情報セキュリティコンプライアンス

概要

Payment Card Industry Data Security Standard（PCI DSS）コンプライアンスは、ペイメント・カード・データを保存、処理、または伝送するすべての企業にとって必須です。主要なクレジットカード企業が開発した PCI DSS では、オンライン金融取引に関するデータ保護ならびに一貫性のあるセキュリティプロセスおよび手順を保証するための手段が定義されています。PCI Security Standards Council が示しているように、PCI DSS コンプライアンスの要件には次のものがあります。

• 企業のすべての側面を対象としたセキュリティポリシーを策定および順守する
• データを保護するファイアウォールを設置する
• パブリックネットワーク経由で伝送されるカード所有者データを暗号化する
• アンチウイルスソフトウェアを使用し、定期的に更新する
• 強力なパスワードと他のサイバー・セキュリティ・プロトコルを設定する
• 厳格なアクセス制御を実施し、アカウントデータへのアクセスを監視する

多額のオンライン金融取引を処理する大規模な売買業者およびサービスプロバイダーの場合は、独立認定審査機関（QSA）が行う年 1 回の検証により、PCI DSS コンプライアンスの遵守が確認されます。 

リソース

PCI セキュリティ

Akamai の証明書

Akamai の準拠証明書（AoC）は、Akamai の対象範囲内のサービスが PCI DSS v. 3.2.1 セキュリティ標準に準拠していることをお客様に証明するものです。

Akamai は、PCI DSS コンプライアンスについて、評価の範囲に含まれるシステムに対する第三者による外部侵入テストを四半期ごとに実施しています。これらの四半期ごとの侵入テストの結果や、コンプライアンスドキュメント、認定情報は、機密保持契約（NDA）に基づいてお客様に提供されます。

ダウンロード／リンク

• 準拠証明書
• リスポンシビリティマトリクス
• リスポンシビリティマトリクス（クラウドコンピューティング・サービス）
• Akamai が掲載されている Visa Global Registry of Service Providers
• Akamai が掲載されている Mastercard Compliant Service Provider List

該当する Akamai サービス

• Enhanced TLS を使用した Secure CDN およびそこで実行されるサービス
• Secure CDN で実行される Ion、API Acceleration、Adaptive Media Delivery などのエッジデリバリー製品
• Secure CDN で実行される EdgeWorkers
• mPulse デジタルパフォーマンス管理サービス
• Secure CDN で実行される App & API Protector（マルウェア防御アドオンなど）、Account Protector、Kona Site Defender、Bot Manager（Standard および Premier）などのアプリおよび API セキュリティ製品
• Client-side Protection & Compliance や Audience Hijacking Protector など、ブラウザー内保護
• Secure Internet Access Enterprise（旧 Enterprise Threat Protector）
• Akamai MFA
• 次のクラウドコンピューティング/ソリューション：専用 CPU、共有 CPU、ハイメモリ

Q&A

Akamai は PCI DSS 認証を取得していますか？

はい、Akamai は最高レベルである PCI DSS Level 1 Service Provider として認証されています。PCI DSS 準拠証明書とリスポンシビリティマトリクスは上記のリンクで一般公開されています。

自社の Web サイトが Akamai を使用している場合、PCI DSS コンプライアンスをどのようにして保証できますか？

お客様の PCI DSS 認証については、お客様自身で取得していただく必要があります。認定審査機関（QSA）と連携して自社の制御を検証し、認証を取得してください。お客様および QSA は、カード所有者データ環境の部分に関して、Akamai の準拠証明書に基づいて PCI DSS に準拠した Akamai サービスを使用することができます。Akamai の PCI DSS リスポンシビリティマトリクス（上記リンクを参照）は、PCI DSS 要件に関する Akamai とお客様の責任を詳しく説明しています。担当アカウントチームから詳細な PCI DSS カスタマー構成ガイドが提供される場合もあります。 

Akamai は Visa Global Registry of Service Providers および MasterCard Compliant Service Provider List に掲載されていますか？
はい。Akamai は Visa と Mastercard が提供するリストの両方に掲載されています。これは、Akamai がこれらのペイメントカード大手企業のプログラム要件をすべて満たしていることを証明するものです。  

四半期ごとに実施される Akamai の Approved Scanning Vendor（ASV）脆弱性スキャンと外部の侵入テストのエグゼクティブサマリーを確認することはできますか？
はい。この情報は、機密保持契約（NDA）に従ってアカウントチームが提供いたします。

概要

SOC（System and Organization Controls）は、American Institute of Certified Public Accountants（米国公認会計士協会、AICPA）が策定したセキュリティ標準であり、サービス組織のセキュリティ、可用性、処理の整合性、機密性、プライバシーに直接関連するコントロールについて報告します。

リソース

AICPA SOC サービススイート

Akamai の証明書

Akamai は毎年 SOC 2 Type 2 レポートを受領しており、Akamai のセキュリティコントロールは年間を通じて継続的に監査されています。

該当する Akamai サービス

Akamai の主要 SOC 2 Type 2 レポートは、セキュリティと可用性についての信頼サービス基準を対象にしています。このレポートの対象になる Akamai サービスは、次のとおりです。

• Enhanced TLS を使用した Secure CDN
• Prolexic の DDoS 緩和サービス
• Akamai Control Center カスタマーポータル
• アクセス管理、キー管理、およびその他のインフラをサポートする追加システム

Akamai Connected Cloud は、さまざまな目的に対応し、さまざまな製品やサービスをサポートする多くの異なる分散システムで構成されています。レポートの対象となる Enhanced TLS を使用した Secure CDN とサポートシステムは分散したサーバーとシステムであり、エンドユーザーの機微な情報を転送または処理する Web プロパティの配信と保護に使用されます。Enhanced TLS を使用した Secure CDN で実行される Akamai サービスには、主要な SOC 2 Type 2 レポートのテスト対象となっているセキュリティおよび可用性のコントロールすべてが利用されています。Enhanced TLS を使用した Secure CDN で実行される可能性のあるサービスには、次のようなものがあります。

• Enhanced TLS を使用した Secure CDN で実行される Ion および Dynamic Site Delivery などのエッジデリバリー製品
• Enhanced TLS を使用した Secure CDN で実行される App & API Protector、Kona Site Defender、Kona DDoS Defender、Web Application Protector、Bot Manager Standard などのアプリおよび API セキュリティ製品

Akamai は、以下のソリューションについて、セキュリティと可用性の信頼サービス基準に関する SOC 2 Type 2 レポートを追加しています。

• Bot Manager Premier
• Account Protector

Akamai Guardicore Segmentation サービスに関する Akamai の SOC 2 Type 2 レポートは、セキュリティ、可用性、機密性の 3 つの信頼サービス基準を対象にしています。

Akamai Identity Cloud サービスに関する Akamai の SOC 2 Type 2 レポートは、5 つの信頼サービス基準をすべて網羅しています。

Akamai は、以下のクラウドコンピューティング・サービスについて、セキュリティと可用性の信頼サービス基準に関する SOC 2 Type 1 レポートを追加しています。

• コンピューティング：
  • 専用 CPU コンピューティング
  • 共有 CPU コンピューティング
  • ハイメモリ・コンピューティング
  • GPU コンピューティング
  • Linode Kubernetes Engine
• ストレージ：
  • オブジェクトストレージ
  • ブロックストレージ
  • バックアップ
• ネットワーク：
  • クラウドファイアウォール
  • DDoS 防御
  • NodeBalancer
• 開発者ツール：
  • API
• Cloud Manager

Q&A

SOC 2 レポートのコピーはどうやって入手できますか？
Akamai アカウントチームがコピーを提供いたします。 

どの地域が対象となっていますか？
Akamai の SOC 2 レポートは Akamai のサービス全体を対象としており、特定の地域に限定されていません。

前回の対象期間より後の期間に関するブリッジレターはありますか？
前回発行されたレポート以降の期間に関するブリッジレターは、担当アカウントチームからご入手いただけます。  

Akamai は SOC 2 認証を取得していますか？
SOC 2 では、準拠証明書は提供されません。証明書が提供されるのではなく、認定された第三者の評価機関が、評価を受ける組織のコンプライアンスに関するレポートを作成し、その組織のシステムの説明、範囲、一般基準を満たすための規制の説明、証拠、および組織の説明と証拠の適切性について検討します。 

なぜ Akamai には複数の SOC 2 レポートがあるのですか？
Akamai は現在、Identity Cloud サービスと Akamai Guardicore Segmentation、クラウドコンピューティング・サービスについて SOC 2 レポートを作成しています。これらのサービスは、最近の買収によって取得したものです。Akamai では当面、こうしたレポート分類を維持することを選択しました。  

Akamai には SOC 1 レポートがありますか？
Akamai は SOC 1 の監査を受けていません。SOC 1 レポートの目的は、サービスプロバイダーの内部統制がその顧客の財務報告に影響を与える可能性がある場合、それに対処することです。Akamai のお客様は、財務報告に不可欠な事項を Akamai のビジネスプロセスにアウトソースすることはありません。そのため、SOC 1 の監査は Akamai が提供するサービスには関連しません。

概要

ISO 27001 は情報セキュリティ・マネジメント・システム（ISMS）の国際規格です。機微な情報とデータを安全な方法で管理し、不正アクセス、暴露、破壊、または損失から保護するためのフレームワークを提供しています。リスクベースの規格であり、情報セキュリティを確保するためのベストプラクティス、管理、プロセスの概要がまとめられています。世界中の組織で広く採用され、情報セキュリティマネジメントのベンチマークとしてよく使用されています。

リソース

ISO／IEC 27001:2013

該当する Akamai サービス

• Ion（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• Dynamic Site Accelerator（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• App & API Protector（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• Global Traffic Management 
• Edge DNS
• Secure Internet Access Enterprise（旧 Enterprise Threat Protector）
• Akamai Control Center ポータル
• Guardicore Segmentation
• Akamai Identity Cloud
• Secure Internet Access IoT プライベートアクセス
• Secure Internet Access Mobile プラットフォーム
• Secure Internet Access Mobile プライベートアクセス
• Secure Internet Access Mobile 標準
• コンピューティング
  • 専用 CPU プラン
  • 共有 CPU プラン
  • ハイメモリ・プラン
  • GPU プラン
  • Linode Kubernetes Engine（LKE）
• ストレージ
  • オブジェクトストレージ
  • ブロックストレージ
  • 画像
  • バックアップ
• ネットワーク
  • NodeBalancer
• 無料バンドルのクラウドコンピューティング・サービス
  • コストのかからないセキュリティ、ネットワーク、メンテナンス、監視ソリューション
• クラウド・マネージャー・ポータル

Q&A

なぜ Akamai には複数の ISO 27001 レポートがあるのですか？
主要な ISO 27001 認証のほかにも認証が存在するのは、Akamai が Janrain, Inc.、Asavie, Inc.、Guardicore, Inc. を買収したためです。現時点では、Akamai は買収によって取得したサービスの認証を個別に管理しています。 

Akamai の ISO 27001 認証のコピーはどのようにして入手できますか？
アカウントチームから提供いたします。

概要

ISO/IEC 27017:2015 は、クラウドサービスのプロビジョニングと使用に適用される情報セキュリティ施策のガイドラインとなります。追加の実装ガイダンスと施策を提供することで、ISO 27001 での使用を補足し、クラウド・サービス・プロバイダーとクラウドサービス顧客に合わせて最適化しています。

リソース

ISO/IEC 27017:2015

該当する Akamai サービス

• コンピューティング
  • 専用 CPU プラン
  • 共有 CPU プラン
  • ハイメモリ・プラン
  • GPU プラン
  • Linode Kubernetes Engine（LKE）
• ストレージ
  • オブジェクトストレージ
  • ブロックストレージ
  • 画像
  • バックアップ
• ネットワーク
  • NodeBalancer
• 無料バンドルのクラウドコンピューティング・サービス 
  • コストのかからないセキュリティ、ネットワーク、メンテナンス、監視ソリューション
• クラウド・マネージャー・ポータル

Akamai の ISO 27017 認証のコピーを入手するためにはどうすればよいですか？

アカウントチームから提供いたします。

概要

この標準は、クラウド・サービス・プロバイダーに対し、適切な情報セキュリティコントロールを提供するためのガイダンスを提供するもので、委任された個人識別情報（PII）のセキュリティを確保して顧客のクライアントのプライバシーを保護できるようにします。

この標準は、ISO／IEC 27018 に基づいてクラウドコンピューティングの情報セキュリティ管理システムを実装するために PII 保護コントロールを選択する際の参考情報となります。また、PII 保護コントロールの実装についてもガイダンスを提供します。

リソース

ISO／IEC 27018

該当する Akamai サービス

• Akamai Identity Cloud
• コンピューティング 
  • 専用 CPU プラン
  • 共有 CPU プラン
  • ハイメモリ・プラン
  • GPU プラン
  • Linode Kubernetes Engine（LKE）
• ストレージ
  • オブジェクトストレージ
  • ブロックストレージ
  • 画像
  • バックアップ
• ネットワーク
  • NodeBalancer
• 無料バンドルのクラウドコンピューティング・サービス 
  • コストのかからないセキュリティ、ネットワーク、メンテナンス、監視ソリューション
• クラウド・マネージャー・ポータル

Q&A

Akamai の ISO 27018 認証のコピーを入手するためにはどうすればよいですか？

アカウントチームから提供いたします。

概要

ISO/IEC 27701:2019 は、国際標準化機構（ISO）および国際電気標準会議（IEC）によって発行された情報セキュリティ規格であり、ISO/IEC 27001 の情報セキュリティ・マネジメント・システム（ISMS）を拡張して、プライバシー情報マネジメントシステム（PIMS）による PII 処理関連のプライバシー保護に対応できるようにしたものです。ISO／IEC 27701 の要件に準拠する組織は、処理者および管理者またはそのいずれかとして、PII の取り扱い方を示す証拠書類を作成する必要があります。

リソース

• ISO について
• ISO 27001

該当する Akamai サービス

• Ion（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• Dynamic Site Accelerator（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• App & API Protector（Enhanced TLS を使用する Akamai Secure CDN で実行するように設定されている場合）
• Global Traffic Management 
• Edge DNS
• Secure Internet Access Enterprise（旧 Enterprise Threat Protector）
• コンピューティング 
  • 専用 CPU プラン
  • 共有 CPU プラン
  • ハイメモリ・プラン
  • GPU プラン
  • Linode Kubernetes Engine（LKE）
• ストレージ
  • オブジェクトストレージ
  • ブロックストレージ
  • 画像
  • バックアップ
• ネットワーク
  • NodeBalancer
• 無料バンドルのクラウドコンピューティング・サービス 
  • コストのかからないセキュリティ、ネットワーク、メンテナンス、監視ソリューション
• クラウド・マネージャー・ポータル

監査機関

Akamai に対する ISO 27701 の監査は、A-LIGN Assurance が実施しています。

Q&A

証明書のコピーを入手できますか？

当社の ISO 27701 証明書は、担当アカウントチームよりご提供いたします。

概要

米国政府のコンプライアンスプログラムである Federal Risk and Authorization Management Program（FedRAMP）は、クラウド製品とサービスに対するセキュリティ評価、承認、継続的な監視に関する標準化されたアプローチを提供します。

FedRAMP では、米国政府の効果的で反復可能なクラウドセキュリティを保証する一連のコアプロセスを策定し、管理しています。これにより、クラウドサービスの利用を拡大し認知度を高める成熟した市場が確立しました。

リソース

FedRAMP

Akamai の認証

2013 年以来、Akamai は、Infrastructure as a Service（IaaS）プロバイダーとして、FedRAMP Joint Authorization Board（JAB）の Provisional Authorization to Operate（ATO）を 中レベルの ベースライン要件において取得しています。

ダウンロード／リンク

Akamai の FedRAMP Marketplace ページ

該当する Akamai サービス

• HTTP および HTTPS 配信（ESSL および FreeFlow Networks と呼ばれる）を提供する Akamai のコンテンツ・デリバリー・ネットワーク、およびそのプラットフォーム上で実行されるサービス 
• App & API Protector や Kona Site Defender などの Web アプリケーションエッジ保護
• Edge DNS（DNSSEC 対応）
• NetStorage
• メディア・ストリーミング・サービス
• Akamai Control Center
• Global Traffic Management

Q&A

Akamai の FedRAMP に関する文書はどのようにして入手できますか？

FedRAMP Marketplace の Web サイト で「Package Access Request Form」からリクエストしていただけます。

Akamai の FedRAMP 影響レベルは何ですか？ 

Akamai の FedRAMP 認証の影響レベルは中程度です。 FedRAMPによると、中程度の影響レベルは FedRAMP 認証を受ける CSP 申請の 80% 近くを占めており、機密性、整合性、可用性の損失が政府機関の運営、資産、個人に重大な悪影響を与えることになる CSO が最も該当します。重大な悪影響には、政府機関の資産に対する運営上の相当な被害、金銭的損失、または（生命や身体の損失ではない）個人への被害が含まれます。

現時点で、Akamai は高程度の影響レベルの FedRAMP 認証は求めていません。

概要

1996 年の U.S. Health Insurance Portability and Accountability Act（米国の医療保険の携行性と責任に関する法律、HIPAA）では、ヘルスケアサービスおよび保険のプロバイダーによる個人識別健康情報の処理に関する要件を示しています。 

2009 年の Health Information Technology for Economic and Clinical Health Act（経済的および臨床的健全性のための医療情報技術に関する法律、HITECH）では、医療データへのアクセス権と、患者が自身のデータに対する管理権を保有する仕組みについて定義しています。これは、電子的に保護される医療情報（ePHI）の交換と、HIPAA が提示するプライバシーおよびセキュリティ保護の範囲を拡張するものです。 

リソース

• HIPAA セキュリティルール
• HITECH 法

Akamai のコンプライアンス

Akamai はヘルスケア業界のお客様によるヘルスケアデータの処理に関わっているため、ビジネスアソシエイトと見なされる可能性があります。そのため、Akamai とヘルスケア業界のお客様の間でビジネスアソシエイト契約が必要となる可能性があります。リクエストに応じて、Akamai の標準のビジネスアソシエイト契約のコピーを提供いたします。

Akamai は、HIPAA セキュリティルールに従い、定期的な第三者アセスメントを実施しています。この場合、ビジネスアソシエイトは、ビジネスアソシエイトが保持する ePHI の「機密性、整合性、可用性に対する潜在的なリスクと脆弱性を正確かつ徹底的に評価」することが求められます。直近の評価のエグゼクティブサマリーや評価機関による関連レターは、機密保持契約（NDA）に従って、Akamai のお客様およびパートナー様に提供されます。 

ダウンロード／リンク

HIPAA および HITECH 法への準拠に関する Akamai の声明

該当する Akamai サービス

• Enhanced TLS を使用した Secure CDN およびそこで実行されるサービス
• Secure CDN で実行される Ion、API Acceleration、Adaptive Media Delivery などのエッジデリバリー製品
• Secure CDN で実行される App & API Protector、Account Protector、Kona Site Defender、Bot Manager（Standard および Premier）などのアプリおよび API セキュリティ製品
• Enterprise Application Access
• Akamai Identity Cloud
• Akamai Control Center
• コンピューティング 
  • 専用 CPU プラン
  • 共有 CPU プラン
  • ハイメモリ・プラン
  • GPU プラン
  • Linode Kubernetes Engine（LKE）
• ストレージ
  • オブジェクトストレージ
  • ブロックストレージ
  • 画像
  • バックアップ
• ネットワーク
  • NodeBalancer
• 無料バンドルのクラウドコンピューティング・サービス 
  • コストのかからないセキュリティ、ネットワーク、メンテナンス、監視ソリューション
• クラウド・マネージャー・ポータル