クラウドストライク -
コンプライアンスと認証

規制遵守をサポート

クラウドストライクは、コンプライアンスおよび認証のフレームワークがお客様にとって非常に重要であることを理解しています。クラウドストライクが各種要件の充足をサポートしますので、お客様は安全・円滑で規制にも準拠した事業運営を手に入れることができます。クラウドストライクの能力と技術を通じてデータセキュリティ確保と規制要件充足を目指すお客様にとって、外部機関による認証・認定は非常に重要です。

PCI DSS 4.0

ペイメントカード業界(PCI)の認定セキュリティ評価者であるCoalfireが作成した最新のレポートでは、CrowdStrike Falcon®プラットフォームの機能と、組織がそれを使用して多数のPCI技術制御要件を効果的にサポートし、機密性の高いクレジットカードのアカウントデータを保護する方法をレビューしています。詳細情報:

  • ペイメントカード業界データセキュリティ基準(PCI DSS)4.0のセキュリティ要件、対象組織、およびコンプライアンスを測定するためのテスト手順。
  • 12項目のセキュリティ要件のそれぞれについて実際のクレジットカードの顧客評価と同じ手順を使用した、Coalfireによるクラウドストライクのプラットフォームとその機能の分析。
  • 想定される影響力のあるユースケース、PCI DSSコンプライアンスに影響を及ぼす領域の評価、およびFalconプラットフォームの使用に固有の重要なセキュリティ制御と運用に関する特記。

サイバーセキュリティ成熟度モデル認証2.0(CMMC 2.0)

米国国防総省のサプライチェーンである防衛産業基盤の保護を成熟させるために作成されたクラウドストライクのソリューションは、お客様がレベル5までのコンプライアンスに対応できるよう支援します。

  • クラウドストライクのプラットフォームは、CMMC 2.0プログラムとその目的および要件を効果的にサポートします。Coalfireの見解では、CrowdStrike Falconプラットフォームは、17項目のCMMC 2.0レベル1要件のうち最大で11項目、110項目のCMMC 2.0レベル2要件のうち80項目を強力にサポートします。
  • クラウドストライクのモジュラーサブスクリプション機能により、お客様は国防総省の要求を満たすのに必要な機能だけを選択してご利用いただけます。

FEDRAMP

CrowdStrike Falcon® on GovCloudは、連邦リスクおよび承認管理プログラム(FedRAMP)に基づき認証を受けています。クラウドストライクが米国商務省の国際通商局(ITA)から取得している運用権限(ATO)Moderate Impact Level は、クラウドを通じて提供される包括的なエンドポイント保護というニーズに応えます。これは、クラウドコンピューティングを用いてIT のモダナイゼーションを進め業務を合理化するという連邦政府の取り組みを後押しするものです。クラウドストライクは、FedRAMP認証を通じてこのプロセスを簡略化し、連邦機関をサポートしています。

アメリカ国防情報システム局(DISA)

CrowdStrike Falcon on GovCloudは、DISAから2つの別々の暫定承認(PA)を付与されており、インパクトレベル4(IL4)とインパクトレベル5(IL5)で運用するためのDoD基準に準拠しています。この承認により、国防総省の機関や支援組織は、必要なセキュリティ管理を精査して承認するために追加の時間と労力を自ら費やすことなく、クラウドストライク製品を使用できます。

刑事司法情報サービス(CJIS)

刑事司法情報サービス(CJIS)への準拠は、機密性の高い刑事司法情報を扱う法執行機関やベンダーにとって重要です。CJIS セキュリティポリシーは、ワイヤレスネットワーク、データ暗号化、リモートアクセス、人員などを保護するためのさまざまなコントロールについて説明します。GovCloudでクラウドストライクとCJISセキュリティ契約を締結した州に対して、クラウドストライクはCJISをサポートすることができます。詳細情報につきましては、貴社担当の営業チームにお問い合わせください。

EU-米国間およびスイス-米国間プライバシーシールドフレームワーク

クラウドストライクは、当社のデータ保護契約に詳述されているように、Schrems II事件判決後の合法的な転送メカニズムを遵守することに加えて、EU-米国間プライバシーシールドフレームワークおよびスイス-米国間プライバシーシールドフレームワークに引き続き参加し、その遵守を証明しています。クラウドストライクは、欧州経済地域(EEA)、英国、スイスから受領した個人情報を、各プライバシーシールドフレームワークの適用原則に依拠して取り扱うことにコミットしています。

  • クラウドストライクは、CrowdStrike Falcon®プラットフォームで収集および保存された個人データの適切な取り扱いに関するGDPR要件に準拠しています。
  • クラウドストライクは、GDPRコンプライアンスの実現を目指す組織に、プラットフォームとクラウドのセキュリティ、インテリジェンスサブスクリプションサービス、プロフェッショナルサービスなどを提供します。

HIPAA

HIPAAコンプライアンス評価で業界をリードするCoalfireが作成したこのレポートでは、HIPAA(医療保険の携行性と責任に関する法律)を実装する組織向けの特定のプライバシールールなど、HIPAAセキュリティの要件に対処するためにCrowdStrike Falcon®をどのように使用できるかを概説しています。

要点は以下のとおりです:

  • CrowdStrike Falcon®は、医療機関によるHIPAAコンプライアンス達成を支援することが独立して検証されています
  • CrowdStrike Falcon®は、8つの主要なHIPAA技術要件に対応していると確認されました

NIST SP 800-53 REV. 5

業界をリードするコンプライアンス評価者であるCoalfireによって作成されたこのレポートは、CrowdStrike Falcon®プラットフォームのセキュリティ性能、機能、特長が米国国立標準技術研究所(NIST)に対するコンプライアンスの取り組みにおいて組織をどのように支援できるかを詳述しています。NIST Special Publication 800-53 Revision 5は連邦の情報を処理、保存、または送信する情報システムのコンポーネントの技術的、物理的、および運用上のセキュリティ制御を選択する場合のガイドラインを提供するセキュリティ管理基準です。要点は以下のとおりです:

  • CrowdStrike Falcon®は、NIST SP 800-53 Rev. 5が指定するシステム保護および監視制御に対処する上で有効。
  • Coalfireは、CrowdStrike Falconプラットフォームが、NIST SP 800-53 Rev. 5の低インパクト要件149項目のうち最大で38項目、287項目の中インパクト制御のうち81項目、370項目の高インパクト要件のうち102項目を強力にサポートできることを確認。

FFIEC

業界をリードするコンプライアンス評価機関であるCoalfireによって作成されたこのレポートは、CrowdStrike Falcon®が連邦金融機関審査評議会(FFIEC)に関するコンプライアンスの取り組みにおいて組織をどのように支援できるかを概説しています。このフレームワークは、顧客の財務情報を保護するために必要なベースラインの技術的、物理的、および運用上のセキュリティ制御を定義するものです。クラウドストライクのFalconプラットフォームは、金融機関を監査する審査官に金融機関の情報システムに対するセキュリティリスクのレベルを判断するためのガイダンスを提供する「FFIEC IT Examiner's Handbook for Information Security」の2016年リリースに照らして評価されました。要点は以下のとおりです:

  • CrowdStrike Falcon®は、脅威の検知と対応、および関連するエンドポイントアクティビティデータの収集機能を備え、FFIECコンプライアンスに必要なシステム保護と監視制御に対処するための適切なソリューションです。
  • クラウドストライクのFalconは、5つのFFIEC目標を達成するためのサポートを提供し、目標のうち17の制御に対処します。

NSA-CIRA

国家安全保障局(NSA)の認定は、クラウドストライクが、サイバーセキュリティ調査に関する業界や政府のベストプラクティスから導き出された重要な重点分野で評価・認定されていることの証です。

  • クラウドストライクは、国家安全保障局から国家セキュリティサイバー支援プログラム(NSCAP)およびサイバーインシデントレスポンス支援(CIRA)の認証を受けている全12組織のうちの1つです。

SERVICE ORGANIZATION CONTROL 2(SOC 2®)

この認証は、サービス組織におけるセキュリティまたは可用性、処理の整合性、機密性、プライバシー関連の管理に関するものです。

  • クラウドストライクはService Organization Control 2標準に準拠しており、CrowdStrike Falcon®をお使いのお客様にSOC 2®️レポートを提供しています。
  • Type 2レポートは、設計の適合性とコントロールの運用効率に関するものです。

AV COMPARATIVESテスト

ベンダーとは無関係の独立組織であるAV-Comparativesは、体系的なテストを実施し、セキュリティソフトウェアがそれぞれの公約や主張に一致するパフォーマンスを提供しているかどうかをチェックしています。クラウドストライクはそのAV Comparativesから、彼らが初めて行う次世代セキュリティ製品関連の公開比較テストへの参加依頼を受けました。テストレポートの要点は以下のとおりです:

  • CrowdStrike Falconは「Approved NextGen Security」の初代受賞者となりました。
  • CrowdStrike Falcon®は、テストに参加したエンドポイントソリューションの中で唯一、検知率100%を達成(テストに使用されたエクスプロイトすべてを検知)しています。
  • CrowdStrike Falcon®は、AV-Comparativesによって実行された3つの別々のマルウェアテストで、誤検知ゼロで98〜99.2%の検知率を記録しました。

CLOUD SECURITY ALLIANCE (CSA)のSECURITY, TRUST, & ASSURANCE REGISTRY (STAR) 認証

CSA STAR認証は、オープン認定フレームワークのレベル2として位置付けられ、SOC2フレームワークと追加のクラウドプロバイダー固有の基準を組み合わせてクラウドサービスプロバイダーのセキュリティを評価する第三者が関与します。

  • 顧客データおよび内部統制に関するクラウドストライクの統制は、独立した第三者認証機関によって検証されており、クラウドストライクは完全なSTAR認証を維持しています。この証明は毎年再評価されます。
  • 現在のCSA Star認証は、SOC 2とCSA STARを組み合わせたレポートの一部として含まれており、適用可能なセキュリティ管理の設計と運用の有効性の適合性について説明しています。

アンチマルウェアテスト標準化機構(AMTSO)

クラウドストライクは、アンチマルウェアテスト標準化機構の登録ベンダーメンバーです。AMTSOの使命は、アンチマルウェア製品およびソリューションの開発、使用、テスト、および評価に関連するビジネスの状況の改善を支援することです。

  • ベンダーメンバーを務めるクラウドストライクはアンチマルウェア製品のテスト基準の開発に貢献しています。
  • クラウドストライクは、AMTSOが開発したアンチマルウェアテスト基準に準拠するテストに参加しています。例えば、クラウドストライクの機械学習エンジンはAMTSOのテストメンバーであるSE Labsの認証を受けています。

VPAT

クラウドストライクは、関連する政府の基準とコンプライアンスコントロールの遵守に取り組んでいます。このコミットメントは、当社のサービスにアクセスして利用する全ての個人のために、これらの基準に対するコンプライアンスを継続的に理解、実装、維持することに重点を置いている当社の姿勢に反映されています。

  • クラウドストライクは、1973年に改正されたリハビリテーション法第508条に従って、情報アクセシビリティ自己評価様式(VPAT)を作成しました。
  • Falconプラットフォームの情報アクセシビリティ自己評価様式(VPAT)は、お客様のリクエストに応じてご利用いただけます。

EU一般データ保護規則(GDPR)

クラウドストライクは、製品やサービスを通じて処理される個人データの適切な取り扱いに関するGDPR要件を遵守しています。さらに、クラウドストライクの製品やサービスはGDPRのセキュリティ要件に適合しようとしているお客様のコンプライアンス資産として活用できます。

現代奴隷制に反対する声明

クラウドストライクは、あらゆる形態の現代奴隷制、人身売買、その他の強制労働や児童労働を容認しないアプローチを採用しています。クラウドストライクは、サプライチェーンからの人身売買、現代奴隷、その他の強制労働または児童労働の排除を全面的に支援し、英国の2015年現代奴隷法を遵守する所存です。