Nozomi Networks トラストセンター

Nozomi Networks トラストセンターへようこそ。当社のシステムとお客様のデータを保護するための強固なセキュリティ対策をご理解いただくための入り口です。Nozomi Networks、お客様の情報のセキュリティとプライバシーを最優先し、業界最高水準のセキュリティ対策を実施しています。

当社のガバナンス・リスク・コンプライアンス・チームは、高度なセキュリティ機能と厳格な監査の組み合わせにより、安全な環境を維持することに専念しています。

業界のベストプラクティスに従い、システムの耐障害性を確保し、機密データに対するお客様の信頼を獲得します。強固なセキュリティポリシーにより、お客様がコンプライアンスを遵守し、安心感を得られるようサポートいたします。Nozomi Networks 、お客様のデータを保護し、セキュリティとプライバシーの最高水準を維持するために、高度な技術と熟練したチームに継続的に投資しています。

情報セキュリティ

組織のセキュリティ

Nozomi Networks 、産業用制御システムのためのサイバーセキュリティと可視化ソリューションを、実現可能な最高レベルのセキュリティ、完全性、可用性をもって開発、提供、運用することをお約束します。また、企業情報、個人情報、顧客情報を紛失、不正アクセス、漏洩から守ります。

この目標を達成するために、Nozomi Networks 情報セキュリティマネジメントシステム(ISMS)を導入しています:

  • 安全性の高い製品・サービスを開発し、Nozomi Networks顧客やパートナーに提供。 
  • 顧客情報の保護 
  • Nozomi Networks情報資産の保護 
  • 能力、説明責任、セキュリティ意識の文化を維持する。 

人事セキュリティ

Nozomi Networks 、情報資産を確実に保護するため、人的セキュリティに重点を置いています。

ポリシー

当社は、幅広いトピックをカバーする包括的なセキュリティポリシーを策定しています。これらのポリシーは、Nozomi Networks情報資産にアクセスできるすべての従業員および請負業者と共有され、利用できるようになっています。

トレーニングと意識向上

Nozomi Networks 人材セキュリティの重要な構成要素のひとつに、セキュリティ教育があります。全従業員には、入社時およびその後毎年、このトレーニングの受講が義務付けられています。さらに、セキュリティチームは様々なチャネルを通じて、セキュリティ意識のアップデートを定期的に提供しています。

バックグラウンド・チェック

従業員の身元調査は、Nozomi Networks人事セキュリティの実践において、もう一つの重要な側面である。同社は現地の法律に従い、すべての新入社員の身元調査を実施しています。これらのチェックは請負業者にも義務付けられており、犯罪、学歴、雇用の確認が含まれます。

秘密保持契約(NDA)

すべての新入社員は、機密情報を保護するため、秘密保持契約および守秘義務契約に署名することが義務付けられています。

オンボーディングとオフボーディング・プロセス

Nozomi Networks 、情報資産への適切なアクセス(および失効)を確保するため、オンボーディングおよびオフボーディングの要件を厳格に定めています。

企業セキュリティ

Nozomi Networks 、企業のITセキュリティを最高レベルで確保することをお約束します。ここでは、私たちがITセキュリティにどのように取り組んでいるかをご紹介します:

エンドポイントセキュリティ

Nozomi Networksシステムに接続されるエンドポイント、特に機密情報にアクセスできるエンドポイントには厳格な管理が適用されます。これは全体的なITセキュリティフレームワークの不可欠な部分です。

モニタリングとロギング

継続的な監視により、すべてのデータベースアクセスがログに記録され、そのログが集中管理システムに送信されます。管理者アクセス、特権コマンドの使用、およびその他のアクセス活動はログに記録され、保持されます。ログ情報は改ざんや不正アクセスから保護されます。

マルウェア対策

サーバーやラップトップ、デスクトップなどのエンドポイントデバイスは、一連の保護ツールを導入することで、マルウェア、悪意のあるコード、安全でないアプリケーションから保護され、監視されます。

物理的セキュリティ

オフィス、コンピュータールーム、機密情報を含む作業場へのアクセスは、物理的に制限され、許可された者のみがアクセスできる。従業員はアクセスカードを使ってオフィスに入室し、訪問者記録を管理する。建物を監視するための監視カメラとセキュリティ対策が実施されています。物理的なセキュリティ監査が実施されています。

Policies Summary

At Nozomi Networks, transparency is a foundational principle that guides our approach to cybersecurity and governance. We are committed to upholding the strictest information security requirements, ensuring that our systems, data, and operations remain resilient and trustworthy. Our policies are not just guidelines—they are enforceable standards that apply to every employee, reinforcing a culture of accountability and vigilance. This document provides a high-level summary of our core information security policies, outlining the frameworks and expectations that safeguard our organization and the clients we serve.

許容されるテクノロジーの使用

The Acceptable Use of Technology Policy outlines the guidelines for using technology resources at Nozomi Networks. It emphasizes responsible and diligent conduct to protect company assets from loss, compromise, or harm. The policy covers various aspects such as data management, use of email, computers, software installations, mobile phones, internet access, public Wi-Fi, VPN, communication services, phishing/scam emails, Dropbox, removable media, accounts and secrets, passwords, cloud services, and generational AI models. Non-compliance with the policy may lead to disciplinary actions, including termination of employment.

アクセスコントロール

The Access Control Policy establishes requirements for authentication, authorization, and accounting (AAA) to ensure the security of Nozomi’s assets and information processing facilities. It mandates that access is limited to authorized personnel only, based on the principles of least privilege and need-to-know. The policy covers user access management, system and application, access control, and access to networks and hosted services. It also includes provisions for audit controls, user registration and de-registration, privileged access rights management, and periodic reviews of access rights. The policy applies to all Nozomi employees, contractors, and anyone with access to Nozomi’s resources and network.

AI Policy

The AI Policy document outlines guidelines for the development, implementation, use, and monitoring of AI and machine learning (ML) technologies within Nozomi Networks. It emphasizes responsible and ethical AI/ML system development, ensuring compliance with regulatory standards like the EU AI Act. The policy covers all AI/ML systems embedded in Nozomi Networks’ software and services, as well as third-party AI tools used within the organization. Key principles include fairness, transparency, data privacy, and security. The policy applies to all employees, contractors, and third-party vendors, aiming to enable innovation while adhering to legal and regulatory requirements.

Business Continuity Policy

The Business Continuity Policy outlines the framework and requirements for Nozomi Networks’ Business Continuity Plan (BCP), ensuring consistent availability and delivery for products, operations, and services, while maintaining the safety of personnel during disasters or disruptions. The policy emphasizes leadership commitment, roles and responsibilities, risk assessment, communications plan, continuity and recovery objectives, disaster recovery plan, functional business continuity plan, exercise and testing, performance evaluation, continual improvement, and adherence to legal and contractual obligations.

Change Management Policy

The Change Management Policy outlines the responsibilities and procedures for managing changes to Nozomi Networks’ information assets, including physical and virtual network devices, software products, internal information systems, and customer-deployed applications. It emphasizes the importance of identifying, tracking, planning testing, and approving changes while assessing potential risks and communicating details to relevant stakeholders. The policy also includes fallback procedures for aborting and recovering from unsuccessful changes and mandates that all exceptions involving security reviewed and approved by the appropriate manager. This policy applies to all employees and contractors involved with the development, management, and support of these assets.

Data Handling Policy

The data handling policy outlines the guidelines for managing and protecting data at Nozomi Networks. It covers data classification, disposal, and retention, ensuring that all data, whether stored physically or virtually, is handled securely. The policy mandates encryption for sensitive data, regular audits, and proper labeling. It also specifies the retention periods for different types of data and the secure disposal of records and storage media. The policy applies to all Nozomi Networks employees and contractors, emphasizing the importance of protecting data to prevent unauthorized access or breaches.

Encryption Policy

The Encryption Policy outlines the cryptographic controls and key management practices for protecting sensitive information at Nozomi Networks. It mandates the use of state-of-the-art cryptographic solutions for data-at-rest and in transit, based on international standards like NIST SP 800-131a and approved algorithms such as AES for confidentiality and SHA-256 for integrity. The policy covers various types of information, including customer data, PII, passwords, intellectual property, and compliance records. It also specifies that encryption mechanisms must meet regulatory and legal requirements and be approved by IT or the CTO.

Human Resources Security Policy

The Human Resources Security Policy outlines the procedures and guidelines for managing the hiring, training, and termination of employees and contractors at Nozomi Networks. It includes background verification checks, contractual agreements, and mandatory information security training for all staff members. The policy also details the responsibilities of employees, managers, compliance, and IT in ensuring timely completion of training and enforcing access restrictions for non-compliance. Additionally, it addresses the termination process, including the immediate disabling of access to company information and facilities, and the return of company property. The policy is classified and confidential.

Information Security Policy

The Information Security Policy outlines Nozomi Networks’ commitment to developing, delivering, and operating cybersecurity and visibility solutions for industrial control systems with the highest level of security, integrity, and availability. The policy aims to protect corporate information, personal information, and customer data against loss, unauthorized access, and disclosure. To achieve this, Nozomi Networks has implemented an Information Security Management System (ISMS) according to the ISO 27001:2022 standard. The ISMS includes applicable policies, processes, and measurable controls relevant to business functions, and it takes input from customer requirements, contractual agreements, and the needs of interested parties. The policy emphasizes leadership commitment, periodic risk assessments, and continual improvement to maintain stakeholder trust and support business objectives.

Office Management Procedure

The Office Management Procedure document outlines the requirements for guest access, badge issuance, and access control to the computer room at Nozomi Networks. It specifies that all guests must report to the Office Manager upon arrival, and their visit details are recorded in a visitor log. The Office Manager is responsible for managing access to the offices and issuing badge access cards to employees and multi-day visitors. The IT Manager controls physical access to the computer room, ensuring that only authorized personnel are allowed entry. The document also includes references to the Office Security – Badge Issuance procedure and emphasizes the importance of maintaining a secure access control system.

Operations Security Policy

The Operations Security Policy outlines the measures to ensure the security, availability, and integrity of Nozomi Networks’ information assets. It covers control of critical systems, system environment control, monitoring and logging, backup and recovery, vulnerability management, and secure configuration. The policy mandates that all personnel involved with system operations adhere to documented procedures for changes, software installations, and patching. It also emphasizes the importance of segregating operational environments, enabling logging and monitoring functions, regular backups, vulnerability assessments, and implementing robust access control and network security measures. The policy is applicable to all employees and contractors.

Physical Security Policy

The Physical Security Policy ensures the physical of all Nozomi Networks offices and information processing centers. It covers designated restricted areas, physical access records, access control, equipment control, visitor control, clear desk policy, and incident management. The policy mandates that access controls are implemented and maintained, access records are kept, equipment is safeguarded, visitors are escorted, and incidents are promptly investigated and resolved. The policy is applicable to all Nozomi Networks employees and contractors.

プライバシーポリシー

The Privacy Policy outlines Nozomi Networks’ commitment to protecting personal information and ensuring compliance with relevant privacy laws. It covers the collection, use, and safeguarding of personal data, emphasizing principles such as data quality, purpose specification, use limitation, security safeguards, openness, individual participation, and accountability. The policy also details the rights of individuals, including the right to be informed, access, rectification, erasure, restriction of processing, data portability, objection, and rights related to automation decision-making and profiling. Overall, the policy aims to maintain transparency and build trust with stakeholders by adhering to internationally recognized standards for data protection privacy.

Quality Policy

The Quality Policy of Nozomi Networks aims to establish the company as a global leader in providing advanced solutions for protecting operational technology (OT) and industrial control systems (ICS) from cyber threats. To achieve this, Nozomi Networks has implemented a Quality Management System (QMS) in accordance with ISO 9001:2015 standards. This system ensures that processes are managed to meet the requirements of customers and stakeholders, regardless of the company’s size and footprint. All employees and contractors are responsible for adhering to the QMS and applicable laws and regulations. The company is committed to continuous improvement by setting objectives, verifying results, and applying corrective actions when necessary.

Security Incident Management Policy

The Security Incident Management Policy outlines the procedures for handling information security incidents at Nozomi Networks. It applies to all employees, contractors, systems, products, services, and any information managed by the company. The policy emphasizes the responsibility of employees and contractors to protect confidential information, report cyber threats, and participate in containment efforts. Incident management involves detections, containment, investigation, eradication, recovery, and lessons learned. The response to incidents follows documented procedures and reporting methods adhering to the NIST 800-61 standard. Confidentiality is maintained throughout the process, with senior management authorized to disclose specific information to third parties.

System Development, Acquisition, and Maintenance Policy

The System Development, Acquisition, and Maintenance Policy outlines the procedures and standards for developing, acquiring, and maintaining systems, software, and application services at Nozomi Networks. It emphasizes the inclusion of information security requirements throughout the planning, development, and deployment phases of new products, services, or systems. The policy mandates a formal development methodology aligned with industry standards such as ITIL, DevOps, and Agile, and includes phases like requirements gathering, system design, implementation, testing, deployment, operation, and maintenance. Additionally, it covers the end-of-life process for IT applications and the criteria for system acquisition, ensuring security and compliance with regulations and industry standards.

Teleworking Policy

The Teleworking Policy outlines the guidelines for employees and contractors who work from locations other than a designated Nozomi Networks office. It covers eligibility criteria, types of telework arrangements, readiness evaluation, teleworking guidelines, equipment provisions, security measures, and workers’ compensation insurance. The policy emphasizes the importance of maintaining a secure and distraction-free work environment, protecting company assets and information, and adhering to specific security protocols. It also specifies that teleworking employees are covered by workers’ compensation insurance for job-related injuries.

アクセスコントロール

Nozomi Networks 、ユーザーがネットワーク、システム、アプリケーション、ネットワークサービスへのアクセスを許可されるのは、特別に許可されたユーザーだけであることを保証します。システムへのアクセスは監査され、ログに記録され、セキュリティとコンプライアンスを維持するために検証されます。

データへの不正アクセスのリスクをさらに軽減するため、Nozomi Networksアクセス制御モデルは役割ベースのアクセス制御(RBAC)に基づいており、職務の分離を実現しています。最小特権の原則が厳格に適用されます。

Nozomi Networks 、顧客データを含むシステムへのアクセスにはすべて多要素認証(MFA)を採用しています。すべての従業員は、承認されたパスワードマネージャーを使用することが義務付けられています。これらのパスワードマネージャーは、パスワードの再利用、フィッシング、その他のパスワード関連のリスクを防ぐために、ユニークで複雑なパスワードを生成、保存、入力します。これらのアカウントへのアクセス管理には、認証ツールが使用される。

サプライチェーンマネジメント

Nozomi Networks 、データのすべてのサブプロセッサーを継続的に監視・評価することにより、安全で信頼性の高いサプライチェーンの維持に努めています。私たちは、様々な指標を用いて、サブプロセッサーのパフォーマンスとコンプライアンスを評価し、レビューしています。

Nozomi Networks 業務の一環として、認定された第三者サブプロセッサーとのみ提携しています。各ベンダーは、サードパーティリスクマネジメントプログラムを通じて、プライバシーに関する必須規制を遵守し、セキュリティのベストプラクティスを順守しているかどうかを徹底的に評価されます。GRCチームは、各ベンダーのプライバシー、セキュリティ、および機密保持の慣行を評価するためのデューデリジェンスを実施します。このプロセスには、適用される義務を履行するための秘密保持契約の締結が含まれます。

継続的なコンプライアンスとセキュリティを確保するため、すべての重要なサプライヤーは毎年監査を受けています。また、ベンダー管理プラットフォームを情報の中央リポジトリとして活用し、サプライチェーンを効率的に管理・監視できるようにしています。これらの対策により、私たちは業務における最高水準のセキュリティと信頼性を維持しています。

リスク管理

Nozomi Networks 、サービスの安全性と信頼性を確保するため、リスクマネジメントに積極的に取り組んでいます。私たちのチームは、企業全体の構造、製品、新しいプロジェクト、提案された変更について、様々なリスク評価を定期的に行っています。リスクが特定されると、包括的なプロセスに従います。

この構造的なアプローチにより、Nozomi Networks リスクを効果的に管理・軽減し、最高水準のセキュリティを確保することができます。

リスクを特定する

まず、リスクを特定し、それがNozomi Networksサービスや企業とどのように関連しているかを理解することから始めます。

リスクを評価する

そして、組織全体に対する潜在的なエクスポージャーを全体的に把握するために、リスクの評価やランク付けを行う。

リスクに対処する

評価に基づき、適切なリスク処理プロセスに従ってリスクを処理する。

モニターとレビュー

最後に、あらゆるリスク要因を注視するため、継続的にリスクを監視し、見直しています。

データ暗号化

輸送中の暗号化

Vantage UI および API との通信はすべて、業界標準の HTTPS/TLS(TLS 1.2 以上)により暗号化されます。

静止時の暗号化

サービスデータはAES-256キー暗号化によりAWS内で暗号化されます。

アプリケーション・セキュリティ

セキュアコード

エンジニアリング・プロセスでは、OWASPトップ10のセキュリティ・リスクに焦点を当てたセキュア・コードの原則が用いられた。

フレームワーク セキュリティ・コントロール

Nozomi Networks 、OWASPトップ10セキュリティリスクへの暴露を制限するために、セキュリティコントロールが組み込まれた最新の安全なオープンソースフレームワークを利用しています。SQLインジェクション(SQLi)、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、その他の脆弱性のリスクを軽減します。

別々の環境

テスト環境とステージング環境は、本番環境から論理的に分離されています。開発環境やテスト環境ではサービスデータは使用されず、テスト目的のために安全かつ管理された環境が維持されます。

脆弱性管理

動的脆弱性スキャン

Nozomi Networks サードパーティのセキュリティツールを採用し、OWASPトップ10セキュリティリスクを含む一般的なWebアプリケーションセキュリティリスクに対して、コアアプリケーションを継続的かつ動的にスキャンします。

ソフトウェア構成分析

Nozomi Networks製品で使用されるライブラリや依存関係は、脆弱性の特定と管理のためにスキャンされ、すべてのコンポーネントが安全であることを保証します。

第三者による侵入テスト

社内の広範なスキャンとテストプログラムに加え、Nozomi Networks 第三者のセキュリティ専門家を起用し、詳細なペネトレーションテストを毎年実施しています。

データホスティングの地域性

Nozomi Networks 、お客様のご希望や要件に応じて、複数のAWSデータセンターから柔軟にお選びいただけます。

これにより、お客様はニーズに最適なデータセンターロケーションを選択することができ、最適なパフォーマンス、コンプライアンス、データ主権を確保することができます。さまざまな選択肢を提供するNetworks で、お客様はデータの保存場所や処理方法について十分な情報を得た上で決定することができ、全体的なセキュリティと信頼性を高めることができますNozomi

データプライバシー

プライバシーへの取り組み

当社のプライバシー慣行は、業務のあらゆる側面にわたって個人情報を保護するように設計されています。これには、従業員、求職者、サプライヤー、パートナー、ウェブサイト訪問者、顧客、支払者に関連するデータが含まれます。当社は、特定された、明示された、正当な目的のためにのみ個人情報を収集し、データが正確、完全、かつ最新であることを保証します。当社は、不正アクセス、開示、改ざん、または破壊から個人情報を保護するために、強固な技術的および組織的対策を実施します。データの品質と完全性を維持するため、定期的な監査と見直しを行います。

透明性と個人の権利

透明性は、Nozomi Networksコアバリューです。個人情報がどのように収集され、利用され、保護されるかについて、明確で利用しやすい情報を提供します。当社の個人情報保護方針とお知らせは、当社のウェブサイトやその他の関連プラットフォームで容易に入手することができます。また、個人情報へのアクセス、訂正、削除、処理の制限など、適用される個人情報保護法に基づく権利を行使できるようにします。透明性へのコミットメントにより、お客様から最も機密性の高い情報を信頼していただくことができます。

Nozomi Networks 、これらの原則を遵守し、個人情報保護の実践を継続的に改善することにより、個人情報を保護し、最高水準のデータ保護を遵守することをお約束します。

AIガバナンス

AIガバナンス

Nozomi Networks、人工知能(AI)および機械学習(ML)技術の責任ある倫理的な開発、導入、利用に取り組んでいます。当社のAIポリシーは、当社のAI/MLシステムがEUのAI法を含む規制基準に準拠して開発・導入されることを保証するための包括的なガイドラインです。当社のプログラムは、当社のソフトウェアやサービスに組み込まれたすべてのAI/MLシステム、および組織内で使用されるサードパーティのAIツールに適用されます。

私たちのアプローチは、イノベーションを可能にし、責任ある行動を確保し、透明性を維持し、法的および規制上のコンプライアンス要件を遵守するという目標に沿ったものです。

ガバナンスと説明責任

Nozomi Networks 、AIイニシアチブを監督するための強固なガバナンス体制を確立しています。エンジニアリングリーダー、コンプライアンス、法務、IT部門が参加し、AIポリシーの要件を監督するための役割と責任を明確にしています。AIイニシアチブを評価するためのレビューボードまたは委員会が設置されており、すべてのAIプロジェクトが徹底的なリスク評価を受け、進化する規制に準拠していることを保証します。EUのAI法など

当社のガバナンスと説明責任へのコミットメントは、当社のAIシステムが公正、安全、倫理的に運用されることを保証し、ステークホルダーの信頼を維持するための当社の献身を強化するものです。

保証

保証

01
ISO 27001

Nozomi Networks ISO27001:2022の認証を取得しています。認証書のダウンロードはこちらから。

02
SOC 2 タイプII

セキュリティ、可用性、機密性の原則に基づき、毎年包括的な監査を受けています。SOC 2 Type II レポートはNDAの下で入手可能です。 最新のレポートをご希望の方は、Nozomi Networks 営業担当者までお問い合わせください。

03
SOC 3

SOC 3報告書のダウンロードはこちらから。

04
ISO 9001

Nozomi Networks ISO9001:2015の認証を取得しています。認証書はこちらからダウンロードできます。

ホワイトペーパー

顧客データの保護Vantage SaaSマルチテナント

このホワイトペーパーでは、Vantage データセキュリティアーキテクチャーの概要を説明し、お客様にとってのデータ保護の重要性を強調します。

ダウンロード
ホワイトペーパー

Nozomi Networks Vantageによるセキュリティ対策

このホワイトペーパーでは、Amazon Web Services(AWS)上でホストされるクラウドネイティブなプラットフォームであるNozomi Networks Vantage保護するために設計されたセキュリティフレームワーク、アーキテクチャ、コントロール、運用手順について概説します。

ダウンロード
ホワイトペーパー

EU AI法におけるVantage IQクラスタリング機能のコンプライアンス評価

このホワイトペーパーでは、Nozomi Networks Vantage IQ プラットフォームに組み込まれたAIベースのクラスタリング機能に関する最近の監査結果を紹介する。

ダウンロード

次のステップに進む

OT およびIoT 資産の発見、インベントリ、管理を自動化することで、サイバー脅威の特定と対応がいかに容易になるかをご覧ください。