概要
KnowBe4は、セキュリティの意識をもつ複数の個人によって設立・運営されるセキュリティ企業として、利用者のプライバシーを尊重し、利用者のデータを保護するために尽力します。
利用者のデータを安全に保つことは、私たちの最も重要な責務です。KnowBe4に提供されるすべてのデータの安全性が確保されるよう、私たちは最善を尽くします。KnowBe4のシステムと利用者のデータを安全に保つことは、KnowBe4のビジネスの基本です。利用を開始する前に、利用規約とプライバシーポリシーを確認することをおすすめします。
コンプライアンス
KnowBe4 KMSAT製品は、2019年10月25日よりFedRAMP Li-SaaS ATO (Authorization To Operate) の認証を受けています。また、KMSATと PhishER を含むKnowBe4プラットフォームについては、現在、FedRAMP PMO(プログラムマネジメントオフィス)のModerate認証の審査中です。
|
LI-SaaS ATO 認証 ケビン・ミトニック セキュリティ意識トレーニング - KMSAT Moderate認証 (審査中) |
すべてのKnowBe4製品は、SSAE18 SOC2Type2の認定を取得しています。これには、KMSAT、PhishERおよびSecurityCoachが含まれています。SOC2 Type 2 レポートをご器用
の方は、営業担当者またはカスタマーサクセスマネージャーにお問い合わせください。
KnowBe4 SOC2 評価には、次のTrust Services Criteria(トラストサービス規準)のすべてが含まれます。
セキュリティ |
可用性 |
プロセスの完全性 |
機密性 |
プライバシー |
コンプライアンスの目的でブリッジレターが必要な場合は、担当者またはカスタマーサクセスマネージャーにご連絡ください。
最近完了したCAIQ(Consensus Assessment Initiative Questionnaire)は、クラウドセキュリティアライアンス(CSA)のSTARレジストリのページでご覧ください: https://cloudsecurityalliance.org/star/registry/knowbe4-inc/
すべてのKnowBe4製品は、Cyber Essentials認証を取得しています。当社の認証については、こちら(英文)をご覧ください。
ISO27001(国際標準化機構27001規格)は、オフィスサイト、開発センター、サポートセンター、データセンターが安全に管理されることを確実にするための情報セキュリティ規格です。Knowbe4は、独立した第三者機関である米国適合性認定機関(ANAB: ANSI-ASQ National Accreditation Board)によって、ISO27001系列のさまざまな規格に照らし合わせて監査されています。KnowBe4が監査に合格している規格は次のとおりです。
情報セキュリティおよびデータプライバシーチーム
KnowBe4の情報セキュリティおよびデータプライバシー専門チームは、以下の関連業界認定を取得しています。
|
|
|
アクセスと認証の制御
KnowBe4は、顧客および機密データへのアクセスを、事業上知る必要がある場合のみに制限します。アクセス権は、組織内での役割に基づいて付与されます。KnowBe4は、機密データへのすべてのアクセスに対して多要素認証を強制的に適用します。該当する場合、システムへのアクセスはIPアドレスによって制限されます。
データ処理とデータプライバシー
データの種類と目的の詳細については、当社のプライバシーポリシーの製品タブを参照してください。
データの暗号化
KnowBe4は、転送時(TLS)および保存時(AES-GCM 256)のデータ暗号化にAWSを利用しています。 KnowBe4は、現在、AWS Application Load Balancer上およびAWS CloudFront内で、セキュリティポリシーTLSv1_2016を使用しています。詳細は、こちらで確認できます。KnowBe4は、AWS Key Management Service(AWS KMS)を使用して、サービス全体で保存データの暗号化を行います。データベース(RDS)内のデータ、およびS3内に保存されているデータは、これを使用して暗号化されます。AWS KMSは、256ビットの秘密鍵でGalois/Counter Mode(GCM)のAdvanced Encryption Standard(AES)アルゴリズムを使用します。
データセンターのロケーション
KnowBe4は、運用にAmazon Web Services(AWS)を使用しています。AWSはShared Responsibility Model(責任共有モデル)を採用しています。AWSはクラウドのセキュリティに責任をもち、KnowBe4はクラウド内のセキュリティに責任をもちます。AWSデータセンターのコンプライアンスに関する情報は、こちらのAWSコンプライアンスウェブサイトで確認できます。 データセンターのSOC レポートを確認する必要がある場合は、最新の AWS SOC3 レポートをご確認ください。
使用するAWSリージョン
利用者は、データローカリゼーションの要件に基づいて、データの保存場所を選択できます。現在、KnowBe4は、米国、ヨーロッパ、英国、カナダでデータセンターを運用しています。
サービス |
本番データベース |
障害復旧データベース |
KMSATおよびPhishER(オプション1) *米国内にデータを保管することを希望する利用者向け |
米国のAmazon AWSデータセンター、バージニア州北部(us-east-1) |
米国のAmazon AWSデータセンター、オレゴン州(us-west-2) |
KMSATおよびPhishER(オプション2) *EU内にデータを保管することを希望する利用者向け |
ヨーロッパのAmazon AWSデータセンター、アイルランド、ダブリン(eu-west-1) |
ヨーロッパのAmazon AWSデータセンター、フランクフルト、ドイツ(eu-central-1) |
KMSATおよびPhishER(オプション3) *カナダ国内にデータを保管することを希望する利用者向け |
カナダのAmazon AWSデータセンター、モントリオール(central) |
ヨーロッパのAmazon AWSデータセンター、アイルランド、ダブリン(eu-west-1) |
KMSATおよびPhishER(オプション4) *英国で長期のデータ保管を希望する利用者向け |
Amazon AWSデータセンター、英国ロンドン (eu-west-2) |
ヨーロッパのAmazon AWS データセンター、アイルランド、ダブリン(eu-west-1) |
KMSATおよびPhishER(オプション5) *ドイツ (EU) で長期のデータ 保管を希望する利用者向け |
Amazon AWSデータセンター、ド イツ・フランクフル (eu-central-1) |
ヨーロッパのAmazon AWSデータセンター、アイルランド、 |
KCM GRC(オプション1) *米国内にデータを保管することを希望する利用者向け |
米国のAmazon AWSデータセンター、バージニア州北部(us-east-1) |
Amazon AWSデータセンター(us-west-1) |
KCM GRC(オプション2) *EEAおよび/または英国内にデータを保管することを希望する利用者向け |
ヨーロッパのAmazon AWSデータセンター、ロンドン(eu-west-2) |
Amazon AWSデータセンター、アイルランド、ダブリン(eu-west-1) |
データはデータセンター間で共有されません。リージョンごとにアカウントを申請することは可能ですが、それぞれ独立したアカウントとなり、アカウント間でのデータの同期は行われません。
データのバックアップと保持
KnowBe4は、1年分のデータベースバックアップと3年分の監査ログおよびアプリケーションログを保持します。これらのバックアップは、上述のデータ暗号化のセクションに従い、暗号化して保存されます。 データの削除リクエストの送信については、営業担当者またはカスタマーサクセスマネージャーにお問い合わせください。
セキュリティ意識とトレーニング
KnowBe4のすべての従業員は、雇用時および少なくとも年に1回、セキュリティ意識とプライバシーのトレーニングを受講することを義務付けられています。少なくとも月に1回、フィッシングとソーシャルエンジニアリングのシミュレーションテストを継続して実施しています。 KnowBe4のすべての従業員と契約社員は、雇用時、および会社または顧客のデータにアクセスする前に、守秘義務契約と機密保持契約に署名します。
事業継続/障害復旧
KnowBe4のエンジニアは、AWS内で拡張性と復元力の高いサービスアーキテクチャを設計しています。KnowBe4の製品は高度な攻撃に耐え、高い適応性を備えています。サービスアーキテクチャ内のシステムのパフォーマンスについては、主要な指標を監視し、1つのシステムの負荷が許容範囲内にあることを確認します。コンポーネントが過負荷になったり障害が発生したりした場合は、プロセスが自動で実行され、一時的なシステムを新たにオンラインにするか、既存のシステムを新しいシステムに切り替えます。自動化はKnowBe4アーキテクチャに組み込まれているため、システムの監視、更新、および修正措置はダウンタイムなしで必要に応じて実行できます。ステータスと稼働時間の監視については、https://status.knowbe4.comをご覧ください。
KnowBe4のリスク管理プログラムは、KnowBe4の年次第三者監査(FedRAMP、ISO 27001、SOC2)の一環としてレビューされます。KnowBe4のリスク管理プログラムの全概要は、こちらをご覧ください。
コードのセキュリティと更新
KnowBe4の研究開発(R&D)部門は、継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインを活用してコードのデプロイを管理しています。コードの変更はピアレビュー、別のQAスタッフによる承認を経て、ステージング環境でテストされた後に本番環境にプッシュされます。ステージング環境と本番環境は論理的に分離され、両者の間でデータが共有されることはありません。
ロギングとモニタリング:
KnowBe4は、すべてのシステムから監査ログとアプリケーションログを収集します。これらのログは、ログを生成するシステムとは別の集中型ログ保管施設に暗号化されて保存されます。ログエントリは、監査証跡の業界標準に準拠しています。KnowBe4は、過去のシステムアクティビティを調査するビジネス目的のために、これらのログを3年間保持します。
脆弱性管理 :
KnowBe4の情報セキュリティチームは、毎月ウェブアプリケーションの脆弱性スキャンを実行します。これらのスキャンは、認証されたスキャンとして実行されるように構成されています。これらのスキャンまたは他の脆弱性発見アクティビティ中に発見された脆弱性は、脆弱性追跡システムに追加されます。そのシステムでは、脆弱性が検証、分類され、実際のリスクが評価されます。脆弱性は、以下のスケジュールに従って修正されます。
CVSS に基づいてSnyk Priority Score が 800 未満の脆弱性が発見された場合、以下の SLA が適用されます。なお、Snyk は、CVSS スコアだけで優先度を決定していません。Snyk の
Priority Scoreは、CVSS スコアに加えて、修正プログラムの有無、既知のエクスプロイト、荒らし い脆弱性の有無、対応可能性などの複数の要素に対応する包括的なスコアリングシステムです。
重大度 |
クリティカル/高 |
中 |
低 |
情報提供 |
修正スケジュール |
<30日 |
<90日 |
<180日 |
KnowBe4の判断による |
以下のSLAが、次の脆弱性に対して適用されます。
重大度 |
クリティカル/高 |
中 |
低 |
情報提供 |
修正スケジュール |
<14日 |
<30日 |
<180日 |
KnowBe4の判断による |
ペネトレーションテスト/バグバウンティ/セキュリティの脆弱性の報告
KnowBe4は、有償のプライベートバグバウンティプログラム(脆弱性報奨金制度)に参加しており、有資格の第三者リサーチャーが当社製品の継続的な侵入テストを実施しています。システムにセキュリティ上の欠陥を発見したと思われる場合は、プログラムに登録していただければ、KnowBe4から参加のご案内をお送りします。脆弱性を発見した場合は、バグバウンティプログラムで提出するか、KnowBe4のセキュリティチームに直接ご連絡ください。ぜひテストにご協力いただき、情報をお寄せください。このプライベートバグバウンティプログラム以外でのセキュリティテストは許可されていません。このプログラムでは、自動スキャンは許可されていません。リサーチャーには、混乱を招かないように手動でテストを行うように指示しています。
[ページの最終更新日:2023年7月26日]