NetRoadshow情報セキュリティ

NetRoadshowではセキュリティが最優先事項です。 投資銀行業界では、業界をリードするサービスやサポートの質だけでなく、セキュリティに対する取り組みでも信頼を得ています。
Security icon image

設計上の安全

NetRoadshowのセキュリティプログラムの中核となる考え方は、お客様のデータを保護し、お客様の信頼を維持することです。

NetRoadshowでは、組織全体でセキュリティのレベルを実装するために、多重防御のアプローチを採用しています。 新しいセキュリティ管理を定義し、既存のものを絶え間なく改善することに情熱をもって取り組んでいます。

弊社のセキュリティプログラムは、コンプライアンスや規制上の要件だけでなく、10、CIS Critical Security Controls OWASP Top 、脅威インテリジェンスなどの業界のベストプラクティスによって推進されています。

Secure design image
Security culture image
Security icon image

セキュリティ文化

NetRoadshowのすべての従業員および請負業者は、雇用前に身元確認を受けます。 。身元確認の結果に問題がある場合は、セキュリティ特権の制限から採用内定の取り消しに至るまで、さまざまな影響を及ぼす可能性があります。 身元確認では次のことを確認します:郡、州、および連邦の犯罪検索履歴、性犯罪者検索、職歴、信用履歴。

弊社は、すべての顧客データの完全性、機密性、可用性を確保し、不正または違法なアクセス、使用、開示または破壊から当該データを保護するためのセキュリティポリシーを有しています。

Security culture image
Privacy icon image

プライバシーと保護

NetRoadshowは、お客様が弊社に委託するデータのプライバシーを維持することに努めます。 弊社はセキュリティプログラムを導入し、お客様のデータを保護し、弊社の利用規約およびプライバシーポリシーで許可された範囲でのみデータを使用します。 お客様のデータを顧客間で共有したり、販売したりすることは決してありません。

NetRoadshowは、引き続きGDPR遵守に努め、標準契約条項およびデータ保護契約の履行に向けてクライアントと協力し、NetRoadshowの個人データの使用方法および保護の仕方について文書化します。

Privacy and protection image
Disaster recovery image
Business continuity icon image

災害復旧と事業継続

NetRoadshowのサービスはAWSでホストされており、AWSの可用性ゾーンの長期停止に耐えられるように構成されています。 弊社は、US-EAST-1とEU-WEST-1のAWSリージョンにまたがる完全冗長システムを構築し、取引先に提供するアプリケーションの可用性を維持しています。 弊社のオフィスや社内ネットワークには、重要なサーバーや取引先データは保存されていません。 弊社のオフィスに突然アクセスできなくなった場合、従業員は代替となるリモートの職場を探し、生産性を最適化するために物理的に共同作業を行う可能性があります。

火災、気象関連災害、政治的災害、パンデミックなど、何らかの災害が発生し、NetRoadshowの物理的オフィスが影響を受けた場合は、現地当局に連絡し、従業員の安全と安心を確保するための支援を求めます。

Disaster recovery image
Encryption icon image

暗号化

移動中の暗号化

NetRoadshowのポリシーは、NetRoadshowの従業員のみがアクセスするすべてのTLSエンドポイントはTLS 1.2および1.3に対応していることです。

停止時の暗号化

永続的データはすべてAWS/KMSを使用して停止時に暗号化され、AES-256暗号を使用してすべてのデータを暗号化します。 これは、セキュリティ対策の実施によりSSAE-16準拠のSOC 1、SOC 2、SOC 3の認証取得に成功したAWSで管理されます。

Encryption image
SSO image
SSO icon image

安全なシングルサインオンとデバイス検証

NetRoadshowは、業界標準のSAML 2.0シングルサインオン(SSO)ソリューションと統合することができ、チームメンバーはSSO認証情報を使ってNetRoadshowにログインすることができます。 このため、ユーザーがNetRoadshowの認証情報を個別に持つ必要がなく、適切なユーザーのみがデータにアクセスできるようになり、他の会社向けアプリケーションと同じ認証ポリシーをNetRoadshowに適用することができます。 各アプリケーションにはセッションの非アクティブアカウントが設定されているため、放置されたセッションが従業員のデバイス上で開かれたままになることはありません。
SSO image
AICPA SOC logo image

SOC 2® タイプ2レポート

SOC 2 タイプ2認証は、お客様に最も安全でコンプライアンスに準拠したソリューションを提供するという当社のコミットメントを反映したものです。

全レポートをダウンロードするにはNDAにサインしてください。

レポート請求
Software development image
Development icon image

ソフトウェア開発と監視

NetRoadshowは、OWASPプロジェクトやCISの推奨に基づき、安全なコーディングを実践します。

ソースコードと設定ファイルは、gitベースのプライベートリポジトリに保存されます。 これらのツールは、コードの帰属やコードレビューをサポートします。 レビュアーは、NetRoadshowの慣習やスタイルに準拠しているか、バグの可能性、潜在的なパフォーマンスの問題、および展開が意図した目的のみに限定されているかについて確認します。 CIパイプラインの複数のスキャンツールは、品質、セキュリティおよびユニット検証のための静的解析と自動テストも実行します。 パスワードや暗号化キーなどの秘密情報はリポジトリに保存されません。 すべての秘密情報はAWS Secrets Managerに保存されるか、またはTLS秘密キーの場合にはAWS CloudHSMデバイスに保存されます。

展開用に統合されると、コードがOWASP Zap TLS秘密キーの場合にはAWS CloudHSMツールでスキャンされ、ユニットおよび統合の脆弱性を検出します。 すべての脆弱性は、リリースが本番環境に送られる前に修正されます。

統合されたオープンソースソフトウェアのライブラリやツールの主要なコンポーネントは、堅牢性、安定性、パフォーマンス、セキュリティ、保守性についてレビューされます。 セキュリティチームと開発チームは、正式なソフトウェアのリリースプロセスを確立し、遵守します。

Software development image
Development icon image

コードレビューと本番環境へのサインオフ

本番システム用に設計されたNetRoadshowのソースコードへの変更はすべて、セキュリティ、パフォーマンス、および潜在的な不正使用の分析を含め、資格のある開発ピアによるコミット前のコードレビューの対象となります。

本番サービスを更新する前に、ソフトウェアバージョンの更新に貢献したすべての者には、当該変更がステージングサーバー上で意図したとおりに動作していることへの承認が要求されます。 変更はすべて、文書変更管理手順に遵守していることが必要です。

Code review image
Security training image

セキュリティ研修

セキュリティチームは、NetRoadshowの従業員に対し、入社時とその後は1年ごとに、全社的なコンピュータ利用のセキュリティ意識向上プログラムの実施を維持します。 このプログラムは、セキュリティ意識、ポリシー、プロセス、プライバシー、および従業員が義務を果たすに十分な情報を得られるようにするためのトレーニングを対象としたものです。

開発部門の従業員はこの他に、四半期ごとにソフトウェアと開発セキュリティのトピックに特化したトレーニングを受けることが義務付けられています。

Security training image
Security icon image

従業員のアクセス

NetRoadshowは、サーバーへのアクセス、ソフトウェアの作成、問題の診断と解決、および顧客サポートに関して、最小権限の原則に従います。 従業員には、目の前の業務を行うのに必要なアクセス権のみが与えられ、それ以上は与えられません。 アクセス管理のレビューは四半期ごとに行われ、組織全体で最小権限を維持し、従業員が業務に必要な範囲を超えてアクセスすることがないようにします。

弊社では従業員のアカウントの確認にAWS IAMを使用しており、すべての社内アプリケーションには例外なく2要素認証を要求します。 必要に応じて管理者権限が適用され、すべての管理アクセスは記録され、従来のWebサーバーログとCloudWatch/CloudTrailから監査が可能です。

Employee access image
Physical security image
Security icon image

物理的セキュリティ

弊社はAWSのデータセンターを活用し、アプリケーションのインフラとホスティングサービスを提供します。 Amazon AWSは、24時間365日の監視や生体認証など、物理的セキュリティに関してすべての業界標準を上回っています。 すべてのデータは同社の安全なデータセンター内でホストされます。 AWSは、さまざまな第三者による個別の監査を定期的に受けており、データセンター、インフラ、および運用に関するコンプライアンス管理の検証を提供することができます。 これには、SOC 1、2、3認証、およびISO27001認証が含まれますが、これらに限定されるものではありません。

Physical security image

情報セキュリティ対策

NetRoadshowでは、SOC2 CISの推奨とさまざまなツールを組み合わせて徹底した情報セキュリティを実践し、システムと顧客データを保護します。 弊社の取り組みはSOC2タイプ1の認証を受けており、10大国際銀行のすべての情報セキュリティレビュー担当者により承認されています。

弊社が活用するソリューションには次のものが含まれます。

侵入の検知と防御
NetRoadshowは、IDS/IPSシステムの2段階を利用して、デバイスレベルおよびリクエストごと、アプリケーションレベルで侵入を検知し、防御しています。

弊社は、すべてのクラウド環境にCrowdstrike IPSを採用し、すべてのサーバーとコンテナ型デバイスを保護します。 これにより、広範かつダイナミックな攻撃検知と対処を実現し、すべてのクラウドエンドポイントを可視化します。 また、侵入および退出ポイント内でModSecurity IDS/IPSを活用し、有効なリクエストに紛れようとする可能性のある侵入を防ぎます。 すべての検出結果は集中ログシステムに記録され、レビューのために配信グループに送信されます。

会議システムのスチームには、IDS/IPS用にFortinetのFortiGuardを採用しています。

エンドポイントのセキュリティと暗号化
弊社は、WorkSpace ONEと呼ばれるモバイルデバイス管理(MDM)システムを導入しています。 WorkSpace ONEは、会社のすべてのノートパソコンとデスクトップパソコンに搭載され、一元的に監視されています。 監視機能には、会社のデバイスが紛失または盗難にあった場合のリモートワイプ機能が含まれています。 WorkSpace ONEは、全社のデバイス上のUSBポートが、マシン上で書き込み可能なデバイスとして使用されないようにブロックされていることを保証します。

ノートパソコンのハードディスクはすべてBitlockerで暗号化されており、WorkSpace ONE経由でインストールしています。 BitlockerはAES 256ビットキーでハードドライブに保存されているデータを暗号化します。 全社のノートパソコンには、Crowdstrikeアンチウイルスもインストールされています。 Crowdstrikeは、いかなるエンドユーザーによっても無効化されないようにロックされています。

会社のメールやデータにアクセスできる会社および個人のモバイルデバイスには、VMWareOne(IntelligentHub)をインストールしなければなりません。 IntelligentHubは、各個人のモバイルデバイスにある企業情報(電子メールを含む)すべてをコンテナ化します。 これらのコンテナは、携帯電話の他の部分と区分けされており、デバイスが紛失または盗難にあった場合に、リモートワイプすることができます。 デバイスはすべて、コンプライアンスおよび設定ポリシーによって管理されます。

電子メールのDLP
弊社ではMimecastを社内データ損失防止(DLP)ツールとして使用し、電子メールを監視します。 すべての送信メールは、GDPR、CCPA、GLBA、PCIなどのルールを組み込み、設定された参照辞書をもとにスキャンされます。 疑いのあるメールを隔離し、送信前に 確認します。 Mimecast は Web フィルタリングツールとしても利用され、従業員が全社 のデバイスで承認されていないサイトにアクセスするのをブロックします。
侵入テスト

NetRoadshow のすべてのアプリケーションは、第三者企業を通じて毎年侵入テストを実施します。 侵入テストによって得られたセキュリティの脆弱性に関する情報は、軽減と修正の優先順位を設定するために使用されます。 結果と所見は適切に文書化され、完了時に各アプリケーションの管理チームに提示されます。 テスト中に特定されたすべての重大な問題は、問題が特定された日から 45 暦日以内に対処されます。 テスト中に特定されたすべての問題は、組織のリスクに基づいてランク付けされます。 各問題は、情報セキュリティチームのメンバーが開始から完了まで追跡調査します。

NetRoadshow は、ご要望に応じて、侵入テストの結果の概要をお客様に提供します。

脆弱性のスキャン
弊社は、脆弱性とソフトウェアのバージョンルールをテストするために Nessus スキャンを週次で実施します。これにはソフトウェアのバージョンルールを含みます。 スキャンが完了すると、情報セキュリティチームのメンバーが脆弱性をレビューし、ランク付けし、修正に向けてその結果を DevOps チームに提示します。
アプリケーションの社外 CV
弊社では、アプリケーションの Web サイトの SSL 証明書の認証局として DigiCert を使用しています。 DigiCert は、今日の市場で最も信頼されている認証局の一つです。
監査および記録
弊社ではすべてのシステムにおいて監査ログを保存しています。 これらのログは、誰のアカウントがどのシステムにアクセスしたか、ということを記録するものです。 ログへのアクセスは制限されています。 セキュリティイベントは、弊社の情報セキュリティチームが記録、監視、および対処します。 ネットワークコンポーネント、ワークステーション、アプリケーションおよびすべての監視ツールは、ユーザーの活動を監視するために有効です。 イベント対応に関する組織の責任は、弊社のインシデント対応ポリシーに定義されています。 重要なシステム設定の変更と管理者を記録するセキュリティイベントは、変更時に警告されます。 ログの保管期限は、弊社の情報セキュリティポリシーに定義されています。
継続的な監視
弊社は、社内外のサービスを利用して、ネットワークとアプリケーションの継続的なスキャンと監視を実施します。 脆弱性スキャンを週 1 回、リスクアセスメントと侵入テストを年 1 回実施します。
アンチウイルス/アンチマルウェア
弊社のアンチウイルス/アンチマルウェアソリューションとして、Crowdstrike がすべてのユーザーのエンドポイントおよびサーバーにインストールされました。 これにより設定とログが一元化されました。 署名の更新は 24~48 時間ごとに自動的に行われます。 CrowdStrike は、潜在的な脅威をリアルタイムで分析し、無力化します。
安全なソフトウエア開発
弊社では、OWASP の標準的な脆弱性への対応に応じた安全なコーディング標準を導入しています。 VueJS や AngularJS などの業界標準のフロントエンドフレームワークを活用し、一般的な脆弱性に対する標準的な防御を提供します。 さらに、弊社の安全なソフトウェア開発プロセスでは、STRIDE/DREAD 脅威分析、ピアコードレビュー、セキュリティテスト、メジャーリリースごとのアプリケーションの動的スキャン、外部侵入テストなど、この種の脆弱性に対処するために何重もの防御策を施しています。

セキュリティポリシー

NetRoadshow は、社内のセキュリティポリシーを維持し、少なくとも年 1 回見直しを行います。 弊社のセキュリティポリシーは、アカウント、データ、物理的セキュリティなど、すべての従業員が準拠する必要がある一般的な標準から、アプリケーションおよびネットワークのセキュリティおよび情報システムを対象としたより専門的なセキュリティ標準まで、さまざまなセキュリティ関連のトピックを網羅しています。 確認用にこれらのポリシーの写しが必要な場合は、弊社の情報セキュリティ部門にお問い合わせください。

NetRoadshow は、情報セキュリティポリシー、利用規定、および従業員の責任と情報システムリソースの許容される利用を定義する行動規範を維持します。 組織は、ユーザーから、行動規範を読み、理解し、遵守することに同意したことを示す署名入りの承認書を受け取るものとします。

NetRoadshow情報セキュリティ

これらのセキュリティ管理について、お客様やチームメンバーの方がご質問や詳細な情報をご希望される場合は、security@netroadshow.com までご連絡ください。弊社の情報セキュリティチームメンバーがおってご連絡いたします。
お問い合わせ