CrowdStrike - コンプライアンスおよび認証

規制遵守をサポート

CrowdStrikeは、コンプライアンスおよび認証に関するフレームワークがお客様にとって非常に重要であることを理解しています。CrowdStrikeが各種要件の充足をサポートしますので、お客様は安全・円滑で規制にも準拠した事業運営を手に入れることができます。CrowdStrikeの能力と技術を通じてデータセキュリティ確保と規制要件充足を目指すお客様にとって、外部機関による認証・認定は非常に重要です.

PCI DSS V3.2

このレポートは、PCI認定審査機関(QSA)であるCoalfireが作成しました。PCI DSS v3.2に照らしCrowdStrike Falconの機能を概説したものであり、要点は下記のとおりです。

  • CrowdStrike Falconは、要件5「マルウェアに対してすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新するの全要素を満たしている
  • CrowdStrike Falconは、さらに4つのPCI要件の充足をサポートする.

FEDRAMP

CrowdStrike Falcon on GovCloudは、Federal Risk and Authorization Management Program(FedRAMP)に基づき認証を受けています。CrowdStrikeが米国商務省の国際通商局(ITA)から取得している運用権限(ATO)Moderate Impact Level は、クラウドを通じて提供される包括的なエンドポイント保護というニーズに応えます。これは、クラウドコンピューティングを用いてIT のモダナイゼーションを進め業務を合理化するという連邦政府の取り組みを後押しするものです。CrowdStrikeは、FedRAMP認証を通じてこのプロセスを簡略化し、連邦機関をサポートしています.

EU-米国間プライバシーシールドフレームワーク

CrowdStrikeは、2016年の初認証以来、EU-米国間プライバシーシールドフレームワークに積極的に参加しています。このフレームワークは、両大陸のいずれかに所在する企業に対し、EUから米国へと個人データを移転する際のデータ要件の遵守手段を提供するものです。プライバシーシールドフレームワークの認証済み参加者として、CrowdStrikeは主に以下を履行します。

  • CrowdStrike Falconプラットフォームで収集・保存された個人データの適切な取り扱いに関し、GDPR要件を遵守する.
  • プラットフォームおよびクラウドセキュリティ、インテリジェンスサブスクリプションサービス、専門サービスなどを提供し、GDPR遵守を目指す組織をサポートする.

スイス-米国間プライバシーシールドフレームワーク

CrowdStrikeは、スイス-米国間プライバシーシールドフレームワークにも積極的に参加しています(2017年に認証を取得)。このプライバシーシールドフレームワークの認証済み参加者として、CrowdStrikeは以下を履行します。

  • CrowdStrike Falconプラットフォームで収集・保存された個人データの適切な取り扱いに関し、GDPR要件を遵守する。

HIPAA

このレポートは、HIPAAの主要コンプライアンス評価者であるCoalfireが作成したものです。HIPAAのセキュリティ要件(HIPAA(医療保険の相互運用性と説明責任に関する法律)に沿って組織が遵守すべき具体的なプライバシー規則を含む)

レポートの要点は下記のとおりです:

  • CrowdStrike Falconについては、医療機関によるHIPAA遵守をサポートするものとして有効性が独立機関によって認証されている.
  • CrowdStrike Falconは、8つの異なるHIPAA主要技術要件に対応するものと認識されている.

NIST SP 800-53改訂第4版

このレポートは、主要コンプライアンス評価者であるCoalfireが作成したものであり、米国国立標準技術研究所(NIST)関連のコンプライアンス確保に取り組む組織に対してCrowdStrike Falconが提供できるサポートを概説しています。NIST特別刊行物(SP)800-53改訂第4版は、連邦政府の情報を処理または保存、送信する情報システムのコンポーネントに適用すべき、技術的および物理的、そして運用上のセキュリティ管理策の選択についてガイドラインを示すセキュリティ管理基準です。レポートの要点は下記のとおりです。

  • CrowdStrike Falconは、NIST SP 800-53改訂第4版に規定されるシステム保護への対応および管理策の監視に適したソリューションである.
  • CrowdStrike Falconは、8つの異なるNIST管理策群(これらは23の異なる管理策をカバーする)の採用をサポートする.

FFIEC

このレポートは、主要コンプライアンス評価者であるCoalfireが作成したものであり、米国連邦金融機関検査協議会(FFIEC)関連のコンプライアンス確保に取り組む組織に対してCrowdStrike Falconが提供できるサポートを概説しています。このフレームワークは、顧客の財務情報を保護するための技術的および物理的、そして運用上のベースラインセキュリティ管理策を定義します。CrowdStrikeのFalconプラットフォームはFFIECのIT検査官向け情報セキュリティハンドブック2016年版に照らして評価されます。このハンドブックは、金融機関の監査を行う検査官に対し、各機関の情報システムが抱えるセキュリティリスクの程度を判定するためのガイダンスを提供するものです。レポートの要点は下記のとおりです:

  • CrowdStrike Falconは、脅威に対する検知・対応能力およびそれに関連するエンドポイントアクティビティデータの収集能力を有し、FFIECの規制に準拠するためのシステム保護への対応および管理策の監視に適したソリューションとなっている。
  • CrowdStrikeのFalconは、FFIECが定める5つの目標(これらが計17の管理策をカバーする)の達成をサポートする.

NSA-CIRA

国家安全保障局による認定。サイバーセキュリティ調査に関する業界および政府のベストプラクティスから導き出された重要な焦点領域において、CrowdStrikeが評価・認証を受けていることを意味します.

  • CrowdStrikeは、国家安全保障局から国家セキュ リティサイバー支援プログラム(NSCAP)およびサイバーインシデントレスポンス支援(CIRA)の認証を受けている精鋭12組織に名を連ねています。

Council for Registered Ethical Security Testers(CREST)

CRESTは、技術情報セキュリティ市場を代表・支援する非営利の国際認定・認証機関です。

  • CrowdStrikeは見事CRESTの要件を満たし、正会員となっています。
  • CrowdStrikeは、グローバル規模でのサイバーインシデントレスポンス分野において、CRESTの要件を満たしています。

SERVICE ORGANIZATION CONTROL 2(SOC 2®)

この認証は、サービス組織におけるセキュリティまたは可用性、処理の整合性、機密性、プライバシー関連の管理策に関するものです。

  • CrowdStrikeはService Organization Control 2の基準に準拠しており、CrowdStrike Falconを使用するお客様にSOC 2®レポートを提供しています。
  • Type 2レポートは、管理策の設計適合性と運用有効性に関するものです。

AV COMPARATIVESによるテスト

ベンダーとは無関係の独立組織としてよく知られるAV-Comparativesは、体系的なテストを実施し、セキュリティソフトウェアがそれぞれの公約や主張に沿ったパフォーマンスを発揮しているかどうかをチェックしています。CrowdStrikeはそのAV Comparativesから、彼らが初めて行う次世代セキュリティ製品関連の公開比較テストへの参加依頼を受けました。このテストレポートの要点は下記のとおりです:

  • CrowdStrike Falconは、「Approved NextGen Security」の初代受賞者となりました。
  • CrowdStrike Falconは、テストに参加したエンドポイントソリューションの中で唯一、検知率100%を達成(テストに使用されたエクスプロイトすべてを検知)しています。
  • CrowdStrike Falconは、AV-Comparativesが実施した3つの異なるマルウェアテストにおいて、誤検知なしで98~99.2%の検知率を記録しました。

CLOUD SECURITY ALLIANCE (CSA) SECURITY, TRUST, & ASSURANCE REGISTRY (STAR) ATTESTATION

CSA STAR AttestationはOpen Certification Frameworkのレベル2に位置付けられており、SOC2フレームワークおよびその他クラウドプロバイダー固有の基準に基づいて第三者が実施するクラウドサービスプロバイダーのセキュリティ評価を伴います。

  • 顧客データと内部統制に関連するCrowdStrikeの管理策は、独立した第三者認定を通じて実証済みであり、また、CrowdStrikeは完全なSTAR Attestationを維持しています。なお、この認証は毎年再評価されます。
  • 現行のCSA STAR Attestationに関する情報は、SOC 2およびCSA STARの共通レポート(該当するCrowdStrikeセキュリティ管理策の設計適合性と運用有効性について記載したもの)に含まれています。

ANTI-MALWARE TESTING STANDARDS ORGANIZATION (AMTSO)

CrowdStrikeは、Anti-Malware Testing Standards Organization加盟ベンダーのひとつです。AMTSOの使命は、アンチマルウェア製品およびソリューションの開発・使用・テスト・評価を取り巻く状況を改善することです。

  • As a vendor member, CrowdStrike contributes to the development of standards for testing anti-malware products.
  • CrowdStrikeは、一加盟ベンダーとしてアンチマルウェア製品のテスト基準の策定に貢献しています。 CrowdStrikeは、AMTSOが作成したアンチマルウェアテスト基準に準拠したテストに参加しており、たとえば、CrowdStrikeの機械学習エンジンは、 AMTSOの加盟テスターであるSE Labsの認証を受けています。.

VPAT

CrowdStrikeは、関連する政府基準とコンプライアンスコントロールの遵守に取り組んでいます。この取り組みは当社のサービスにアクセスして消費する全ての個人のために、これらの基準への継続的なコンプライアンスの理解、実装、維持に重点を置いている事に反映されています。

  • CrowdStrikeは 1973年のリハビリテーション法の第508条に従い、自発的にVoluntary Product Accessibility Template (VPAT)を用意しています。
  • Falcon PlatformのVoluntary Product Accessibility Template (VPAT)は、既存のお客様またはCrowdStrike製品導入予定のお客様が入手可能です。