HCL BigFix Trust Center
ソフトウェアセキュリティは、HCL と当社の大切なお客様にとってきわめて重要です。また、HCL BigFix の開発の中心を成すものでもあります。HCL のセキュリティ戦略は、企業および組織のセキュリティポリシー、インシデント管理と対応、事業継続性と災害復旧、セキュアなソフトウェア開発プロセス、プライバシーを含む当社のビジネスのあらゆる側面を網羅しています。
この Web ページは HCL BigFix の安全な開発プロセスを中心に、企業および行政機関のお客様にとって重要な製品認証についてご説明します。HCL BigFix ソリューションがどのように IT チームとセキュリティチームによるエンドポイント・フリートのセキュリティ確保を支援するかをご紹介します。
セキュアな製品開発
HCLSoftware は、開発したコードを保護し、企業のお客様にも、行政機関のお客様にも提供できるよう、厳格な開発プロセスを遵守しています。
さらに、BigFix コンテンツはさまざまな方法で保護されています。第 1 に、BigFix Content Server はセキュアなデータセンターで稼働しています。第 2 に、ファイルアクセス・コントロールリスト (FACL) はアクセスと変更を権限付与されたユーザーに限定しています。そして最後に、BigFix コンテンツ自体がセキュアな構築プロセス中に暗号学的に署名されています。適切な署名のないコンテンツは BigFix サーバーによって拒否され、エラーとして記録されます。その結果、BigFix Content Servers からお客様がダウンロードしたコンテンツは保護されセキュリティが確保されています。
セキュアな製品サポート
当社の製品サポートチームは必須情報のみを収集することによりお客様のデータと情報を保護しており、お客様の連絡先情報やケースデータへのアクセスは報告された問題のトラブルシューティングに実際に取り組んでいる人物のみに制限し、お客様の機密情報は暗号化して対象者以外は読取り不能にしています。当社のデータ保護ポリシーには以下が含まれます。
- 必須の会社情報と連絡先情報のみを収集する。
- お客様の情報とデータは HTTPS とトランスポート・レイヤー・セキュリティ (TLS) プロトコル経由でやり取りする。
- 診断データは SFTP または HTTPS 経由で TLS プロトコルを使用して送信し、保存データは AES アルゴリズムを使用して暗号化する。
HCLSoftware のサポート組織は ISO27001 認証を取得しています。外部監査人が HCLSoftware の実践、ポリシー、手順を検証し、当社の情報セキュリティ管理システム (ISMS) が規格の要件を満たしていることを確認しました。ISO 27001 コンプライアンスはお客様のデータと情報を保護する当社の能力を証明するものです。
HCL BigFix セキュリティ速報
HCL 製品セキュリティインシデント対応チーム (PSIRT) は、HCLSoftware 製品サービスの報告されたセキュリティ脆弱性の受信、調査、内部連携を管理します。PSIRT が連携している製品開発チームは、報告されたセキュリティの脆弱性を調査し、適切な対応計画を特定します。対応計画が特定されると、製品チームは内部および外部の関係者と連携して脆弱性対応プロセスを実行します。詳しくは、HCLSoftware PSIRT ページをご覧ください。
HCL PSIRT はセキュリティ速報をお客様とパートナーに向けて発表しています。各セキュリティ速報には CVE と追加の詳細や修復のポイントが記載されています。HCL BigFix セキュリティ速報のリストは HCLSoftware コミュニティーフォーラムでご覧いただけます。
製品認証
HCL は、当社の業界セキュリティに対するコンプライアンスを評価する多様な団体と提携しているため、お客様やパートナーは当社製品の完全性を確認していただくことができます。HCLSoftware のコーポレート・コンプライアンスに関する詳細については、HCLSoftwareの「コンプライアンス」ページをご覧ください。以下の HCL および BigFix の認定は、取得済みまたは申請中です (詳細は下記参照)。
アプリケーションソフトウェア用コモン・クライテリア・プロテクション・プロファイル (CPP_APP_SW_V1.0e) は、アプリケーションソフトウェアの厳格なセキュリティ要件を規定し、多様なユースケースと環境に対応しています。これらの基準は、セキュア・インストレーション、構成管理、暗号化キーの使用、データ保護、セキュアなソフトウェア・アップデート、ユーザー認証、アクセス制御、ランタイム整合性検証など複数の重要分野を対象としています。これらの基準を遵守することにより、ソフトウェアソリューションは IT セキュリティのグローバルベンチマークに沿った堅牢なセキュリティの実践を示します。
さらに、トランスポート・レイヤー・セキュリティ機能パッケージ (PKG_TLS_v2.0) はトランスポート・レイヤー・セキュリティ (TLS) とデータグラム TLS (DTLS) プロトコルの実装について機能要件を定義しています。要件は、評価を有効化することで製品のセキュリティを改善することを目的としています。
HCL BigFix v11 は現在、セキュアで信頼性の高いエンドポイント管理ソリューションとしての地位を確固たるものにするため、NIAP 認定の「評価中」であり、アプリケーションソフトウェア用プロテクション・プロファイルとトランスポート・レイヤー・セキュリティ機能パッケージの両方について評価を受けています。
ISO-20243 認定は悪意のある改ざんや偽造製品のリスク軽減を目指す Open Trusted Technology Provider™ Standard (O-TTPS) です。一連のガイドライン、推奨事項、要件は技術開発の整合性を保証し、悪意のある改ざんや偽造製品がグローバルなサプライチェーンに侵入することを防ぎます。この規格は検証可能なプロセスと実装証明点を重視し、顧客、インテグレーター、サプライヤー、監査、規制機関の懸念に対応し、製品のライフサイクルのすべての段階 (設計、調達、構築、遂行、配布、維持、廃棄) を通して実装のベストプラクティスにも対応しています。
セキュアなサプライチェーンに向けた ISO-20243 認証
ISO/IEC 27001 は、組織の枠組みの中で情報セキュリティ管理システム (ISMS) を確立、実装、維持、継続的改善するための要件を指定しています。ISO/IEC 27001 の順守において、HCLSoftware のセキュリティ・コンプライアンスチームは、適用される情報セキュリティ目標を達成し、ISMS が社内外の変化に適応できるようにするため ISMS の実装と継続的改善によって重要な情報資産を保護するために結成されました。ISMS の目標は HCLSoftware と顧客の情報資産を特定された脅威から守ることであり、この脅威は社内か社外か、意図的か偶然かを問いません。
ISO/IEC 27001 認証
コモンクライテリア (CC) はコンピュータセキュリティ認証の国際規格です。コンピュータセキュリティ製品の仕様、実装、評価のプロセスが厳格な標準的で反復可能な方法で、対象の使用環境に対応するレベルで実施されたことを保証するものです。
OSCI は HCL BigFix V10 の評価を完了しました。OCSI は IT セキュリティシステムと製品の評価と認証を管理しています。
コモンクライテリア認証
この連邦情報処理規格 (140-2) は暗号化モジュールが満たすセキュリティ要件を指定し、幅広い潜在的な用途と環境を網羅するため 4 つの段階的質的レベルを設定しています。対象分野は、セキュアな設計と暗号化モジュールの実装に関連して、仕様、ポートとインターフェース、ロール、サービス、認証、有限状態モデル、物理的セキュリティ、運用環境、暗号化キー管理、電磁干渉/電磁適合性 (EMI/EMC)、セルフテスト、設計保証、その他攻撃の軽減を含みます。
BigFix v11 に組み込まれた FIPS 暗号モジュールが
BigFix Compliance はセキュリティ・コンテンツ自動化プロトコル (SCAP) V1.3 を順守しています。SCAP は、ソフトウェアの不具合とセキュリティ構成情報がマシンと人の両方に伝達されるための仕様一式として形式と用語を標準化するものです。
BigFix Compliance V9.2 は SCAP v1.2 認定を取得しており、BigFix Compliance V10 は SCAP v1.3 認定の取得申請中です。
セキュリティ設定共通化手順 (SCAP) 認定
認定文書へのリンクは入手次第提供
CIS Benchmarks は、サイバー攻撃に対する構成関連の脆弱性を排除するためのオペレーティングシステムとソフトウェアをセキュアにするベストプラクティスとして提供されます。
BigFix Compliance V10 は CIS ベンチマークの CIS セキュリティソフトウェア認定を受ける最新バージョンです。
CIS セキュリティソフトウェア認定
お客様のプライバシー
当社は、当社 Web サイトを訪問したビジター、製品やサービスを利用するため登録した個人、当社の企業イベントやウェビナーに参加するため登録した個人、当社のビジネスパートナーの皆様のプライバシー保護に全力で取り組んでいます。詳しくは、HCL のプライバシー・ステートメントを参照してください。
まとめ
当社の大切なクライアントの皆様は、当社が企業および行政機関のお客様に向けて効果的でセキュアなエンドポイント管理ソリューションを開発、テスト、提供する際にセキュリティを最優先しておりますため、ご安心ください。詳細についてはお問い合わせください。
