セキュリティ
当社が製品および製品によって収集されるデータを保護する方法
セキュリティ
セキュリティに対する当社の取り組みは、次の原則から始まります。
クラウド管理の「モノのインターネット」(IoT)デバイスに対するVerkadaの「ゼロトラスト」アプローチでは、当社のシステムは認証と権限がない場合、ユーザー、ネットワーク、デバイスのいずれも信頼すべきではないことを前提としています。IoTデバイスは拡張および相互接続することを前提としているため、サイバー攻撃の侵入経路になりやすいというリスクがあります。Verkadaのゼロトラストアプローチでは、IoTデバイスに内在するこうしたリスクを低減します。
Verkadaの担当者は、VerkadaのIDプロバイダからSAMLシングルサインオンでの認証によってのみ、Verkadaの製品インフラストラクチャまたはコードにアクセスできます。
製品インフラストラクチャ用のVerkadaのIDプロバイダは、VerkadaのコーポレートIDプロバイダとは別であり、ハードウェアキーなど多要素認証が必要です。
Verkadaのサポートツールを通じてお客様データにアクセスするVerkadaサポート担当者は、サポート許可システムを通じて権限を持つお客様から期限付きの同意を事前に取得しておく必要があります。
Verkadaは、すべての製品インフラストラクチャ、お客様データ、Verkadaデバイスへのアクセスに対して、最小権限の役割ベースのアクセスコントロールを適用します。つまり、必要なアクセスレベルをユーザーの役割に基づき決定し、可能な限り最低レベルのアクセスを提供します。上位のアクセス権限を必要とする役割は、必要に応じてオンデマンドで高度な監視のもと、限られた期間のみ付与されます。
公開ネットワークのVerkadaの製品とシステムでのすべての通信では、最新の暗号スイート構成を備えたTLS 1.2以降が使用されます。
Verkadaの製品とインターフェースは、セキュリティが強化された一つの限られたインターフェースセットを介して、あらゆる新しいタイプのデータを転送できるように設計されています。このアプローチにより、潜在的な攻撃に対して保護する必要があるエントリーポイントの数が減り、セキュリティリソースを各エントリーポイントに集中させることができます。
当社では、シングルサインオン認証用の独立したIDプロバイダに至るまで、製品インフラストラクチャを会社の他の部分から分離しています。
潜在的な攻撃ポイントを最小限に抑えるために、最小化されたオペレーティングシステムと可能な限り少ないコンポーネントでデバイスファームウェアを構築しています。
すべての管理コマンドは、デバイス上の安全なチャネルのみを使用します。このチャネルは、Verkada Commandプラットフォームの安全なAPIゲートウェイへのアウトバウンドネットワーク呼び出しによって確立されます。
自動化ファーストのアプローチで、Verkadaのセキュリティプログラムのあらゆる側面を開発します。これにより、規模を拡張してもVerkadaのセキュリティプログラムの有効性が維持でき、ポリシー導入時の不足を最小限に抑えることができます。
当社は「Configuration as Code」というアプローチを採用しています。構成内容をコード化するこの手法により、業界標準に沿った構成パターンを確実に適用し、セキュリティを強化できます。
当社の「Policy as Code」アプローチは、Verkadaのポリシーをソフトウェアが従うべきルールとして定義し、Verkadaのポリシー遵守を強化します。
既知の脆弱性に対するパッチは、少なくとも2週間ごとにインフラストラクチャサービスに自動的に適用されます。
当社のコンプライアンス自動化プラットフォームは、セキュリティとプライバシーの基準へのコンプライアンスを継続的に監視します。
当社は継続的にセキュリティログを監視し、潜在的なセキュリティインシデントを自動検出します。
Verkadaは、多層的で複合的なアプローチを用いて、ソフトウェア開発サイクル全体でセキュリティ対策を取り入れています。これによって、脆弱性を未然に排除し、セキュリティ侵害の影響を低減します。
当社のソフトウェアエンジニアリングチームは、Verkadaのセキュリティチームのメンバーと連携して、製品と機能の構想から完成までセキュリティのベストプラクティスが確実に守られるようにします。
安全な構成とデフォルト設定により、整備された道筋を進めるVerkadaのソフトウェアを実装し、あらかじめ正しい決定を下すことができます。
セキュリティ設定を変更できないよう固定することで、設計段階と実装段階で安全な設定から逸脱できないようにしています。
また、当社は継続してバグバウンティプログラムも実施しており、潜在的なセキュリティ問題を発見して報告した外部のセキュリティ専門家や研究者に金銭的な報酬を提供しています。
当社は、現行のリスク管理と顧客満足の一環として少なくとも四半期に一度、独立したセキュリティコンサルタントに依頼し、セキュリティアセスメントを実施します。
提供状況
製品とシステムの可用性を維持する方法
世界各地の主要な企業は、必要なときにいつでも当社の製品やサービスを利用できることを期待しています。だからこそ、当社は一年中いつでも99.99%以上の稼働率でプラットフォームを利用できるように努めています。この指針は、当社のサービスレベル基準で定義しています。お客様は、VerkadaのCommandプラットフォームのシステムステータス、インシデントステータス、履歴をstatus.verkada.comでライブで確認できます。そのページで、ステータスの最新情報を受け取るよう登録することもできます。
信頼性
Verkadaが製品とシステムの信頼性を維持している方法
お客様は、当社の製品やサービスが必要なときに利用できるだけでなく、予期せぬ事態に当社の製品やサービスを頼りにしています。そのため、サービスをできるだけ迅速に復旧するために、冗長性のあるプロセス、基準、復旧の各システムを構築しました。
Verkada Commandは主にAmazonウェブサービス(AWS)でホストされ、AWSデータセンターの信頼性統制を活用しています。Verkadaは、AWS Well-Architectedフレームワークの信頼性の柱に概説されている設計原則とベストプラクティスを遵守しています。
Verkadaのクラウドインフラストラクチャは、需要を満たすためにコンピューティングリソースを動的に取得することで、インフラやサービスの中断から復旧し、設定ミスや一過性のネットワーク問題などの中断を軽減することができます。構成は、Congiguration as Codeと変更管理の自動化によって管理されています。
お客様のデータは、少なくとも99.999999999%の耐久性を持つ設計のAWS S3またはBackblazeを使用してVerkadaのクラウドインフラストラクチャに保存されています。
Verkadaは、ビジネスの継続計画とインシデント対応計画を策定・維持し、ビジネスでの中断やセキュリティインシデントにすばやく対処し、お客様への影響を最低限に抑えます。当社ではこれらの計画を少なくとも年に一度テストし、机上演習とハンズオンキーボードテストの両方を使用してあらゆる弱点を明らかにし、対処します。
Verkadaは、お客様のデータを定期的にバックアップし、情報セキュリティポリシーで事前に決められたスケジュールに従って保持し、カメラのクラウドバックアップ機能が有効になっている場合には、クラウド上にカメラの映像を継続的にバックアップします。この処理により、データ損失のリスクを最小化するために必要な冗長性が確保でき、停電、システムエラー、自然災害が発生した場合にファイルとデータを迅速に復旧できます。
内部統制、リスク、コンプライアンス(GRC)
当社でのコンプライアンス管理方法、そして当社製品を使用してお客様のコンプライアンス遵守を促進させる方法
新しい製品、技術、パートナーシップが登場するたびに、セキュリティとプライバシーに関して答えるべき新たな質問が出てきて、その都度、決定を下さなければなりません。Verkadaの堅牢なGRCフレームワークにより、コンプライアンスを維持し、リスクを効果的に管理し、健全な意思決定とパフォーマンス管理を促進する強力な内部統制構造を確立しながら、これらの意思決定を確実に行えます。
Verkadaの最高情報セキュリティ責任者(CISO)は、当社のセキュリティプログラムを監督し、Verkadaのセキュリティチームを率い、最高技術責任者(最高技術責任者はCEOに直属)の直属の部下です。また、CISOは、Verkadaの取締役会に当社のセキュリティプログラムのステータスとパフォーマンスに関する最新情報を四半期ごとに提出します。
Verkadaでは、上級幹部も参加するセキュリティ内部統制委員会を設置し、Verkadaのセキュリティ戦略とリスク管理を実施し、セキュリティプログラムのパフォーマンスを監視します。
Verkadaのセキュリティチームは定期的にコンプライアンス監査を実施し、コンプライアンスの継続的なモニタリングを通じて取得した情報を共有します。
以下のセキュリティ基準に関するドキュメントは、こちらからご覧いただけます。
Verkadaのセキュリティ慣行は、お客様のセキュリティ要件に対応する様々な基準に準拠しています。
Verkadaは、Verkadaシステムに関して独立したセキュリティ評価を少なくとも四半期ごとに実施しています。
SOC 2
Verkadaは、セキュリティトラストサービス基準に関して、毎年、SOC 2 Type 2テストを完了しています。
ISO 27001:2022
VerkadaのCommandプラットフォームは、ISO 27001:2022(情報セキュリティ管理システム)の認証を取得しました。
ISO 27017:2015
VerkadaのCommandプラットフォームは、ISO 27017:2015(クラウドサービスにおける情報セキュリティ管理)の認証を取得しました。
ISO 27018:2019
VerkadaのCommandプラットフォームは、ISO 27018:2019(パブリッククラウドにおける個人識別情報(PII)の保護)の認証を取得しました。
TX-RAMP
2024年4月22日現在、VerkadaはTX-RAMP(Texas Risk and Authorization Management Program)の暫定認証を取得しています。
FedRAMP
AWS GovCloud用のVerkada Commandプラットフォームをご利用いただけるようになりました。Verkadaは、2024年7月2日に中程度の影響レベルでFedRAMP Readyを達成しました。政府機関グレードのソリューションの詳細については、verkada.com/governmentを参照してください。
システムの改善すべき点を評価して特定するために、Verkadaは次のような業界標準のアンケートを利用しています。
CAIQ
Consensus Assessments Initiative Questionnaire(コンセンサス・アセスメント・イニシアティブ・アンケート)は、業界で認定された書式で、どのセキュリティ管理が存在するかを文書化し、セキュリティ管理の透明性を高めています。
HECVAT
Higher Education Community Vendor Assessment Toolkit(高等教育コミュニティベンダー評価ツールキット)は、機関の機密情報を保護するためにデータとサイバーセキュリティのポリシーが整備されていることを確認するために、高等教育機関向けに特別に設計されています。
ISO 27701:2019
Verkadaは、プライバシー情報管理に関する国際的に認められた規格である、ISO 27701:2019認証を取得しました。
データプライバシーフレームワーク
Verkadaは、人事以外のデータについてはデータプライバシーフレームワークの認証を受けています。詳細については、DPFのウェブサイトで当社の認証をご覧ください。
Verkadaと当社のお客様は、様々な規制制度の中で事業活動を展開しています。当社は、お客様のコンプライアンスニーズに対応する方法でこれらの規制義務に対処できるように、製品と社内慣行を設計しています。
HIPAA: HIPAAにおいて「対象事業体」である医療業界のお客様について、VerkadaはビジネスアソシエートとしてHIPAAに関する義務の遵守を支援します。
GDPR: Verkada製品で処理されたお客様の個人データに関して、Verkadaはデータ処理者としての役割を果たします。当社は、英国/EUから米国への個人データの転送に関する適切な基準を確立するために、データ処理追加条項をもってお客様と標準契約条項を締結します。
米国州のプライバシー法: Verkadaは、米国で公布された州固有の包括的なプライバシー法が定める変更の激しい基準を満たすために、プライバシー慣行を設定しています。
Verkadaでは、当社の製品が世界中の適用法や規制に準拠するよう継続的に努めています。現在、カメラやアラームなどのVerkada製品は、米国、カナダ、英国、EU、オーストラリア、ニュージーランドで販売するためのコンプライアンス基準を満たしています。ご要望に応じて、追加の認定書も入手できる場合があります。
特定の製品と機能に関する情報は以下をご覧ください。
アラームのコンプライアンスと製品の提供状況
Verkadaのアラームソフトウェア、ハードウェア製品、無線製品、セルラー方式製品、緊急サービス派遣の最新の提供状況について詳しくご覧ください。
人物分析のコンプライアンスと製品の提供状況
Verkadaの人物分析機能が現在利用できない地域についての詳細をご覧ください。
ハードウェア仕様
各カメラまたはアラームのハードウェア認定など特定の製品仕様の詳細については、製品説明の「詳細」リンクを参照してください。