シトリックスのセキュリティに関するFAQトップ20

よくある質問と、シトリックスのセキュリティに関するベストプラクティスと管理についての重要な情報を確認します。

はい。

Citrix Global Security Assurance Framework(GSAF)は、Industry Standards Organization(ISO)27001および27002、National Institute of Standards and Technology(NIST)Special Publication 800-53、Center for Internet Security(CIS)標準に含まれる一連の情報セキュリティ管理機能を活用します。GSAFは、企業、株主、顧客、従業員の利益を守りながら、企業の資産を守るための一貫した統一的アプローチを提供します。シトリックスのポリシーレビュー委員会は、少なくとも年1回、GSAFのポリシーと標準をレビューします。Citrix GSAFのポリシーと標準は、Citrixイントラネットサイトを通じてすべての従業員が利用できます。

従業員は、GSAFのポリシーおよび手続き、ならびにそれらに従わないことによる潜在的な影響を理解した上で、それらを承認しなければなりません。会社の情報および情報システムにアクセスするすべての従業員は、どのような行動が期待されるかを把握し、それに従って活動を行う責任があります。シトリックスのビジネス行動規範および利用規定(AUP)は、容認可能なこと、期待される態度や行動を従業員に周知します。

シトリックスのお客様が一貫した、スケーラブルで安全なクラウドソリューションを提供するために、GSAFプログラムでは、プログラムの成熟度と継続的な成長への取り組みと改善に関する定期的なレビュー、評価、レポートを実施しています。

参考:GSAFプログラムの概要(エビデンスパッケージ内)

はい。

シトリックスは、SOCタイプ2の監査報告書を提供します。これは、NDAに基づいて、Citrix Trust Centerからダウンロードできます(https://www.citrix.com/about/legal/security-compliance/soc-2-reports.html)。

シトリックスはISO 27001認定を取得しています。これはNDAなしでダウンロードできます(https://www.citrix.com/content/dam/citrix/en_us/documents/about/certification-of-registration.pdf)。

その他のサードパーティによる監査報告書は、NDAに基づいて、Citrix Trust Centerを通じてお客様に提供されます(https://www.citrix.com/about/trust-center/)。

すべてのCitrix Cloudオファリングは、SOC 1(SSAE 16)、SOC 2、ISO 27001、ISO 27018、FISMA、DIACAP、FedRAMP、PCI DSS Level 1、ITAR、およびFIPS 140-2の監査または証明書を所有するプロバイダーによってホスティングされています。

はい。

シトリックスは、グローバルセキュリティ組織を監督する最高情報セキュリティ責任者(CISO)を常勤で雇用しています。最高プライバシーおよびデジタルリスク責任者が率いるシトリックスのプライバシーチームが、データプライバシーに関する責任を負います。シトリックス内部監査グループは、独立性を維持するために、シトリックスの取締役会に直接報告します。これら3つのチームは、データの保護の問題に対処するために連携しています。

シトリックスのプライバシー管理プログラムの詳細については、シトリックスのプライバシーポリシー(https://www.citrix.com/about/legal/privacy.htmlをご覧ください。  

はい。

シトリックスは、シトリックスの施設、システム、およびデータへのアクセスを管理するためのアプローチを示すポリシーを維持しています。正式なユーザーアクセスプロビジョニングプロセスを使用して、最小権限に基づいてアクセスを割り当てます。特権アクセスを含むアクセスは、職能または役割に基づいて付与されます。職務の分離は、職務の役割と機能を作成する全体的なプロセスの一部です。新規ユーザーアクセス、既存ユーザーの新規アクセス、またはユーザーアクセス変更リクエストは、正式なリクエストプロセスに従うものとし、内部チケット発行システムを通じて追跡されます。経営陣は、アクセス権が付与される前またはそれが変更される前に、アクセス権を承認します。ユーザーアカウントは、事前に定義された命名スキーマとパスワード要件に従います。

シトリックスでは、本番システムへのアクセスを許可する前に、ユーザー認証とIDの確認が必要となります。パスワードのパラメータとしては、次のことが挙げられます。

  • パスワードの複雑性の強化
  • パスワードの最小長
  • パスワードの有効期限の徹底
  • パスワードの最短期間の要件
  • パスワード履歴の記憶
  • 不正なパスワード入力に対するアカウントのロックアウト
  • 初回ログイン時のパスワードリセット

一意のユーザーIDにより、システムコンポーネント(オペレーティングシステム、アプリケーション、データベース)内の説明責任を果たすことができます。役割ベースのアクセスは、最小権限のセキュリティ原則に従って、特定の機能へのアクセスを制限します。シトリックスでは、ビジネス目標をサポートするために、必要に応じて非ユーザーアカウント(テストアカウントまたはサービスアカウント)を使用できます。

シトリックスは、ユーザーアカウントおよび主要なシステムに割り当てられた権限について、四半期ごとのレビューを実施します。アクセス権が付与される前に、最小限の権限に基づいて、経営陣がシステムに対する新しいアクセス権をレビューし、承認します。終了プロセスの一環として、ユーザーアクセスは適時に無効化/削除されます。

はい。

シトリックスには、シトリックスにおけるハードウェアとソフトウェアの資産管理に関する資産管理ポリシーがあります。 

シトリックスは、シトリックスが所有するソフトウェアおよびハードウェア資産に関するリスク査定済みのインベントリを維持します。  インベントリ内の資産には所有者が割り当てられるほか、同資産は許容される使用規則を持ち、ラベル付けされ、分類されます。  資産分類は、法的要求事項、価値、重要性、および不正な開示または修正に対する機密性の観点から測定されます。

耐用年数が過ぎ、ベンダーがサポートしなくなった製品には、期限日が割り当てられます。期限日とは、製品が生産から撤去され、交換のための資金と計画のための管理時間を考慮して十分に前もって設定された日のことです。

シトリックスは、データ制御マトリックスを含む正式なデータおよびシステムのライフサイクルポリシーを文書化しています。このマトリックスは、データのタイプに基づいて必要なセキュリティ制御を定義します。このマトリックスは、移動時および保存時のデータをカバーします。破棄は、データ保持ポリシーおよびメディア廃棄ポリシーに応じて対処されます。

はい。

リスク評価および関連するランキングは、シトリックスに影響を及ぼす可能性のあるコンプライアンスおよび運用リスクの両方を含む年次内部監査計画に含まれます。また、企業資産や、それらの資産に対する潜在的な脅威や脆弱性も特定されます。調査結果は、リスク査定プロセスに従って軽減されます。また、これらの資産の機密性、完全性、可用性を最大限に保護するための推奨事項も提供されます。このプログラムでは、協力的かつ定性的なアプローチを使用して、リスクを特定し、優先順位を付けます。期間を含むプロセスの詳細は、シトリックスの機密情報です。

はい。

シトリックスは、物理的および環境的なセキュリティポリシーとプログラムを維持します。

シトリックスの施設への実際の立ち入りはバッジで管理されており、監視カメラにより立ち入りの様子を監視しています。シトリックス施設への来訪者は、来訪者バッジの発行前に従業員による署名を必要とし、また、現場にいる間は従業員が付き添う必要があります。シトリックスの施設への実際の立ち入りの許可および取り消しに使用されるバッジアクセス管理システムへの管理者アクセスは、承認された担当者のみに制限されています。

また、コロケーションデータセンターへの物理的な立ち入りも制御されます。データセンターへの立ち入りは、セキュリティ担当者による電子監視およびCCTVビデオ監視を通じて、記録、監視、追跡されます。物理的な立ち入りは、コロケーション施設内の電子ロック式ドアと別のケージエリア使用することで制限されます。管理者によって承認された担当者のみが、コロケーションデータセンター施設に立ち入ることができます。保護されたエリアに立ち入る訪問者には、従業員が付き添う必要があります。データセンターは、生体認証手順(例:手の形状)および/またはユーザーの写真付き電子近接IDカードを含む、ユーザー関連の認証手順などのセキュリティ警報システムやその他のセキュリティ対策によって保護されています。

シトリックスのコロケーションデータセンター施設に立ち入る権限は、半年ごとにレビューされます。レビューの結果、立ち入り変更要求がセキュリティグループまたはコロケーション施設に提出され、処理が行われます。警備員、生体認証アクセス、電子アクセスカード、難燃剤などのコロケーションセンターの物理的なセキュリティについては、コロケーションデータセンターが責任を負います。コロケーションデータセンターの管理は、定期的に見直されます。

はい。

インシデント対応と事業継続性に重点を置いた専任の常勤チームを含む、事業継続プログラム管理体制が導入されています。プログラムを担当する専任の事業継続性担当スタッフは、認定を受けており、業界の会議に参加するほか、この分野の継続的な学習を促進するイベントにも参加します。各地域のシトリックス連絡担当者が任命され、彼らは事業継続管理スタッフと各地域の現地経営陣と間での調整を担当します。

コア事業継続性チームは、3つの小さなチームに分けられます。これらのチームは、ある状況が発生した場合や、プランニングを目的としてアクティベートされます。コア事業継続性チームのミッションは、シトリックスの事業運営の基盤となる基盤に影響を与える組織の側面について、全体的な方向性/準備と、復旧の取り組みを提供することです。

当社のワークキャンパスでは、重要なCitrixの全拠点を対象として、グローバルに復旧戦略が策定されています。重要なビジネスユニットのテクノロジー復旧は、契約サービスを通じて提供されます。イベントを調整するためのコマンドアンドコントロールセンターが決定されています。

計画が最新の状態に保たれ、チームが対応および復旧プロセスに精通していることを確認するため、机上演習は毎年実施されます。

災害や大規模な停電が発生した場合に、シトリックスの米国西部データセンターを利用して本番処理を実行するような、運用回復戦略が策定されています。シトリックスは、世界中で4つのデータセンターを運営しています。すべてのエンタープライズアプリケーションは、フロリダ州マイアミにある同社のティアIVデータセンターでホスティングされ、Citrix Virtual Apps and Desktopsを通じて世界中のビジネスユーザーに配信されます。地域データセンターは、必要に応じて、少量の分散型インフラストラクチャと地域アプリケーションをホスティングします。これらのアプリケーションは、Citrix Virtual Apps and Desktopsを使用して配信されます。ビジネスクリティカルなデータは、当社の米国西部データセンターに対して、リアルタイムでレプリケートされます。当社の企業データセンターで災害が発生した場合、当社は、すべてのビジネスクリティカルなアプリケーションをフェイルオーバーした上で、当社の高可用性を備えたグローバルなCitrix Virtual Apps and Desktops環境へと、エンドユーザーをシームレスに誘導します。

シトリックスは、グローバルなプレゼンスに基づいて、技術サポートやカスタマーケアなどの分野で「24時間体制」のフレームワークを使用しています。このフレームワークを日常的に活用することで、ミッションクリティカルなサービスを別の場所に迅速に再ルーティングできます。

IT災害復旧計画が策定されており、四半期ごとにテストされています。過去数年にわたって、年1回のテストという業界の基準を超える、四半期ごとのIT災害復旧計画の実行が行われてきました。これらの演習には、災害復旧(DR)データセンターを使用した、クリティカルな本番処理の復元が含まれます。

当社の災害復旧チームは、四半期ごとのテストごとにローテーションされるほか、複数の人員が当社の復旧プロセスに関する適切なトレーニングを受けていることが保証されます。変更管理は、当社の災害復旧プログラムと緊密に統合されており、正確な重複環境となっています。

参考:シトリックスの事業継続性に関する概要(エビデンスパッケージ内)

はい。

計画が最新の状態に保たれ、チームが対応および復旧プロセスに精通していることを確認するため、机上演習は毎年実施されます。ハリケーンのシナリオ計画は、フォートローダーデールのキャンパスにある重要な事業部門を念頭に策定されています。毎年、これらの計画の正式なテストが実施されます。IT災害復旧計画は四半期ごとにテストされます。

はい。

シトリックスは、ビジネスインパクト分析(BIA)を通じて、すべての資産とビジネス機能をリアルタイムで評価します。資産とビジネス機能の復旧可能性を検証するため、四半期ごとのテクノロジー訓練と年次ビジネス機能演習を実施し、問題をクローズまで追跡します。  BIAは、世界中のシトリックスの各拠点の災害復旧および事業継続計画の策定に必要な情報を提供します。BIAの結果は分析され、復旧戦略が策定されます。これにより、復旧時間および復旧ポイント目標がリスクおよび影響に関する基準に基づいて計算されることが保証されます。

はい。

シトリックスのインシデント対応計画は、データの窃取、侵入、誤用など、コンピュータおよび電気通信関係のリソースに影響するインシデントに対するシトリックスの対応、文書化、および報告を規定するものです。計画の目的は、疑わしいセキュリティイベントへの迅速な対応と、顧客、従業員、株主、および会社の評判を守るためのタイムリーな調査を確保することです。この計画は、影響を受ける個人、顧客、政府機関、その他の事業体に対する通知要件および法的義務をシトリックスが確実に満たすためのガイダンスを提供します。  

参考:シトリックスのインシデント対応計画の概要(エビデンスパッケージ内)

はい。

シトリックスはインシデント対応基準を維持しており、インシデント対応チーム(IRT)を設置しています。インシデント対応(IR)チームは、セキュリティ部門が主導しており、各部門におけるステークホルダーをコアチームメンバーとして含んでいます。法務チームはインシデントコミュニケーションを管理し、内部コミュニケーションチームはIR拡大チームの一員です。社内コミュニケーションとPRは同じチームです。

シトリックスが、顧客のコンピューティング環境(サービスを実施するためにシトリックスがアクセス可能な環境)において、顧客のアカウントにアップロードされたデータがセキュリティインシデントの対象となっていると判断した場合、顧客は、適用法により義務付けられる期間内に通知を受けます。

はい。

シトリックスの従業員は、シトリックスの機密保持義務を特定する秘密保持契約(NDA)を締結します。

トレーニングは入社時に必要となるほか、その後は2年に1回のプライバシーとセキュリティに関するトレーニングが必要となります。従業員は、シトリックスグローバルセキュリティ保証ポリシー、および同ポリシーに従わないことによる潜在的な影響を理解した上で、それを承認しなければなりません。会社の情報や情報システムにアクセスするすべてのユーザーは、どのような行動が期待され、受け入れられるかを理解し、それに従って活動を行う責任があります。 

シトリックスのビジネス行動規範および利用規定(AUP)は、容認可能なこと、期待される態度や行動を従業員に周知します。  各コースの最後で、トレーニングの理解度を確認するための小テストが必須となっています。

定期的な従業員に対する再教育的なセキュリティトレーニングが必要です。

シトリックスのビジネス行動規範は、当社のWebサイト(https://www.citrix.com/content/dam/citrix/en_us/documents/about/code-of-business-conduct.pdf)でご確認いただけます。

はい。

基となる職務の機密性に基づき、雇用前または雇用後に応募者に対してさまざまなレベルの身元調査が行われます。

採用候補者の身元確認は、関連する法律、規制、および倫理に従って行われるため、ビジネス要件、アクセスされる情報の分類、および認識されるリスクに比例するものとなります。

はい。

シトリックスは、サプライヤーリレーション管理ポリシー、シトリックスベンダーリスク管理基準、シトリックスサプライヤーセキュリティ標準を維持します。これらの文書には、(a)シトリックスまたはシトリックスの顧客の施設、ネットワーク、および/または情報システムにアクセスする場合、または(b)シトリックスの機密情報にアクセス、処理、または保存する場合にシトリックスのベンダーおよびパートナーが採用する必要のある、技術的および組織的措置およびセキュリティ管理が記載されています。

これらのベンダーは、認証レポート(利用可能な場合)、サイト訪問の実施、またはその他の手順の評価を通じて、年次レビューの対象となります。リスクと例外を特定し、影響を評価します。

詳細については、シトリックスのサプライヤーセキュリティ標準(https://www.citrix.com/content/dam/citrix/en_us/documents/about/citrix-supplier-security-standards.pdf)を参照してください。

はい。

シトリックスは、システムの取得、開発、保守に関するポリシーがあります。本ポリシーの一環として、シトリックスのソフトウェア開発ライフサイクル(SDL)は、セキュリティトレーニング、脅威モデリング、設計レビュー、コードレビュー、侵入テストを含むSecure by Designアプローチを推進します。

シトリックスは、一連の商用および自社開発のテストツールを使用しています。エンジニアリングセキュリティチームのテストには、エクスプロイト開発、クラウド強化テスト、ファジング、手動/ガイド付きソースコードレビューなどが含まれます。さらに、シトリックスのエンジニアリングは、CWE-Top-25およびOWASP-Top-10の製品について、ターゲットアプリケーションへの適用性に応じて評価を行う社内レッドチームを有しています。

はい。

シトリックスのパッチ管理標準では、パッチの評価と適用のプロセスの概要が説明されているほか、システムソフトウェアおよび重要なソフトウェアへの変更には、リスクの暴露の有無を判断するために追加の脆弱性テストが必要になる場合があることが記載されています。セキュリティ関連のパッチまたは修正は、確立された変更管理プロセス(テスト、承認、最終サインオフ)に従ってテストおよび適用されます。

シトリックスは、パッチのテストに十分な時間を含め、リリース日から30~45日以内にパッチを適用し、リリースに問題がないことを確認します。

ゼロデイパッチまたは緊急パッチの場合、パッチは緊急変更管理チケットとして処理されます。

はい。

シトリックスは、評価済みのリスクに基づいて定期的な社内レビューおよび評価を実施するものとし、認定および基準で必要とされる場合、および必要に応じて、独立した当事者と契約することで評価および評価を実施します。これらのレビューには、IT統制評価、脆弱性評価、侵入テストが含まれます。結果は、資格のあるセキュリティ担当者によってレビューされ、脅威および脆弱性管理プロセスに従って修正されます。

シトリックスは、Citrix Cloudサービスの脅威モデリング、脆弱性スキャン、および侵入テストを実施するために、認定された外部評価機関と内部セキュリティテストチームを使用しています。

各個別のCitrix Cloudクラウドサービスは、現在、個別のテストおよび評価スケジュールに従っています。当社のサードパーティテスターは、サービスごとに個別の認証を準備します。

Citrix Cloudサービスの各リリースでは、新しいリリースの前に、Citrixの社内テストチームによるセキュリティ評価が必要です。外部評価からのすべての有効な指摘事項が是正されているか、またはリスクが受容されています。

はい。

Citrix Cloudは、モニタリング、自動化、セキュリティテストなどのプロセスを使用して、外部に面したアタックサーフェスを管理します。クラウドプラットフォームプロバイダーは、ホストベースおよび境界型のファイアウォール、侵入検知および防止システム、DDoS対策機能、Azure Security Centerなどのサービスを使用した集中化された可視性など、多くのネイティブセキュリティ機能を提供します。また、パブリッククラウド内でホストされる製品、サービス、およびコンポーネントは、ログをシトリックスのセキュリティ情報およびイベント管理システム(SIEM)に送ります。SIEMは、アラートおよびイベント関連付け機能を提供します。

ファイアウォールデバイスは、外部接続から実行できるアクティビティやサービスリクエストのタイプを制限することによって、Citrix環境へのアクセスを制限するように構成されています。

ファイアウォールのルールは、他の主要なプラクティスの中でも、最小権限権限アプローチを活用する確立された標準に従います。ネットワーク内の特定のエンティティへのアクセスは制限され、例外は短い期間(24時間未満)で必要な場合にのみ許可されます。自動化は例外を監視し、必要に応じて例外を毎晩削除します。

はい。

シトリックスでは、リモートでネットワークにアクセスするには、多要素認証が必要です。また、クラウドコンソールにリモートでログインするには、多要素認証が必要です。本番マシンへのリモートアクセスを直接行う場合、ユーザーには、VPN構成ファイル、VPN管理ユーザー名とパスワード、および本番システムのユーザー名とパスワードが必要となります。