Service Organization Control(SOC)レポートは、米国公認会計士協会(AICPA)認定の評価者が発行する独立した第三者レポートで、外注サービスに関連するリスクに対処します。AICPAは、セキュリティー、可用性、処理の保全性、機密性、プライバシーに関するトラスト・サービス基準(TSC)を確立しており、これに基づいてサービス組織が評価されます。
SOC 2レポートは、お客様所有のデータを保護するために組織が導入した内部統制を評価し、それらの内部統制の性質に関する詳細を提供します。
SOC 2レポートの入手については、IBMの担当者にお問い合わせください。
選択したトラスト・サービス原則に従って統制を行っているIBMサービスについては、SOC 2レポートが提供される場合があります。SOC 2レポートは、IBMが選択したトラスト・サービス原則に関する統制を適切に設計し、その統制がレポート期間中有効に機能していたことを実証しています。
以下のサービスでは、統制の評価期間が示されているSOC 2 Type 2レポートが入手可能です。このようなレポートは過去の評価期間を示しているため、SOC 2 Type 2レポートにはブリッジ・レターが添付される場合があります。ブリッジ・レターは、IBMが前回のレポート期間終了からサービス・コントロールを継続的に行っていることを証明しています。
IBMサービス記述書(SD)は、特定の製品やサービスがSOC 2 Type 2への準拠を維持しているかどうかを示します。以下のサービスでは毎年1回以上、SOC 2 Type 2レポートを発行しています。
IBM Cloudサービスを使用してコンプライアンス実現を加速
PCI DSSの最新バージョン(v4.0)は、2022年3月にリリースされました。組織はコンプライアンスを達成するために、2025年3月31日までにこれら12の要件を実装する必要があります。
IBM Cloudは、特定のPCI DSS要件を満たし、コンプライアンスへの取り組みを加速するのに役立つ以下の一連のサービスを提供します。
|
1. リスク評価 |
|---|
IBM Z Security and Compliance Center
IBM Cloud Security and Compliance Center(SCC)は、ハイブリッド・マルチクラウド環境全体でポリシーをコードとして定義し、安全なデータとワークロードのデプロイメント・コントロールを実装し、セキュリティーとコンプライアンスの状況を評価する統合ソリューション・スイートです。
IBM Cloud Security and Compliance Center - ワークロード保護
コンテナとマイクロサービスに重点を置いたアーキテクチャーで、IBM® Cloud Security and Compliance Center Workload Protectionを使用すれば、ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検出して対応し、ソースから実行までの構成、権限、コンプライアンスを管理することができます。
IBMクラウド・セキュリティー・ソリューション - 脅威管理 - IBM Security QRadar Suite
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。この製品には、エンタープライズ・グレードのAIと自動化が組み込まれており、アナリストの生産性を大幅に向上し、リソースに制約のあるセキュリティー・チームがコア・テクノロジー全体でより効果的に作業できるよう支援します。
共通のユーザー・インターフェース、洞察の共有、ワークフローの接続により、エンドポイント・セキュリティー(EDR、XDR、MDR)、ログ管理、SIEM、SOAR向けの統合製品を提供します
IBM Security Guardium
IBM Security Guardiumは、脆弱性を特定し、オンプレミスとクラウドの機密データを保護するIBM Securityポートフォリオに属するデータ・セキュリティー・ソフトウェア・ファミリーです。
IBM Cloud Databasesサービス
IBM Cloud Database-as-a-Service(DBaaS)サービスで、インフラストラクチャーとデータベース・ソフトウェアの導入、インフラストラクチャーの運用、データベース・ソフトウェアの更新、バックアップなどの複雑で時間のかかる作業から開発者とIT部門を解放します。IBM Cloud Database SMEで、すぐに使用できる高可用性のデータベース・インスタンスを提供し維持するので、開発者とITスタッフは他の優先事項に集中できます。
IBM Cloud Monitoring
インフラストラクチャー、クラウド・サービス、アプリケーションのクラウド監視とトラブルシューティングを実施します。
|
2. アクティビティー管理 |
|---|
IBM Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Managementサービスでは、ユーザーをセキュアに認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫性をもって制御します。
IBM Cloud Databasesサービス
IBM Cloud Database-as-a-Service(DBaaS)サービスで、インフラストラクチャーとデータベース・ソフトウェアの導入、インフラストラクチャーの運用、データベース・ソフトウェアの更新、バックアップなどの複雑で時間のかかる作業から開発者とIT部門を解放します。IBM Cloud Database SMEで、すぐに使用できる高可用性のデータベース・インスタンスを提供し維持するので、開発者とITスタッフは他の優先事項に集中できます。
継続的デリバリー
エンタープライズ対応のDevOpsの採用。アプリの配信タスクをサポートするツールチェーンの作成。構築・テスト・導入などの自動化。
IBM Cloud Logs
IBM Cloud Logsを使用してログの可観測性を高め、インフラストラクチャーとアプリケーションのパフォーマンスを改善します。
|
3. 論理的アクセス制御と物理的アクセス制御 |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services は、外部の Web コンテンツとインターネット・アプリケーションがクラウドに到達する前に、市場をリードするセキュリティーとパフォーマンスをもたらします。
IBM Cloud Direct Link
IBM Cloud Direct Linkソリューションは、オンプレミスのリソースをクラウドのリソースにシームレスに接続するように設計されています。IBM Cloud Direct Linkの速度と信頼性により、組織のデータ・センター・ネットワークを拡張でき、公共のインターネットに接続することなく接続に一貫性を持たせ高スループットにします。
IBM Cloudゲートウェイ・アプライアンス
ゲートウェイ・アプライアンス は、ネットワーク・トラフィックの制御を強化し、ネットワークのパフォーマンスを向上させ、ネットワークのセキュリティを強化するデバイスです。複数のVLANのルーティング、ファイアウォール、VPN、トラフィック・シェーピングなどの物理ネットワークと仮想ネットワークを管理します。
IBM Cloud Transit Gateway
IBM Cloud Transit Gatewayは、IBM Cloud Virtual Private Cloud(VPC)ネットワークの接続と管理を支援するものです。
Fortigateセキュリティー・アプライアンス
FortiGate Security Appliance(FSA)10 Gbpsは、パブリック・ネットワークとプライベート・ネットワークの両方で複数のVLAN上のトラフィックを保護するように構成できるハードウェア・ファイアウォールです。
ハードウェア・ファイアウォール
ハードウェア・ファイアウォールの顧客は、サービスを中断することなくオンデマンドでプロビジョニングされる重要なセキュリティー層が得られます。不要なトラフィックがサーバーに侵入しなくなり、攻撃対象領域が減るので、サーバー・リソースを本来の用途専用にすることができます。
IBM Key Protect for IBM Cloud
IBM Key Protect for IBM Cloudサービスは、IBM Cloudサービス全体でアプリの暗号化された鍵をプロビジョニングして保管するのに役立ちます。これにより、データ暗号化と鍵のライフサイクル全体を1か所から確認および管理できます。
IBM Cloud App ID
IBM Cloud App IDなら、Webアプリケーションやモバイル・アプリに認証が追加しやすくなります。ID用のインフラストラクチャーの設定、地理的可用性の確保、コンプライアンス規制の確認について心配する必要はもうありません。代わりに、多要素認証やシングル・サインオンなどの高度なセキュリティー機能でアプリケーションを強化できます。
Secrets Manager
IBM Cloud Secrets Managerを使用すると、単一の場所からのアクセスを制御しながら、シークレットを動的に作成してアプリケーションにリースできます。オープンソースのHashiCorp Vault上に構築されたSecrets Managerは、パブリッククラウドのメリットを活かして専用環境にあるデータを分離するのに役立ちます。
Security and Compliance Center - データ・セキュリティー・ブローカー - マネージャー
IBM Cloud Data Security Brokerで、クラウド上のデータを保護します。これは、鍵管理とデータベースを統合してアプリケーション・レベルの暗号化を行い、企業データベース内の機密データを保護する包括的なデータ暗号化ソリューションです。
IBM Cloud Hyper Protect Virtual Servers
Hyper Protect Virtual Servers for Virtual Private Cloud(VPC)は、完全に管理された機密コンピューティング・コンテナー・ランタイムであり、技術保証付きの高度に分離された環境で機密性の高いコンテナ化されたワークロードの展開を可能にします。
IBM Cloud Hardware Security Module
Gemalto の IBM Cloud Hardware Security Module (HSM) 7.0 は、耐タンパー性のハードウェア・デバイス内で暗号鍵をより安全に管理、処理、格納することにより、暗号インフラストラクチャを保護します。クラウド上でのワークロードの移行と実行に伴う複雑なセキュリティ、コンプライアンス、データ主権、制御の課題を解決するのに役立ちます。
IBM Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Managementサービスでは、ユーザーをセキュアに認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫性をもって制御します。
IBM Cloudストレージ・サービス
IBMのクラウド・ストレージ・サービスは、従来のワークロードとクラウドネイティブのワークロードをサポートしながら、スケーラブルでセキュリティーが充実し、コスト効率に優れたデータの保管場所を提供します。アクセス・オブジェクト、ブロック、ファイル・ストレージなどのサービスをプロビジョニングおよび導入します。要件の変化に応じて容量を調整し、パフォーマンスを最適化します。お支払いは、必要なクラウド・ストレージのみが対象です。
IBM Cloud Databasesサービス
IBM Cloud Database-as-a-Service(DBaaS)サービスで、インフラストラクチャーとデータベース・ソフトウェアの導入、インフラストラクチャーの運用、データベース・ソフトウェアの更新、バックアップなどの複雑で時間のかかる作業から開発者とIT部門を解放します。IBM Cloud Database SMEで、すぐに使用できる高可用性のデータベース・インスタンスを提供し維持するので、開発者とITスタッフは他の優先事項に集中できます。
モバイル・デバイス管理(MDM)
IBM® Security MaaS360は組織のモバイル・デバイス管理に役立つ包括的な統合エンドポイント管理(UEM)製品です。 以下を提供します。
- iOS、Android、iPadOSの管理
- モバイル・セキュリティー
- サービスとしてのアイデンティティー(IDaaS)
- 多要素認証(MFA)
- 人工知能(AI)とデータ品質のリアルタイム分析
- リモート・コントロール、アプリ管理、サードパーティー・アプリとの統合が可能
IPSec VPN
VPNは、お客様の安全性の高いネットワークからIBM IaaSプラットフォームのプライベート・ネットワークへの接続を容易にします。お客様の拠点からプライベート・ネットワークへのVPN接続により、暗号化されたVPNトンネルを介してアウト・オブ・バンド管理やサーバー・レスキューが可能となります。プライベート・ネットワークを利用した通信は本質的に安全性が高く、ユーザーはサーバーへのアクセスを維持しながら、パブリック・アクセスを制御する柔軟性を実現できます。アカウント上の任意のユーザーにVPNアクセスを付与でき、SSLとPPTPの両方で利用可能です。さらに、IBM Bluemixでは、IPSecを使用した接続も確立できます。
SSL VPN
VPNアクセスにより、IBM Cloudのプライベート・ネットワークを介して、アカウントに関連するすべてのサーバーやサービスを遠隔管理できます。お客様の拠点からプライベート・ネットワークへのVPN接続により、暗号化されたVPNトンネルを介してアウト・オブ・バンド管理やサーバー・レスキューが可能となります。
プライベート・ネットワークを利用した通信は本質的により安全です。サーバーの管理権限を維持しながら、パブリック・アクセスを制限する柔軟性を実現できます。アカウント上の任意のユーザーにVPNアクセスを付与でき、SSLで利用可能です。IBM Cloudコンソールを通じたVPN操作により、ユーザー・レベルでのVPNアクセスをカスタマイズできます。
|
4. システム運用 |
|---|
IBM Cloud Direct Link
IBM Cloud Direct Linkのスピードと信頼性により、パブリック・インターネットに接触することなく、組織のデータセンター・ネットワークを拡張できます。
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway は、IBM Cloud Virtual Private Cloud (VPC) ネットワークの接続と管理に役立ちます。
IBM Key Protect for IBM Cloud
IBM Key Protect for IBM Cloudサービスは、IBM Cloudサービス全体でアプリの暗号化された鍵をプロビジョニングして保管するのに役立ちます。これにより、データ暗号化と鍵のライフサイクル全体を1か所から確認および管理できます。
|
5. すべてのシステムとネットワークを悪意のあるソフトウェアから保護 |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services は、外部の Web コンテンツとインターネット・アプリケーションがクラウドに到達する前に、市場をリードするセキュリティーとパフォーマンスをもたらします。
IBM Cloud Direct Link
IBM Cloud Direct Linkのスピードと信頼性により、パブリック・インターネットに接触することなく、組織のデータセンター・ネットワークを拡張できます。
Fortigateセキュリティー・アプライアンス
2組のFortiGate仮想アプライアンスを環境に導入すると、仮想インフラストラクチャー内に重要なセキュリティー制御を実装することでリスクを軽減できます。
IBM QRadar スイート
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
|
6. 安全なシステム・ソフトウェアの開発・維持 |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services は、外部の Web コンテンツとインターネット・アプリケーションがクラウドに到達する前に、市場をリードするセキュリティーとパフォーマンスをもたらします。
IBM Cloud Security and Compliance Center - ワークロード保護
ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
IBM Cloud Container Registry
完全に管理されたプライベート・レジストリーにコンテナ・イメージを保存し、分配します。プライベート・イメージをプッシュして、IBM Cloud Kubernetes Service やその他のランタイム環境で便利に実行できます。
IBM Cloud Continuous Delivery
エンタープライズ対応のDevOpsの採用。アプリの配信タスクをサポートするツールチェーンの作成。構築・テスト・導入などの自動化。
IBM® Cloud Kubernetes Service
ネイティブKubernetesエクスペリエンスで、セキュアで可用性の高いアプリをデプロイしましょう。
|
7. ビジネス上の必要事項に応じて、システム・コンポーネントとカード会員データへのアクセスを制限 |
|---|
IBM Cloud App ID
Webアプリやモバイル・アプリケーションに認証を簡単に追加できます。多要素認証やシングル・サインオンなどの高度なセキュリティー機能でアプリを強化します。
IBM Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Managementサービスは、ユーザーを安全に認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫して制御します。
|
8. ユーザーを識別し、システム・コンポーネントへのアクセスを認証 |
|---|
IBM Cloud App ID
Webアプリやモバイル・アプリケーションに認証を簡単に追加できます。多要素認証やシングル・サインオンなどの高度なセキュリティー機能でアプリを強化します。
IBM Cloud Secrets Manager
シークレットを動的に作成し、アプリケーションにリースしながら、単一の場所からアクセスを制御します。オープンソースのHashiCorp Vault上に構築されています。
IBM Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Managementサービスは、ユーザーを安全に認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫して制御します。
|
9. カード会員データへの物理的なアクセス制限 |
|---|
IBM Cloudは、物理的セキュリティーを強化するために以下のような対策を採用しています。
- データセンター境界の物理的セキュリティー
- 出入口のアクセス制御とロギング
- 安全なオフィス、部屋、施設
- 外部脅威や環境脅威に対する保護
- 電源やネットワーク設備の冗長性
- デプロビジョニング中の設備の安全な廃棄
- オンボーディングやトレーニング、オフボーディングに関する企業の人事業務方針とセキュリティー
|
10. システム・コンポーネントとカード会員データへのすべてのアクセスをログに記録して監視する |
|---|
IBM Cloud Flow Logs for VPC
仮想プライベートクラウド(VPC)内のネットワーク・インターフェースとの間で送受信されるInternet Protocol(IP)トラフィックに関する情報の収集・保管・表示を実現します。
IBM QRadar スイート
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。
IBM Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Managementサービスは、ユーザーを安全に認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫して制御します。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
IBM Cloud Logs
IBM Cloud Logsでログのオブザーバビリティーを高め、インフラストラクチャーとアプリの性能を向上させましょう。
IBM Cloud Monitoring
インフラストラクチャー、クラウド・サービス、アプリケーションのクラウド・モニタリングとトラブルシューティング
|
11. システムとネットワークのセキュリティを定期的にテストする |
|---|
IBM Cloud Security and Compliance Center - ワークロード保護
ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。
IBM QRadar スイート
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
|
12. 組織のポリシーとプログラムによる情報セキュリティーのサポート |
|---|
IBM Cloud Security and Compliance Center - ワークロード保護
ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。
IBM Cloud Logs
IBM Cloud Logsでログのオブザーバビリティーを高め、インフラストラクチャーとアプリの性能を向上させましょう。
IBM Cloud Monitoring
インフラストラクチャー、クラウド・サービス、アプリケーションのクラウド・モニタリングとトラブルシューティング