セキュリティ管理
Cloudera にとって、お客様のデータを保護することは最優先課題です。そのため、業界をリードする対策や包括的なプロトコルを使用して、データを保護するための安全な環境を提供しています。
内部監査
Cloudera では、継続的に環境を監視し、不一致を検出し、ポリシー基準に準拠するために、内部監査を実施しています。
侵入テスト
Cloudera では、攻撃のシミュレーションを通して脆弱性を見つけ出し、セキュリティを強化するため、社内およびサードパーティーによる侵入テストを実施しています。最新の侵入テスト結果についてはお問い合わせください。
事業継続性
当社の事業継続ポリシーでは、お客様に対して迅速な対応と製品の高可用性を保証するため、壊滅的な事態に対処するためのプロセスと計画を詳しく定めています。
インシデント対応
Cloudera は、効果的なインシデント対応でプロアクティブに脅威を阻止し、不審なアクティビティやセキュリティインシデントを検出しています。インシデント管理プロセスの詳細については、以下でご確認ください。
リスク管理
Cloudera では、プロアクティブなリスク管理を通じて潜在的な脅威を予測し、資産を保護し、悪影響が生じる可能性を低減して、当社の製品とお客様を保護しています。
脆弱性管理
当社のエンジニアは、脆弱性管理プログラムを活用することで、潜在的なセキュリティ上の弱点を特定、評価、修正して、ソフトウェアとシステムを保護しています。
セキュリティアーキテクチャとエンジニアリング
Cloudera は、当社のチームが安全な開発プロセスを通じて適切な意思決定を行えるよう支援しています。当社のセキュリティチームは、次のような取り組みを行っています。
あらゆる環境に対応するセキュリティツールスタックの開発と保守
セキュリティアーキテクチャのレビュー
AI を使ったセキュリティレビュー
ガイダンスおよび開発サポートの提供
脆弱性管理
当社のセキュアソフトウェア開発ライフサイクル (SSDLC) のフレームワークは、あらゆる段階にセキュリティを組み込むことで、ソフトウェアのさまざまな側面に合わせてターゲットを絞ったスキャンと分析を実現しています。当社のあらゆる製品は、セキュリティに関する徹底的な分析とテストを受けてから、本番環境に導入されます。
ソフトウェア構成分析
ソフトウェア構成分析 (SCA) とは、特定のソフトウェアコンポーネントの構築に使用するすべての構成要素を決定する自動化プロセスのことです。この構成には、NIST National Vulnerability Database (NVD) によって公開されているセキュリティ脆弱性のリストが含まれます。
Cloudera では SCA を自動化して、既知の脆弱性を持つすべての依存関係を検出しています。
静的アプリケーションセキュリティテスト
静的アプリケーションセキュリティテスト (SAST) では、ソースコードのレビューを通じて、セキュリティの脆弱性、不適切な実装、テストケースの欠落、またはハードコードされた機密情報を特定することで、ソフトウェアのセキュリティ態勢を改善します。
すべての Cloudera ソフトウェアコンポーネントは、リリース前に SAST 分析を受け、セキュリティ上の欠陥がないか確認されます。この調査結果をできるだけ早い段階でリリース計画プロセスに組み込むことで、エンジニアリングチームはリリース前に十分な時間をかけて修正することができます。
動的アプリケーションセキュリティテスト
動的アプリケーションセキュリティテスト (DAST) とは、Web アプリケーションを分析して、実行環境におけるセキュリティの脆弱性を調べるプロセスです。このテストを自動化することで、通常のユーザーによるアクティビティとハッカーによる悪意あるアクティビティをシミュレートできます。これにより、ビジネスロジックに存在している脆弱性や、複数のコンポーネントにまたがって存在し、デプロイ後に初めてリスクをもたらす脆弱性を検出できます。
Cloudera では、製品リリース前に、自動化された DAST ツールですべてのリリースをスキャンします。
リスク分析
Cloudera は、すべての製品リリースでスキャンを実行します。また、以前に見つかったすべての脆弱性についてリスク分析を実行し、次の点を確認します。
1. 固有のリスク
2. 緩和要素
3. 悪用可能性
4. 残存リスク
Cloudera は、NVD CVSS スコアを使用して分析を行い、特定の CVE または脆弱性が当社のソフトウェアで悪用される可能性を評価します。残存リスクがあると判断された場合は、エンジニアリングチームに作業が引き継がれます。
顧客データのセキュリティ
Cloudera は、安全でコンプライアンスに準拠したハイブリッド環境を構築するための基盤をお客様に提供します。当社のチームは、お客様との継続的な連携を通じて、マルチクラウドからオンプレミスまで、お客様固有のニーズに最適なセキュリティアーキテクチャを提供します。
Cloudera は責任共有モデルに従っており、お客様が自社のワークロードアカウントで実行する Cloudera の計算処理とストレージリソースに対するコントロールはすべて、お客様側で行えます。また、TLS などのベストプラクティスに基づくセキュリティ機能をどこでも利用できるため、制約の多い環境でも Cloudera を導入でき、要求の厳しいワークロードを Cloudera に任せることができます。
