1.4. セキュリティーおよびコンプライアンス
Central インスタンス内のすべての RHACS Cloud Service データは、転送中および保存時に暗号化されます。データは、定期的にスケジュールされたバックアップとともに、完全なレプリケーションと高可用性を備えたセキュアなストレージに保存されます。RHACS Cloud Service は、最適なパフォーマンスとデータ常駐要件を満たす機能を保証するクラウドデータセンターを通じて利用できます。
1.4.1. 情報セキュリティーのガイドライン、ロール、責任
Red Hat の情報セキュリティーガイドラインは、NIST サイバーセキュリティーフレームワーク に準拠しており、経営幹部によって承認されています。Red Hat は、世界各地に分散した認定情報セキュリティー専門家の専任チームを維持しています。次のリソースを参照してください。
Red Hat は、お客様とそのビジネスを保護するために厳格な社内ポリシーと実践を実施しています。これらのポリシーと実践は機密です。さらに、当社は、データプライバシーに関連するものを含め、適用されるすべての法律および規制を遵守します。
Red Hat の情報セキュリティーのロールと責任は、第三者によって管理されません。
Red Hat は、全従業員の業務、企業のエンドポイントデバイス、認証および認可の実践を管理する企業情報セキュリティー管理システム (ISMS) の ISO 27001 認証を維持しています。当社では、Red Hat が採用しているすべてのインフラストラクチャー、製品、サービス、テクノロジーに Red Hat Enterprise Security Standard (ESS) を実装することで、標準化されたアプローチを採用しています。ESS のコピーはリクエストに応じて提供されます。
RHACS Cloud Service は、Amazon Web Services (AWS) でホストされている OpenShift Dedicated のインスタンス上で実行されます。OpenShift Dedicated は、ISO 27001、ISO 27017、ISO 27018、PCI DSS、SOC 2 Type 2、および HIPAA に準拠しています。情報セキュリティーを管理するために、強力なプロセスとセキュリティー制御が業界標準に準拠しています。
RHACS Cloud Service は、OpenShift Dedicated 用に定義されたものと同じセキュリティー原則、ガイドライン、プロセス、および制御に従います。これらの認定は、当社のサービスプラットフォーム、関連する運用、および管理プラクティスがコアセキュリティー要件とどのように一致しているかを実証します。当社は、ビルドパイプラインのセキュリティーを含む、NIST が定義する堅牢なセキュアソフトウェア開発フレームワーク (SSDF) プラクティスに従うことで、これらの要件の多くを満たしています。SSDF コントロールの実装は、すべての製品とサービスに対して、Secure Software Management Lifecycle (SSML) を通じて実装されます。
Red Hat の実績のある経験豊富なグローバルの Site Reliability Engineering (SRE) チームは 24 時間 365 日対応しており、RHACS Cloud Service のホストされたコンポーネントに関連するクラスターのライフサイクル、インフラストラクチャー設定、スケーリング、メンテナンス、セキュリティーパッチ適用、インシデント対応を積極的に管理します。Red Hat SRE チームは、RHACS Cloud Service コントロールプレーンの HA、稼働時間、バックアップ、復元、セキュリティーの管理を担当します。RHACS Cloud Service には、99.95% の可用性 SLA と、電話またはチャットによる 24 時間 365 日の RH SRE サポートが付属しています。
ポリシーの実装、脆弱性管理、OpenShift Container Platform 環境内でのセキュアクラスターコンポーネントの導入など、製品の使用についてはお客様の責任となります。Red Hat SRE チームは、次のような前述のコンプライアンスフレームワークに沿って、テナントデータを含むコントロールプレーンを管理します。
- すべての Red Hat SRE は、バックプレーンを介してデータプレーンクラスターにアクセスし、クラスターへの監査されたアクセスを可能にします。
- Red Hat SRE は、Red Hat レジストリーからのイメージのみをデプロイします。Red Hat レジストリーに投稿されたすべてのコンテンツは、厳格なチェックを受けます。これらのイメージは、セルフ管理のお客様が利用できるイメージと同じです。
- 各テナントには独自の mTLS CA があり、転送中のデータを暗号化してマルチテナント分離を可能にします。追加の分離は、SELinux 制御の namespace とネットワークポリシーにより提供されます。
- 各テナントには独自の RDS データベースインスタンスがあります。
すべての Red Hat SRE と開発者は、厳格なセキュア開発ライフサイクルのトレーニングを受けます。
詳細は、以下を参照してください。
1.4.2. 脆弱性管理プログラム
Red Hat は、ビルドプロセス中に製品の脆弱性をスキャンし、専任の製品セキュリティーチームが新たに発見された脆弱性を追跡および評価します。Red Hat Information Security は、実行中の環境の脆弱性を定期的にスキャンします。
認定済みの影響度が重大および重要のセキュリティーエラータアドバイザリー (RHSA) と、優先度が緊急で、弊社が優先度高と判断したバグ修正エラータアドバイザリー (RHBA) が利用可能になると、リリースされます。その他の利用可能な修正プログラムと認定パッチはすべて、定期的な更新を通じてリリースされます。重大度が重大または重要の不具合の影響を受けるすべての RHACS Cloud Service ソフトウェアは、修正プログラムが利用可能になるとすぐに更新されます。重大または優先度の高い問題の修復に関する詳細は、Understanding Red Hat’s Product Security Incident Response Plan を参照してください。
1.4.3. セキュリティー試験と監査
RHACS Cloud Service は現在、外部のセキュリティー認証やアテステーションを取得していません。
Red Hat 情報リスクおよびセキュリティーチームは、情報セキュリティー管理システム (ISMS) の ISO 27001:2013 認証を取得しました。
1.4.4. システム相互運用性セキュリティー
RHACS Cloud Service は、レジストリー、CI システム、通知システム、ServiceNow や Jira などのワークフローシステム、セキュリティー情報およびイベント管理 (SIEM) プラットフォームとの統合をサポートしています。サポートされている統合の詳細は、インテグレーション ドキュメントを参照してください。カスタムインテグレーションは、API または汎用 Webhook を使用して実装できます。
RHACS Cloud Service は、顧客のサイトと Red Hat 間のすべてのインフライトトラフィックの認証とエンドツーエンドの暗号化の両方に証明書ベースのアーキテクチャー (mTLS) を使用します。VPN は必要ありません。IP 許可リストはサポートされていません。データ転送は mTLS を使用して暗号化されます。セキュア FTP を含むファイル転送はサポートされていません。
1.4.5. 悪意のあるコードの防止
RHACS Cloud Service は Red Hat Enterprise Linux CoreOS (RHCOS) にデプロイされます。RHCOS のユーザー空間は読み取り専用です。さらに、すべての RHACS Cloud Service インスタンスは、実行時に RHACS によって監視されます。Red Hat は、Windows および Mac プラットフォーム向けに、集中管理およびログ記録される、市販のエンタープライズグレードのウイルス対策ソリューションを使用しています。Linux ベースのプラットフォーム上のウイルス対策ソリューションは、追加の脆弱性をもたらす可能性があるため、Red Hat のストラテジーには含まれていません。代わりに、プラットフォームを保護するために、組み込みツール (SELinux など) を強化して利用します。
Red Hat は、個々のエンドポイントセキュリティーに SentinelOne と osquery を使用しており、ベンダーから更新が利用可能になるとすぐに更新が行われます。
すべてのサードパーティーの JavaScript ライブラリーがダウンロードされ、ビルドイメージに組み込まれ、公開前に脆弱性がスキャンされます。
1.4.6. システム開発ライフサイクルセキュリティー
Red Hat は安全な開発ライフサイクルのプラクティスに従います。Red Hat 製品のセキュリティープラクティスは、可能な限り、Open Web Application Security Project (OWASP) および ISO12207:2017 に準拠しています。Red Hat は、OWASP プロジェクトの推奨事項とその他の安全なソフトウェア開発プラクティスをカバーし、製品の全体的なセキュリティー体制を強化します。OWASP プロジェクトは選択された CWE の脆弱性に基づいて構築されるため、OWASP プロジェクト分析は Red Hat の自動スキャン、セキュリティーテスト、および脅威モデルに含まれています。Red Hat は、製品の弱点を監視し、問題が悪用されて脆弱性になる前に対処します。
詳細は、以下を参照してください。
アプリケーションは定期的にスキャンされ、製品のコンテナースキャン結果は公開されます。たとえば、Red Hat Ecosystem Catalog サイトでは、rhacs-main などのコンポーネントイメージを選択し、Security タブをクリックして、ヘルスインデックスとセキュリティー更新のステータスを確認できます。
Red Hat のポリシーの一環として、サポート終了となる依存サードパーティーコンポーネントに対してサポートポリシーとメンテナンスプランが発行されます。
1.4.7. Software Bill of Materials
Red Hat は、コア Red Hat 製品向けの SBOM (ソフトウェアの Bill of Material) ファイルを公開しました。SBOM は、ライセンスと来歴情報を含むソフトウェアコンポーネントと依存関係の、機械可読の包括的なインベントリー (マニフェスト) です。SBOM ファイルは、ソフトウェアアプリケーションとライブラリーのセットに含まれる内容の調達と監査のレビューを確立するのに役立ちます。SBOM は、Vulnerability Exploitability eXchange (VEX) と組み合わせることで、組織が脆弱性リスク評価プロセスに対処するのに役立ちます。これらを組み合わせることで、潜在的なリスクが存在する可能性のある場所 (脆弱なアーティファクトが含まれている場所、およびこのアーティファクトとコンポーネントまたは製品との相関関係) と、既知の脆弱性またはエクスプロイトに対する現在のステータスに関する情報が提供されます。
Red Hat は他のベンダーと協力して、Common Security Advisory Framework (CSAF)-VEX ファイルと相関関係のある有用な SBOM を公開するための特定の要件を定義し、コンシューマーとパートナーにこのデータの使用方法を通知することに取り組んでいます。現時点では、RHACS Cloud Service の SBOM を含む Red Hat が公開している SBOM ファイルは、顧客テスト用のベータ版とみなされており、https://access.redhat.com/security/data/sbom/beta/spdx/ から入手できます。
Red Hat のセキュリティーデータの詳細は、Red Hat セキュリティーデータの将来 を参照してください。
1.4.8. データセンターとプロバイダー
Red Hat は、サブスクリプションサポートサービスの提供に次のサードパーティープロバイダーを使用しています。
- Flexential は、Red Hat カスタマーポータルのデータベースをサポートするために使用される主要なデータセンターである Raleigh Data Center をホストしています。
- Digital Realty は、Red Hat カスタマーポータルのデータベースをサポートするセカンダリーバックアップデータセンターである Phoenix Data Center をホストしています。
- Salesforce は、顧客チケットシステムの背後にあるエンジンを提供します。
- AWS はデータセンターインフラストラクチャーの容量を増強するために使用され、その一部は Red Hat カスタマーポータルアプリケーションのサポートに使用されます。
- Akamai は、Web アプリケーションファイアウォールをホストし、DDoS 保護を提供するために使用されます。
- Iron Mountain は、機密資料の破壊を処理するために使用されます。
