要性が強調されています。

運用セキュリティポリシーは、Networksセキュリティ、可用性、完全性を確保するための措置を規定する。重要システムの管理、システム環境管理、監視と記録、バックアップと復旧、脆弱性管理、安全な構成設定をカバーする。 本ポリシーは、システム運用に関わる全担当者が、変更、ソフトウェア導入、パッチ適用に関する文書化された手順を遵守することを義務付けています。また、運用環境の分離、ログ記録・監視機能の有効化、定期的なバックアップ、脆弱性評価の実施、強固なアクセス制御およびネットワークセキュリティ対策の導入の重要性を強調しています。本ポリシーは全従業員および契約社員に適用されます。

物理セキュリティポリシーは、Networks 情報Networks 物理的セキュリティを確保するものです。対象範囲は、指定制限区域、物理的アクセス記録、アクセス制御、機器管理、訪問者管理、デスク整理方針、インシデント管理を含みます。本ポリシーは、アクセス制御の実施と維持、アクセス記録の保管、機器の保護、訪問者の同伴、インシデントの迅速な調査と解決を義務付けています。本ポリシーは、Networks に適用されます。

プライバシーポリシーは、Networks保護と関連するプライバシー法の遵守を約束する方針を定めたものです。個人データの収集、利用、保護について規定し、データの品質、利用目的の特定、利用制限、セキュリティ対策、透明性、個人の参加、説明責任といった原則を重視しています。 本ポリシーでは、情報提供を受ける権利、アクセス権、訂正権、消去権、処理の制限権、データポータビリティ権、異議申立権、自動化された意思決定およびプロファイリングに関連する権利など、個人の権利についても詳細に規定しています。全体として、本ポリシーは、データ保護プライバシーに関する国際的に認められた基準を遵守することで、透明性を維持し、ステークホルダーとの信頼関係を構築することを目的としています。

Networks 運用技術（OT）および産業用制御システム（ICS）をサイバー脅威から保護する先進的ソリューションの提供において、当社をグローバルリーダーとして確立することをNetworks 。この達成に向け、Networks 9001:2015規格に準拠した品質マネジメントシステム（QMS）Networks 。 このシステムは、企業の規模や事業範囲にかかわらず、顧客および利害関係者の要求事項を満たすようプロセスが管理されることを保証します。全従業員および契約者は、QMSならびに適用される法令・規制を遵守する責任を負います。当社は目標設定、結果の検証、必要に応じた是正処置の実施を通じて、継続的改善に取り組んでいます。

セキュリティインシデント管理ポリシーは、Networksにおける情報セキュリティインシデントの対応手順を定めたものです。本ポリシーは、全従業員、契約社員、システム、製品、サービス、および当社が管理するあらゆる情報に適用されます。本ポリシーは、従業員および契約社員が機密情報を保護し、サイバー脅威を報告し、封じ込め活動に参加する責任を強調しています。 インシデント管理には、検知、封じ込め、調査、根絶、復旧、教訓の抽出が含まれます。インシデント対応は、NIST 800-61規格に準拠した文書化された手順と報告方法に従います。プロセス全体を通じて機密性が維持され、特定情報の第三者への開示は上級管理職の承認が必要です。

システム開発・調達・保守ポリシーは、Networksシステム、ソフトウェア、アプリケーションサービスの開発、調達、保守に関する手順と基準を規定する。新規製品、サービス、システムの開発計画、開発、導入の各段階を通じて情報セキュリティ要件を組み込むことを重視する。 本方針では、ITIL、DevOps、アジャイルなどの業界標準に準拠した正式な開発手法を義務付け、要件収集、システム設計、実装、テスト、導入、運用、保守といったフェーズを含みます。さらに、ITアプリケーションの終息プロセスやシステム調達基準を規定し、セキュリティ確保と規制・業界標準への準拠を保証します。

テレワークポリシーは、Networks 以外の場所で勤務する従業員および契約社員向けのガイドラインを定めています。対象資格基準、テレワーク形態の種類、準備状況評価、テレワーク実施指針、機器提供、セキュリティ対策、労災保険について規定しています。 本方針では、安全で集中できる作業環境の維持、会社資産・情報の保護、特定セキュリティプロトコルの遵守の重要性を強調しています。また、テレワーク従業員は業務上の負傷に対して労災保険の対象となることを明記しています。

まず、リスクを特定し、それがNozomi Networksサービスや企業とどのように関連しているかを理解することから始めます。

そして、組織全体に対する潜在的なエクスポージャーを全体的に把握するために、リスクの評価やランク付けを行う。

評価に基づき、適切なリスク処理プロセスに従ってリスクを処理する。

最後に、あらゆるリスク要因を注視するため、継続的にリスクを監視し、見直しています。