メインコンテンツに移動
(Enter を押します)

セキュリティ、プライバシー、信頼性に関するリソース

シスコは、セキュリティ、プライバシー、信頼性を確保するうえで、信用性、透明性、説明責任を特に重視しています。

セキュリティ、プライバシー、信頼をベースとしたソリューションの提供

現代ではほぼすべてのものが接続され、データを生成しています。接続は、私たちが家族を大切にし、医療サービスを受け、生計を立てて豊かに暮らし、ニュースをチェックし、娯楽を楽しみ、将来に備えるために欠かせないライフラインとなっています。新しいデジタルリアリティは膨大な機会を生み出す一方で、かつてないレベルのリスクももたらします。

組織はこれまで常にセキュリティ、プライバシー、信頼性を必要としてきました。こうした属性は、今日の困難なビジネス環境においてミッションクリティカルなものとなっています。絶えず変化する期待に対応し、新たな基準が必要です。シスコはお客様のニーズに対応できるよう、耳を傾け、学び、進化しています。シスコでは、セキュリティとプライバシーに対して他社とは異なるアプローチを取っています。シスコが他と違うのは、セキュリティとプライバシーに対する総合的なアプローチを採用し、信用性、透明性、説明責任の 3 つの重要な原則を軸としている点です。シスコがこの 3 つの方法でどのようにお客様の信頼を獲得し、維持しているかについて、以下に説明します。

信用性

シスコは、ソリューションのライフサイクルの全段階でセキュリティとプライバシーを組み込んでいます。シスコのソリューションは安全性に優れ、個人情報が保護されるだけでなく、必ずセキュリティとプライバシーに関する徹底的なチェックおよび検証を経たうえで出荷されるようになっています。そのため、お客様は競争優位性を獲得し、重要なインフラストラクチャ、アプリケーション、データの安全性を高めることができます。

透明性

シスコは、グローバル基準、認定、政府規制の遵守など、ソリューション ポートフォリオ全体で採用しているセキュリティとプライバシーへのアプローチに関する情報を公開しています。またグローバルなサイバーセキュリティと信頼の水準を共同で高めるべく、シスコのサイバーレジリエンス戦略を世界中の組織と共有しています。

  • 主要な例として、レガシー ネットワーク インフラストラクチャに対して急増する高度なサイバー攻撃への対応が挙げられます。シスコは ネットワークレジリエンスを支えるソフトウェアの更新と、ハードウェアの保守の重要性に引き続き注力しています。
  • シスコは Network Resilience Coalition の創設メンバーです。テクノロジープロバイダー、セキュリティ専門家、ネットワーク事業者と連携してネットワークセキュリティの向上に取り組み、世界の経済と国家の安全保障を支えています。
  • シスコは ソフトウェアの透明性に取り組んでいます。これにより、サイバーリスクを軽減できるほか、安全なソフトウェア開発の実践が行われているかや、その方法についてお客様が効率よく評価できるようになります。
  • 2023 年には、お客様がシスコの Trust Center でソフトウェア部品表(SBOM)を要求できるようになりました。これにより、シスコ製品の構築に使用されているサードパーティのソフトウェアを確認できます。
  • Trust Center は、シスコの信用性、透明性、説明責任のあるアプローチ、シスコにおける信頼の原則、セキュリティとプライバシーならびにお客様の信頼の獲得と構築に関するソートリーダーシップについて情報共有の場となる外部サイトです。シスコの透明性レポートには、世界中の法執行機関や国家安全保障機関からの要求事項が記載されています。詳細については、政府のデータ要求に対するシスコの原則的なアプローチと、政府のデータ要求に関する法律の施行ガイドラインを参照してください。
  • Trust Portal では、セキュリティとプライバシーのコンプライアンスに関するドキュメントへのアクセスをお客様に提供しています。シスコ製品が、セキュリティに対する市場の期待に対応していることを保証しています。このファクトシートでは、シスコの Transparency Service Center に関する情報を提供しています。このプログラムを利用することで、ユーザーはハードウェア、ソフトウェア、ファームウェアなどのシスコテクノロジーのレビューおよびテストを、シスコのサイトにある専用の安全な設備で実施できます。
  • さまざまなシスコソリューションで利用できるプライバシーデータシートでは、シスコが個人データの収集と使用を管理する方法、シスコが個人データを処理する目的、データが処理される場所、およびデータを処理するサードパーティの副処理者について説明しています。
  • プライバシーデータマップは、ソリューションのライフサイクル全体で多種多様な個人情報がどのように収集、使用、保管、共有されているかを視覚的に説明した資料です。
  • シスコは、プライバシーに関心のあるプライバシーおよびセキュリティの専門家やビジネスリーダーにプライバシーレポートを発行しています。毎年行われるデータ プライバシー ベンチマーク調査もその 1 つです。データ プライバシー ベンチマーク調査は、世界中の組織におけるプライバシーに関する取り組みと組織の成熟度レベル、プライバシーへの財務的な投資、その投資によるビジネス上のメリット、プライバシーへの取り組みの原動力となっているものを調査することを目的としています。こちらのブログでは、プライバシーの影響が拡大し続けている状況について詳しく説明しています。
  • コンシューマプライバシー調査は、個人データに関する消費者の意識と行動に関する年次レポートです。
  • また、Center for Information Policy Leadership(CIPL)などの組織と連携し、調査レポート『Business Benefits of Investing in Data Privacy Management Programs』を発行しています。詳しくはこちらのブログをご覧ください。
  • シスコのサイバーセキュリティ レポートでは、世界のサイバーセキュリティの状況に関心のあるセキュリティの専門家やビジネスリーダー向けに最新情報を提供しています。これにはシスコの脅威レポートセキュリティ成果レポートなどが含まれます。
  • Cisco Cloud Controls Framework(CCF)は、SaaS に関する提案に求められるセキュリティとプライバシーのコンプライアンスおよび認定要件の包括的なセットを、単一のフレームワークに集約したものです。CCF は公開されています。詳細については、概要ビデオとこちらのブログをご覧ください。
  • Trustworthy Cloud では、シスコが国際的ガバナンス組織と連携して進めている、コンプライアンスを実証して安全な各国間のデータフローを促進するメカニズムや先進的なプラクティスを開発、強化する取り組みに注目しています。例として、EU クラウド行動規範レベル 3 の準拠を達成した初のコラボレーションスイートである Webex by Cisco を取り上げています。
  • 人工知能(AI)の責任ある使用は、イノベーションに対するシスコのアプローチの重要な部分をなしています。シスコの責任ある AI の原則責任ある AI フレームワークをご覧ください。これらの原則とプラクティスが、AI を開発、導入、使用するメンバー向けの広範な AI ガバナンスのフレームワークとなっていることを確認できます。
  • シスコ脆弱性リポジトリは、シスコ製品に影響を与える可能性のある、一般に公開されているコンピュータセキュリティの欠陥または Common Vulnerability and Exposures(CVE)の脆弱性検索エンジンです。これにより、シスコのお客様は、お使いのシスコ製品が特定のサードパーティの脆弱性の影響を受けているかどうかを理解し、CVE に関連するシスコ セキュリティ アドバイザリを表示できます。
  • シスコ製品には影響しないものの、他のベンダーの製品に関係する脆弱性を認識した場合、シスコはシスコベンダー脆弱性レポートおよび開示ポリシーに従います。

説明責任

シスコでは、セキュリティとプライバシーの専門家からなる専任チームが、セキュリティインシデントの検出、通知、対応、修復をタイムリーに行えるよう責任を持ってプロアクティブに対応することにより、お客様のビジネスの回復力と継続性をサポートしています。

  • シスコのセキュリティと信頼性に関するインフォグラフィックは、シスコによるお客様のセキュリティとプライバシーの保護を支えている人々、プロセス、テクノロジー、およびポリシーについて詳しく説明しています。
  • シスコのセキュリティ脆弱性ポリシーおよびシスコ セキュリティ アドバイザリでは、シスコの製品またはサービスに脆弱性が報告された場合のガイダンスと情報を提供しています。
  • シスコのイベントレスポンスでは、お客様のネットワーク、アプリケーション、およびデバイスに広範な影響を与える可能性があるセキュリティイベントに関する情報を提供しています。また、エンドユーザーまたはその代理人がデータを追加、変更、削除、移植したり、データの処理を停止したりできるように、データ主体の要求を処理するメカニズムも備えています。
  • シスコはセキュリティインシデントや個人情報インシデントの解決に責任を負っています。シスコのソリューションで問題が発生した場合、グローバルな組織であるシスコ プロダクト セキュリティインシデント レスポンス チームが、解決手順を文書化したプレイブックを使用して迅速に対応します。
  • セキュリティまたは個人情報インシデントが発生した場合、シスコの Computer Security Incident Response Team(CSIRT)やデータインシデント対応チームが、24 時間 365 日体制で包括的なインシデントの調査と防止を実施します。2022 年にサイバー攻撃が発生した際には、CSIRT と Talos が迅速に解決に取り組みました。
  • Cisco Talos は、実績と信頼のある脅威インテリジェンス リサーチ チームであり、世界トップクラスの研究者、アナリスト、エンジニアで構成されています。Talos は、包括的なインテリジェンスでシスコのポートフォリオを支えます。お客様の環境をサポートし、世界中で毎日発生するイベントに対応しています。次のような検証可能でカスタマイズ可能な防御テクノロジーと手法を提供し、お客様、ユーザー、インターネット全体が資産を迅速に保護できるよう支援します。
    • Talos インシデント対応チームは、プロアクティブサービス/緊急サービスのフルスイートを提供することにより、組織の準備、対応、および侵害からの復旧を支援します。
    • Reputation Center では、ドメイン、IP、ファイルに関する膨大な脅威データと関連情報へのアクセスを提供しています。
    • Talos 脆弱性調査では、悪意のある攻撃者が行う前にソフトウェアとオペレーティングシステムの脆弱性を調査、発見します。シスコでは、ベンダーがパッチを作成して顧客をできるだけ早く保護できるように、この情報をベンダーに提供しています。
    • Snort(侵入防御システム)や、ClamAV(トロイの木馬、ウイルス、マルウェア、その他の悪意のある脅威を検出するためのウイルス対策エンジン)など、オープンソースのセキュリティソフトウェアを提供しています。
    • Talos ブログでは、マルウェアキャンペーン、国家活動、侵害の兆候に関する最新の脅威調査を公開しています。脅威情報ニュースレターでは、サイバーセキュリティに関する重要なニュースを毎週まとめています。『Beers with Talos』ポッドキャストシリーズではセキュリティに関するあらゆるテーマを取り上げ、『Talos Takes』では複雑な問題をわかりやすく解説しています。
  • Talos の『一年の総括』は、2023 年に組織に影響を与えたインシデントの主な動向を分析したものです。
  • シスコはお客様、製品、および当社自身を徹底して保護することに全力を尽くしています。シスコ オンライン プライバシー ステートメントは、信頼を構築および維持するためのシスコのアプローチをまとめたもので、要約形式でも入手できます。
  • シスコのグローバル プライバシー プログラムおよびグローバル プライバシー ポリシーは、欧州連合(EU)のプライバシー保護規制当局によって、EU の法律の下で保護される個人情報の転送について、個人のプライバシー、基本的権利および自由を保護するための適切な措置を提供するものであると承認されています。シスコの EU 拘束的企業準則 - 管理者は、EU の個人情報の全世界に向けた管理者としてシスコが行う国外転送が追加の保護措置の恩恵を受けることを規定しています。シスコは、EU のプライバシー要件に準拠した契約上の取り決めを希望するお客様との間に、標準契約条項を組み込んだデータ保護基本契約を締結します。
  • シスコのグローバル プライバシー プログラムは、アジア太平洋経済協力(APEC)越境プライバシールールシステム(CBPR)およびプライバシー処理者認定(PRP)に準拠しています。APEC CBPR システムおよび PRP は、APEC に参加する国と地域の間で転送される個人情報を企業が確実に保護するためのフレームワークを提供しています。
  • シスコはこのたび、個人データの転送に関して、 EU - 米国間のデータ プライバシー フレームワークとスイス - 米国間のデータ プライバシー フレームワークの認定を取得しました。EU、欧州経済領域(EEA)、英国、ジブラルタル、およびスイスから、十分性認定を受けていない国に個人データを転送する場合、シスコは、標準契約条項、拘束的企業準則 - 管理者、または個人データを保護するための適切な保護措置を設けているその他の法的な転送の仕組みに依拠することがあります。さらに、シスコおよび米国に拠点を置くその子会社は、EU、EEA、英国(とジブラルタル)、およびスイスから米国に個人データを転送するための EU - 米国間のデータ プライバシー フレームワーク(EU-U.S. DPF)、EU-U.S. DPF の英国拡張版、およびスイス - 米国間のデータ プライバシー フレームワーク(Swiss-U.S. DPF)を遵守しています。