情報セキュリティポリシー

目次

• 背景

• セキュリティの取り組み

• 企業セキュリティ管理

• エンドユーザーのプライバシー

• 情報アクセス制御管理

• 人事のセキュリティ管理

• 物理的なセキュリティ管理

• 運用管理

• 情報システムのセキュリティ管理

• 履歴およびバージョン管理

背景

Snyk (以下、「当社」という) はソフトウェア開発会社で、サードパーティのライブラリを分析する自動化ソフトウェアを開発し、企業が自社ソフトウェアの依存関係を把握してセキュリティを確保できるようにするための支援を行っており、Node.js の npm や Ruby パッケージにおける既知の脆弱性を発見、修正、モニタリングするツールなどを提供しています。
本社はイギリスのロンドンにあり、研究開発拠点はイスラエルのテルアビブにあります。

Snyk の IT システムに保存され、処理される情報は、業務を遂行する上で不可欠な要素です。このデータの機密性、完全性、および可用性を保護することは、経営活動における重要な原則です。

情報セキュリティポリシーでは、情報セキュリティに対する経営陣の取り組みおよび会社に要求される情報セキュリティレベルを維持するための主要な要素を示しています。

セキュリティの取り組み

Snyk は、顧客とパートナーのために、安心、安全な環境を維持することに取り組んでいます。Snyk は、セキュリティ開発者向けツールのリーダーとして、最高水準のデータセキュリティを維持することに重点を置いています。データセキュリティの維持では、その水準を確保するために講じる対策について明確にする作業も含まれます。

Snyk 情報セキュリティポリシーでは、Snyk の情報システムおよび関連するインフラ、ハードウェア、ネットワーク上のデータ資産を、セキュリティ管理とモニタリングのインテリジェントなアーキテクチャによって保護するためのルール、ガイドライン、プラクティスを定めています。

Snyk の全従業員および委託業者は、役職、地位、および所在地に関係なく、この情報セキュリティポリシーを遵守する必要があります。

企業セキュリティ管理

セキュリティの責務

Snyk では、共同創設者のダニー・グランダー (Danny Grander) (danny@snyk.io) を情報セキュリティ責任者に任命しています。このセキュリティ責任者の主な責務は、Snyk のデータおよびコンピューティング資産の機密性、完全性、可用性を保護することです。その他の重要な責務は以下のとおりです。

• 製品セキュリティのアーキテクチャと戦略

• 脆弱性管理

• セキュリティインシデント対応

• リスク評価と監査

• セキュリティ意識向上

Snyk では定期的にリスク評価を行っています。この評価の範囲はさまざまで、必要に応じて自社で行うか、信頼できるサードパーティプロバイダーに委託して実施しています。Snyk は、常に最新のセキュリティ脆弱性を把握しつつ、サーバーを継続的にアップグレードして最高レベルのセキュリティを維持しており、重大なセキュリティ脆弱性が報告された場合にはただちにセキュリティパッチにより更新を行っています。

エンドユーザーのプライバシー

Snyk は、すべての Snyk ツール、CLI、およびWebポータルでエンドユーザーのプライバシー保護に取り組んでいます。
Snyk における個人情報の取り扱いの詳細は、以下のサイトで説明しています。

https://dev.snyk.io/policies/privacy

情報アクセス制御管理

顧客環境へのアクセス

Snyk は、顧客の機密データを常に保護することに尽力しています。顧客情報へのアクセス権限は「知る必要性」に基づいて付与されており、Snyk の役員によって承認され、Snyk のセキュリティ責任者による最終的なアクセスレビューを受ける必要があります。本番環境へのアクセスは、Snyk のサポート/運用担当者と Snyk 開発チームの限られた担当者に限定されています。

顧客情報は、Snyk の事業所にある物理サーバーや印刷物として保管されることはありません。本番環境の情報を従業員のローカルコンピュータにコピーする必要がある場合は、プライバシー侵害の可能性を防ぐために匿名化し、不要になった時点で削除します。

顧客または Snyk の担当者による顧客環境へのアクセスは、Snyk の本番環境に記録され、将来の分析に利用できるように保持されます。ログは最低 30 日間保管されます。

Snyk の担当者が顧客環境にアクセスする場合、Snyk のパスワード強度ポリシーに準拠したパスワードを使用することが義務付けられています。なお、パスワードでは、長さが 8 文字以上で、複雑さのレベルを 3 にすることが定められています。Snyk データベースに保管されている管理者パスワードはすべて、一方向 HMAC でハッシュ化されています。ハッシュソルトは、アクセス権が制限された別のメディアで安全に保護されています。

ログおよびデータ保持ポリシーの詳細については、 https://cloud.google.com/logging/quota-policy をご覧ください。

本番サーバーへのアクセス

Snyk の本番サーバーまたはその管理インターフェイス (Snyk の管理コンソールなど) へのアクセスは、Snyk の運用およびサポート担当者ならびに職務遂行上このアクセスを必要とする少数の Snyk 研究開発チームの担当者に限定されています。

本番サーバーへのアクセス制御は、最低でも 6 か月ごとに見直しています。
アクセスの見直しについては、指定のログファイルに記録されます。

組織間のデータセグメンテーション

Snyk の本番環境では、何千ものユーザーにサービスを提供していますが、各ユーザーには Snyk のアプリケーションとの通信に関連するデータのみを表示できるようにデータをパーティショニングしています。ソフトウェアベースのインフラにより、異なるユーザービューを使用する場合のヒューマンエラーによるデータ漏洩を防いでいます。

ネットワークアクセス

Snyk の事業所では、無線ネットワークを保守整備しています。Snyk は、企業の機密情報を扱うトラフィックをパブリックトラフィックから分離するために、「ゲスト」ネットワークと「コーポレート」ネットワークを確立しており、どちらも WPA2 暗号化で保護しています。

メール、分析、サポート、およびその他サードパーティツールへのアクセス

Snyk では、各従業員がアクセスできるサードパーティツールのリストを保持しています。このリストでは、アクセスレベル (基本、管理者)、および一時的アクセスの必要性の有無についても言及されています。このリストは、四半期ごと (または従業員の退職時) に CISO がレビューを行って正確性を検証し、アクセスを制限できる領域を検出しています。管理者によるさまざまなツールへのアクセスは最小限に抑えています。

請求処理

Snyk は、クレジットカード取引を管理するために PCI 準拠のサードパーティサービス(Stripe) を使用していますが、クレジットカードの情報を保存または参照することはありません。Stripe のセキュリティについては、以下のリンクを参照してください。

https://stripe.com/help/security

データ分類

• Snyk のデータには、機密データと非機密データという 2 つのクラスがあります。

• 機密データとは、次のようなものを指します。

• ポリシーと手順は、データ分類を使用、有効にしています。

• 個人を特定できる情報 (PII) は、ICO (情報コミッショナーオフィス) の要求に応じて登録されます。

人事のセキュリティ管理

身元確認

Snyk では適用法で定められている制限事項に従い、新入社員 (フルタイム従業員、パートタイム従業員、契約社員を含む) の身元調査を行っています。身元調査には面接、ソーシャルメディアの調査、法律出版物のデータベース、電話による関係者への聞き取り、および独立系サードパーティー身元調査会社の雇用サービスなどが含まれます。

セキュリティトレーニング

新入社員のオンボーディング実施時には、各従業員のセキュリティ責任に言及したセキュリティ意識向上トレーニングセッションを実施しています。セッションでは、以下の内容を取り扱っています。

• 顧客データ保護の確保

• 情報の機密性、知的財産権の保護を含む企業セキュリティに関する配慮事項

• セキュリティ脅威 (マルウェアやフィッシングなど) の理解

• 物理的な脅威の理解

• ノートパソコンのセキュリティ

• セキュリティインシデントの報告

セキュリティガイドラインは毎年更新され、Snyk の全従業員が受ける必須トレーニングを通じて通知されます。

オフボーディング

Snyk は、従業員の退職時において必要な手順を文書化し、その手順を実施する担当者を任命しています。この手順には、本番環境を含むさまざまなシステムへの物理的および仮想的なアクセスの取り消しが定められています。また、この手順では、ノートパソコンなどのハードウェアを回収し、機器のデータや設定を安全に消去するまでの手順も説明しています。

退職従業員は Snyk の機密保持契約に従い、各種の手順、機器、ソフトウェア、財務データ、または顧客データに関連する機密資料 (物理的またはデジタルで保存されたもの、印刷または手書きのもの) を返納することが義務付けられています。

役割と職務の変更

Snyk の役割と職務が変更される場合、従業員の仕事の範囲も変わり、それに伴って職務の遂行に必要な権限とアクセスも変更されます。このような変更があった場合、従業員の直属の上司は、その変更を CISO に通知する責任があります。その際には、許可のプロビジョニングが解除され、新しい業務範囲に基づいて新たにプロビジョニングされることになります。

ソーシャルエンジニアリング

Snyk では、メールフィッシング、なりすましメール、脅迫、強要、威嚇、贈答、友達申請、およびその他類似のものを含むソーシャルエンジニアリングの脅威について、定期的に従業員を指導しています。Snyk は、すべてのメールに SPF と DKIM の署名、および検証を導入し、DMARC などの高度なフィッシング対策技術を活用して、なりすましメールやフィッシングメールが従業員に届かないように対処しています。従業員には、見知らぬ USB や CD などのメディアを自分のノートパソコンやデスクトップPCに挿入しないよう指導しています。

サポートスタッフは、顧客からのサポート問い合わせで開示できる情報の種類に関して、追加のトレーニングを受けています。従って、サポートに関する問い合わせで、会社の担当者、Snyk の社内組織情報、他の顧客に関する情報を共有することはありません。問い合わせを行った顧客のアカウントの履歴データは、状況に応じて公開される場合があります。ただし、公開される場合は、その顧客の身元が確認された場合に限ります。このようなデータは、Snyk アプリ内の顧客ポータルでのみ送信され、メールやサポートチケットシステムを経由して配信されることはありません。

物理的なセキュリティ管理

Snyk は、顧客情報を Snyk 事業所にある物理サーバーや印刷物として保管することはありません。Snyk は、Google が管理する ISO 27001 および FISMA 認定のデータセンターを利用しています。Google には、大規模なデータセンターの設計、構築、運用において長年の経験があります。この経験は、Google のプラットフォームやインフラに生かされています。Google のデータセンターは目立たない施設に保管されており、重要な施設は広大な敷地の奥にあり、また軍事レベルの防壁だけでなく、自然境界による保護が施されています。物理的なアクセスは、ビデオ監視、最先端の侵入検知システム、およびその他の電子的手段を用いて、専門のセキュリティスタッフが境界と建物進入口の両方で厳重に管理しています。

権限を与えられたスタッフがデータセンターのフロアにアクセスするには、2 要素認証を 3 回以上パスしなければなりません。訪問者と請負業者は全員、身分証明書の提示を求められ、署名を行った上で、権限を与えられたスタッフが常に付き添うことになっています。

Google は、データセンターへのアクセスや情報を業務上必要な従業員にのみ提供しています。従業員が業務上アクセスを必要としなくなった場合、その従業員が引き続き Google の従業員であったとしても、そのアクセスはただちに取り消されます。

Google 従業員によるデータセンターへの物理的および電子的なアクセスはすべて記録され、定期的に監査されます。

詳細については、以下のサイトを参照してください。

Google:
https://cloud.google.com/security/compliance
https://cloud.google.com/security/whitepaper

Snyk の事業所

Snyk 事業所へのアクセスは、建物に入るためのデジタル FOB と事業所の鍵 (ロンドン支店)、営業時間内は事業所の鍵 (テルアビブ支店)、営業時間外の場合は門の鍵、エレベーターの鍵、事業所の鍵 (テルアビブ支店) が必須となっています。また、営業時間中に Snyk 事業所に来訪する訪問者には、常に Snyk 従業員が同行することが義務付けられています。営業時間外については、24 時間 365 日セキュリティ会社に通報できるデジタルアラームを事業所に設置しています。従業員は、機密情報を安全に廃棄するためにシュレッダーを利用することになっています。

鍵や FOB の紛失盗難は、直ちに事業所の管理者に報告する必要があります。鍵の盗難や紛失が発生した場合、影響を受けるすべての事業所の鍵を交換することになります。紛失または盗難にあった FOB は、リモートで無効になります。

データの削除

メディアやデバイスが Snyk の施設および管理下から一時的または永続的に離れる場合、セキュリティ責任者のレビューと確認が必要となり、データスクラビングソフトウェア、メディアの破壊、またはセキュリティ責任者の裁量によるその他の手段によりデータが削除されます。

Snyk の本番環境の一部として使用されている物理ハードウェアの廃棄は Google によって行われます。これには、ハードウェアに保存されているデータの破棄も含まれます。Google セキュリティホワイトペーパーの「ハードウェアの追跡および廃棄」セクションで詳しく説明されています (https://cloud.google.com/security/whitepaper を参照) 。

ゲスト

ゲストとは、Snyk の従業員または認定請負業者 (以下、「従業員」という) 以外のすべての人物を指し、家族や友人などを含みます。Snyk のデスクトップPC、ノートパソコン、その他のデバイスは、Snyk の従業員のみが使用するものとします。

不明なゲストは政府発行の ID で本人確認を行い、常に Snyk の従業員が付き添う必要があります。

ゲストが Snyk のデバイスにアクセスすることは一切禁じています。ゲストは、ノートパソコン、タブレット、スマートフォンを Snyk のゲスト用無線ネットワークに接続すれば、インターネットにアクセスすることができます。Snyk の IT 部門は、ゲストコンピュータのサポートを行いません。ゲストがドキュメントの印刷を希望する場合、従業員にそのドキュメントをメールで転送し、従業員がその文書を （ウイルスとマルウェアを追加でスキャンした後） 印刷します。

運用管理

開発およびテスト

Snyk は、高いコーディング水準を確保し、バグを最小限に抑える目的で複数の方法を採用しています。これらの方法には、製品に追加したコードの各部分に対する必須のレビュープロセス、コードレビュー自動化ツール、ユニットレベルおよびシステムレベルの自動テストを実行する継続的インテグレーションフレームワークが含まれます。また、Snyk はステージング環境を利用して、変更を本番環境に移行する前に完全手動によるテストを実施しています。

Snyk の研究開発部門には品質保証 (QA) チームがあり、その責務はSnyk 製品が高い品質レベルを維持できるようにすることです。

Snyk の研究開発では、アジャイル開発プロセスを採用しており、本番環境への頻繁なロールアウトを可能にしていますが、本番環境への導入後に問題が発生した場合には、変更点をロールバックする能力も有しています。Snyk は、製品が最高のセキュリティ基準を満たしていることを保証するために、社内の専門知識とサードパーティツールの両方を活用して、本番環境のセキュリティ評価を定期的に行っています。問題が発見された場合はチケットが発行され、処置が開始されます。関連する修正プログラムを実装した後に再テストを実施し、脆弱性が解消されていることを確認します。

Snyk では、社内セキュリティを強化するためにコミュニティの協力を活用しており、セキュリティバグ報奨金プログラム (https://dev.snyk.io/docs/security) を随時開催しています。このプログラムは、脆弱性を特定し、発見した脆弱性について責任を持って Snyk に開示したコミュニティのメンバーに対して報奨金を与えるものです。

これらの手順と、すべてのセキュリティ要件を満たすことを目指した追加のガイドラインは、Snyk のシステム開発ライフサイクル (SDLC) の一部として定義されています。

ペネトレーションテスト

Snyk では、社外のペネトレーションテスト企業に依頼し、アプリケーションおよびインフラレベルのペネトレーションテストを実施しています。社外によるペネトレーションテストは、少なくとも年 1 回実施しています。また、年に 2 回以上、経験豊富なセキュリティチームが社内ペネトレーションテストを実施しています。

マルウェア対策

Snyk の研究開発、オペレーション、サポート部門は、Apple OSX のオペレーティングシステムのみを使用しています。従来、これらシステムのセキュリティにとってマルウェアは大きな脅威ではありませんでしたが、Snyk では従業員のコンピュータが危険にさらされないよう積極的に対策を講じています。全従業員のノートパソコンとデスクトップPCには、マルウェアや悪用される脅威をリアルタイムでモニタリングするエンドポイント保護システムのSentinelOne を導入しています。

コミュニティへの通知

Snyk のセキュリティ責任者は、さまざまな情報セキュリティリソースから定期的にセキュリティに関する通知を受け取ることになっています。脅威が発見された場合はその影響の評価を行い、緩和策を計画します。リスクの高い脆弱性については直ちに Snyk の全従業員に通知し、脆弱性を修正する方法を指示します。さらに、Snyk の従業員には、信頼できるソフトウェアのみをインストールすること、よく使うブラウザには定期的にパッチを適用すること、社内のセキュリティ機構 (FileVault、ファイアウォール) を使用すること、Mac OS のソフトウェアアップデートを定期的に実行することを推奨しています。

サードパーティベンダーと下請け業者の管理

下請け業者とサードパーティベンダーは、契約前に CISO の承認を受けなければなりません。CISO は、セキュリティ、データ、プライバシーなどに関するベンダーのポリシーや手続きの確認を含め、サードパーティベンダーのセキュリティの状態を評価して承認します。評価は年 1 回、または契約内容や利用対象のサービスに大きな変更があった場合に行われます。このような評価は別のベンダー評価ログに記録され、管理されます。

高可用性、災害復旧、およびデータベースのバックアップ

Snyk のクラウド環境で重要なサーバーはそれぞれ、重複する複数のインスタンス (複数の可用性ゾーン) またはフェイルオーバーが可能なスレーブノード (データベース用) でバックアップされており、重大な障害が発生した場合のシステムのダウンタイムは最小限に抑えられています。自動フェイルオーバープロセスは、コンポーネントがリクエストに確実に応答できないと判断された後に、基盤となるクラウドインフラによって起動されます。

また、ダウンタイムが発生した場合のエンドユーザーへの影響も最小限に抑えられています。Snyk のWebサイトや API の機能については、目に見える影響はなく、一部のリクエストの処理に遅延が生じるだけです。

Snyk の本番システムのデータベースバックアップは毎日、また Snyk の本番環境に大規模なアップグレードや構成変更を行う前に実施します。このバックアップにより、万が一の災害時にも最小限の時間でレプリカ環境を作成できます。

データの復元は四半期ごとに実施し、データとプロセスが損なわれていないことを確認しています。

データの保持および破棄

Snyk はデータベースのバックアップを最低 90 日間保持しています。日次バックアップは過去 7 日分、週次バックアップは過去 4 週間分、月次バックアップは過去 3 か月分を保管しています。管理サーバーへのアクセスログを含む詳細な本番環境のログは、30 日間保持します。

エンドユーザーの行動ログは少なくとも 6 か月間管理して、過去の脅威を分析できるようにしています。

ハードウェアの廃棄は、DoD 5220.22-M (「National Industrial Security Program Operating Manual」) や NIST 800-88 (「Guidelines for Media Sanitization」) に概説されているデータ破壊技術など、顧客データの漏洩を防ぐための方法を使用して Google によって管理されます。

データアーカイブ

以下のルールは、現在使用されていないデータで、監査、帳簿管理、規制上の要件 (税務当局の要件など)、潜在的な法的要求から防御するため、また他の正当かつ適法な目的のために管理する必要があるデータに適用されます。

1. データはアーカイブデータとしてマーキングする

2. アーカイブデータへのアクセスは、関係者 (CEO、CFO、製品担当副社長、IT マネージャー、研究開発マネージャー、法律顧問など) に限定する

3. データの保持目的が終了した場合、またはデータのアーカイブから 7 年が経過した場合、いずれか早い時点で、データは Snyk のシステムから削除する

ネットワークセキュリティ

Snyk のアプリケーションクラスターは、Google のクラウド環境でホストされています。このモデルでは、基盤となるクラウドプラットフォームがネットワークセキュリティを制御し、Snyk のネットワークアーキテクトおよびシステムアーキテクトが Snyk の運用担当者と協力して各種ルーティングやセキュリティグループの設定を行います。

Snyk のアプリケーションクラスターは、セキュリティグループによって保護され、このグループは広範なインターネットからのネットワークアクセスをフィルタリングを実行します。フィルタリングは、クラスターの標準的な運用に必要な特定のポートとプロトコルでのみ着信接続を許可するように管理されています。

データベースのポートはインターネットに公開されていません。また、Snyk ではホストベースのファイアウォールを設定することで、個々のインスタンスのトラフィックを分離しています。

セキュリティグループ、ネットワークレイアウト、ポート、ファイアウォール、ルーター、その他のネットワークインフラを変更する場合、IT 責任者が承認し、少なくとも 2 人の技術者が実行し、一貫性を手動でチェックすることになっています。

分散型サービス妨害攻撃 (DDoS) の対策として、Snyk では Google 独自の DDoS 対策技術によって DDoS 攻撃成功時の被害を軽減するとともに、多数の ISP を使用してインターネットへのアクセスが可能となるようにしています。

また、Google は Snyk のクラウド環境における不正なポートスキャンを検出するための能力と責任を有しています。ポートスキャンは Snyk のクラウド環境の着信ポートが最小限に制限されているため、あまり効果がありませんが、不正なポートスキャンが検出された場合、スキャンはブロックされ、Snyk の担当者に通知されます。

システムハードニング

Snyk は、本番サーバーのハードニングに関するベストプラクティスを採用して、リスクサーフェスを最小限に抑え、最新のセキュリティ基準を維持しています。

Snyk のハードウェアサーバーはすべて仮想サーバーで、認証された信頼性の高いイメージからプロビジョニングされています。CISO と IT 責任者は、関連するオペレーティングシステムのセキュリティアップデートフィードに登録しています。セキュリティパッチは定期的に適用されており、重要なアップデートはリリースから 24 時間以内に適用されています。

ファイルシステムへのアクセス許可は、最小権限の原則に基づいて付与されており、フォルダとファイルは、関連する読み取りまたは書き込みアクセスを必要とするグループとユーザーに対して慎重に割り当てられています。

telnet-server; rsh、rlogin、rcp; ypserv、ypbind; tftp、tftp-server、talk、talk-server などのレガシーサービスは削除されています。その他のサービス/デーモンは、非標準ポートで必要に応じて実行されます。

サーバーには、サーバーレベルのモニタリング用にOSSec がインストールされています。

ルートユーザーは「nologin」に設定されており、マシンへのアクセスは監査が可能な個人アカウントで行うことにしています。SSH アクセスにはキーとパスワードが必要です。

仮想ハードウェアは、定期的に認証されたイメージから再起動され、長期にわたる侵害やデータ漏洩を防止します。

ネットワーク、ルーティング、その他のインフラはすべて仮想化され、クラウドプラットフォーム (Google Cloud Platform) で管理されているため、クラウドプラットフォーム側でプロパティにパッチが適用され最新の状態が保たれています。

モニタリング

Snyk では、本番環境をモニタリングし、潜在的な脅威やエラーから保護するため、以下のような複数の社内ツールおよびサードパーティツールを使用しています。

• 本番環境で検出されたさまざまな異常について、Snyk の運用チームとサポート チームに警告する社内通知メカニズムを導入

• サーバーの可用性、CPU、メモリ、ディスク容量、その他の主要な指標など、Snyk の本番環境のステータスを継続的にモニタリングするために Google Cloud Monitoring 分析ツールを設定。 また、Cloud Monitoring ツールは、事前に設定されたポリシーに基づいて Snyk の運用チームにアラートを送信

• ウェブサイトのアップタイムとパフォーマンスを詳細に追跡するために、Pingdom ウェブサイトモニタリングツールを使用

• 継続的なログのモニタリングとアーカイブに Logz.io を使用

• 本番環境のバグとリグレッションの追跡に Sentry を使用

社内の本番環境モニタリングダッシュボードでは、Snyk にある複数のシステムから情報を集約し、Snyk の運用担当者に本番環境の状況を分かりやすく伝えています。

Snyk ではサポートチケットを発行するシステムも運用しており、このシステムにより管理者とエンドユーザーは、Snyk の ウェブベースのソリューションの利用中に発生した問題やエラーを報告します。

情報システムのセキュリティ管理

ノートパソコンのセキュリティ管理

Snyk の研究開発、オペレーション、サポート部門は、Apple OSX のオペレーティングシステムのみを使用しています。ノートパソコンやデスクトップPC上にある Snyk データのセキュリティを管理するため、Snyk では次の管理方法を導入しています。

• パスワード認証の要件を標準化して、8 文字以上のパスワード強度を義務付け

• 非アクティブ状態が 10 分間続くと画面をロック

• FileVault を使用したハードドライブ暗号化 (FDE) を強制

• OSX 内蔵ファイアウォールを利用

さらに、Snyk の従業員には、信頼できるソフトウェアのみをインストールすること、よく使うブラウザには定期的にパッチを適用すること、Mac OS のソフトウェアアップデートを定期的に実行することを推奨しています。

脆弱性管理

Snyk クラウドサーバーは Ubuntu Linux ディストリビューションを使用しています。Ubuntu Foundation は、セキュリティ問題に対処するためにホストオペレーティングシステムを頻繁に更新することで、セキュリティに対する取り組みを証明しています。

また、Snyk のセキュリティ責任者には、さまざまな情報セキュリティリソースからの定期的な通知が送信されます。脅威が発見された場合は、Snyk 研究開発チームがその影響の評価を行い、緩和策を計画して導入します。重大な脆弱性は 30 日以内に緩和されます。

ソースコードの制御

Snyk は、ソースコードを GitHub 上のプライベートリポジトリで管理しています。関連するリポジトリへのアクセスは、業務の一環としてソースコードにアクセスする必要がある Snyk の担当者に限定されています。GitHub へのアクセスでは、すべての従業員と関係者に対してMFA (多要素認証) が求められます。

インシデントの報告と管理

Snyk では、顧客に影響を与える可能性のあるインシデントについて、特に顧客のデータが関与している可能性がある場合に、できるだけ早く報告できるよう取り組んでいます。顧客に影響を与える可能性のあるインシデントが確認された場合、その旨がSnyk から顧客に通知されます。インシデントの調査が進むにつれて、インシデントの内容や影響について最新の情報が顧客に提供されます。

また、セキュリティインシデントの疑いがある場合、顧客は Snyk のサポートチケットシステムを使用して報告することができます。

実際にセキュリティの脆弱性に起因するインシデントが発生した場合は、以下の対応を行います。

1. 脆弱性に起因するインシデントが発生したシステムに対してはパブリックアクセスを遮断します。

2. 過去 30 日間のアクセスログと監査ログをすべて別の場所にコピーします。

3. CEO、セキュリティ責任者、および法律顧問に直ちに通知します。

4. インシデントの詳細を調査して原因を究明し、将来のインシデントを防止するために必要なすべての措置を講じます。

5. インシデントの影響がある場合、適用法の規定および Snyk の契約上の義務に従い、顧客を含む影響を受ける関係者に通知します。

6. インシデントが発生したシステムには、セキュリティのフルスキャンを行います。

7. セキュリティ責任者は、インシデントとその解決のために講じた措置のレポートを発行します。

インシデントの終了時には、関係する Snyk の担当者が根本原因を評価して、長期的なニーズを判断した上でSnyk のリスク・インシデント管理プロセスを改善するための事後分析セッションを実施します。

インシデントレポートの社外通知先:

懲戒処分

 この情報セキュリティポリシーに記載された規定やガイドラインに違反または無視した従業員は、懲戒処分を受ける可能性があります。

ポリシーの見直し

Snyk のセキュリティ責任者は、本ポリシーを少なくとも 6 か月ごと、また重大なセキュリティインシデントが発生するたびに見直し、必要に応じて修正を行い、
Snyk の CEO の承認を得て新しいバージョンのポリシーを提出し、Snyk の全従業員に配布するものとします。