adobe creative cloudエンタープライズ版 セキュリティ概要...adobe creative...
TRANSCRIPT
Adobe® Creative Cloudエンタープライズ版セキュリティ概要
Adobe Creative Cloudエンタープライズ版セキュリティ概要
アドビのセキュリティアドビでは、デジタルアセットのセキュリティを重要視し、ソフトウェア開発プロセスおよびツールへの徹底したセキュリティ
の統合から、部門の枠を超えたインシデント対応チームに至るまで、先を見越した迅速な対応に努めています。さらに、パー
トナー、研究者および他の業界団体と協力して、最新の脅威やセキュリティのベストプラクティスを理解し、提供する製品お
よびサービスに継続的にセキュリティ対策を組み込んでいます。
このホワイトペーパーでは、Adobe Creative Cloud におけるユーザーエクスペリエンスやデータのセキュリティを強化するた
めに、アドビが実装する事前対応型アプローチおよび手順について説明します。
Creative Cloud エンタープライズ版Adobe Creative Cloud エンタープライズ版では、アドビのクリエイティブデスクトップおよびモバイルアプリケーションとサー
ビス、グループでの共同作業機能、およびライセンス管理ツールを大規模な組織内でお使いいただけます。また、柔軟なデプ
ロイメント、シングルサインオンを使用した Federated ID などの ID 管理オプション、年 1 回のライセンス補正、エンタープ
ライズレベルのカスタマーサポートも含まれ、他のアドビエンタープライズツールとも連携します。
ストレージオプション *
Creative Cloud エンタープライズ版では、マルチテナントストレージ、シングルテナントストレージ、またはストレージを含
め Creative Cloud サービスの無効化のいずれかを選択できます。一般に、Creative Cloud エンタープライズ版はマルチテナン
トサーバーにお客様のコンテンツを格納します。一方、Creative Cloud エンタープライズ版マネージドサービスは、組織のファ
イアウォール内のシングルテナントサーバーにお客様のコンテンツを格納する構成オプションです。以下では、ストレージオ
プションについて詳しく説明します。
権利付与と ID管理システム管理者は、Adobe Enterprise Dashboard でユーザー指定ライセンスおよびグループ利用資格を使用することによって、
Adobe Photoshop や Adobe Illustrator などの Creative Cloud デスクトップアプリケーションへのアクセスをエンドユーザーに
許可したり、特定のサービスの使用を許可することができます。ライセンスおよびデプロイメントに使用できるユーザー指定
には複数の種類があります。
ユーザー指定Creative Cloud ストレージにアクセスするには、IT 管理者がユーザー指定ライセンスでユーザーをプロビジョニングする必要
があります。3 種類のユーザー指定ライセンスを使用できます。
• AdobeID: 個々のユーザーが作成、所有、管理し、アドビがホストするユーザー指定ライセンスです。システム管
理者が Adobe ID アカウントに権限を設定することで、Creative Cloud エンタープライズ版のリソースにアクセスで
きます。
• AdobeEnterpriseID: 導入先組織のシステム管理者が作成、管理し、アドビがホストするユーザー指定ライセンス
です。
• AdobeFederatedID: 導入先組織が管理するアカウントです。全ての ID プロファイルは導入先組織で運用されて
いるシングルサインオン(SSO)ID 管理システムによって提供され、全ての関連するアセットとともにシステム管
理部門によって作成、所有、管理されます。ほとんどの SAML 2.0 準拠 ID プロバイダーとの統合に対応します。
アプリケーションとサービスの権利付与は、Adobe Enterprise Dashboard で行います。ダッシュボードについて詳しくは、
https://helpx.adobe.com/enterprise/help/aedash.html をご覧ください。
* Creative Cloud ストレージの提供状況と量は、プランによって異なる場合があります。
目次
1: アドビのセキュリティ
1: Creative Cloudエンタープライズ版
2: Creative Cloudエンタープライズ版のアーキテクチャ
5: Amazon Web Services
6: AWSデータセンターの物理統制と環境統制
6: アドビのセキュリティ組織
7: アドビの安全な製品開発
8: アドビのセキュリティトレーニング
8: アドビのリスク/脆弱性管理
9: アドビの所在地
9: アドビの従業員
9: 顧客データの機密保持
9: セキュリティコンプライアンス
10: まとめ
2Adobe® Creative Cloudエンタープライズ版 セキュリティ概要
シリアル番号によるライセンスアプリケーションは、シリアル番号でプロビジョニングすることもできます。この場合、アプリケーションは匿名でデプロイ
され、ユーザーがアドビサーバーの認証を受ける必要ありません。ただし、シリアル番号によるライセンスでデプロイされた
ユーザーは、Creative Cloud で使用可能なサービスにはアクセスできません。
パスワードポリシーIT 部門は、エンタープライズ版リソースにアクセスできる招待された Adobe ID、Enterprise ID、Federated ID に、以下で説明
する 3 種類のパスワードポリシーを適用できます。
Adobe ID も Enterprise ID も、SHA 256 ハッシュアルゴリズムを、パスワードソルトと多数のハッシュイテレーションと合わせ
て使用しています。アドビは、アドビがホストするアカウントに対して異常な活動がないか継続的に監視し、この情報を評価
することで Adobe ID アカウントのセキュリティ脅威を迅速に軽減します。Federated ID アカウントの場合、アドビはユーザー
のパスワードを管理しないので、アドビはアカウントを監視しません。
アカウント管理ユーザー指定アカウントは Adobe Enterprise Dashboard で管理できます。Adobe Enterprise Dashboard はシステム管理スタッ
フ用の使いやすいダッシュボードであり、特定の Creative Cloud アプリケーションおよびサービスにアクセスできる組織内
のユーザーとグループを制御できます。また、Adobe Enterprise Dashboard は、Adobe Document Cloud、Adobe Marketing
Cloud、および 2015 年後半には Adobe Digital Publishing Solution に対するユーザー管理および権利付与アクセスも提供します。
システム管理者は、ダッシュボードを利用して、アドビカスタマーケアの適切なサポートにアクセスしてすばやく問題を解決
できます。
システム管理者は、Adobe Enterprise Dashboard を利用して Enterprise ID および Federated ID アカウントを作成、管理、削除
できます。これらのアカウント用の共有サービスストレージは個別のストレージとして割り当てられるので、システム管理部
門はユーザーの Creative Cloud ストレージ内のファイルに直接アクセスすることはできません。ただし、従業員が退職するな
どの場合は、システム管理部門がそのアカウントの所有権を引き継いで、その共有サービスストレージ内のファイルに直接ア
クセスできます。マネージドサービスストレージは、システム管理部門によってプールおよび管理され、プールのサイズはお
客様ごとに異なります。つまり、プールされたストレージのサイズはお客様とアドビの間の使用許諾条件によって決まり、契
約合意の開始時に割り当てられます。共有サービスストレージがある Enterprise ID または Federated ID を削除すると、ユーザー
はそのストレージ内のデータにアクセスできなくなり、ユーザーのデータは 90 日後に削除されます。
システム管理者は、Adobe Enterprise Dashboard を使って Adobe ID アカウントにストレージを割り当てることもできます。
IT スタッフは Adobe ID アカウントを制御できませんが、エンタープライズ版上のアカウントを削除し、アカウントに付与し
たエンタープライズストレージ容量を回収できます。その場合も、データは 90 日後に削除されます。
Creative Cloud エンタープライズ版のアーキテクチャAdobe Creative Cloud エンタープライズ版は、デスクトップアプリケーション、モバイルアプリケーション、一連のクリエイ
ティブサービスが組み合わされたものです。ユーザー指定ライセンスによってプロビジョニングされた Creative Cloud エンター
プライズ版ユーザーは、3 つのエンドポイントの 1 つ以上を使用してサービスにアクセスします。
• Adobe Photoshop や Creative Cloud デスクトップアプリケーションなどのデスクトップアプリケーション
• Web ブラウザー
• Adobe Color CC、Adobe Brush CC、Photoshop Sketch などのモバイルアプリケーション
使用できるツールとサービスの説明については、http://www.adobe.com/jp/creativecloud/business/enterprise.html を参照して
ください。
それぞれのエンドポイントで、前述のユーザー指定ライセンスによる ID 認証を行い、Creative Cloud エンタープライズ版(マ
ネージドサービス、もしくはシェアードサービス)のコンテンツへアクセスします。マネージドサービスで利用される場合は、
エンドポイントのデバイスが導入先組織のファイアウォール内のネットワークに接続されている必要があります。
3Adobe® Creative Cloudエンタープライズ版 セキュリティ概要
ユーザーが Adobe Creative Cloud へのアクセスに使用するエンドポイントによって、利用できるサービスは異なります。例
えば、モバイルアプリケーションは、Creative Cloud にアクセスしてユーザーを検証したり、設定を同期したり、モバイル作
成でコンテンツを共有したりできます。同様に、Creative Cloud デスクトップアプリケーションを使用すると、ユーザーは、
Photoshop などのクリエイティブデスクトップアプリケーションのダウンロードとアップデート、Adobe Typekit による Web
フォントのダウンロード、ローカルシステムと Creative Cloud のストレージ間のファイルのアップロード/ダウンロードを行
うことができます。
ユーザーのエンドポイントに関係なく、すべての Creative Cloud アクセスは HTTP/SSL を介してアクセスされるパブリックな
サービスのセットによって制御されます。HTTP/SSL は、伝送中は AES 128 ビット GCM 対称キー暗号化ブロック暗号によっ
て、また保存中は NIST 800-57 推奨に準拠する FIPS 140-2 承認暗号化アルゴリズムを使用する AES 256 ビット対称セキュリティ
キーで、暗号化されます。Adobe Creative Cloud エンタープライズ版の検証を受けたユーザーは、システム管理者がクリエイ
ティブプロファイルによって権利を付与したサービスおよびアプリケーションにアクセスできます。その後、権利を付与され
たエンドポイントによって許可されているすべてのアクションを実行できます。例えば、Photoshop のユーザーは、Creative
Cloud Libraries を共同で使用したり、色、グラフィックス、タイプスタイルをチームの他のメンバーと共有したりできます。
最後に、シングルテナント(Creative Cloud エンタープライズ版マネージドサービス)の場合は、導入先組織ファイアウォー
ル内の暗号化されたサーバーに、マルチテナント(Creative Cloud エンタープライズ版シェアードサービス)の場合は
Creative Cloud エンタープライズ版の暗号化されたサーバーに、全てのコンテンツは保存されます。
セキュリティグループ、IDアクセス管理
HTTPS/SSL SAML 2.0(IPsec)VPN カスタマVPC AWS Virtual Private Cloudインフラストラクチャ(カスタマファイアウォールの内部)
Adobe VPC AWS Virtual Private Cloudインフラストラクチャ(Adobeによる管理)
Adobe Creative Cloudエンタープライズ版
Adobe VPC
Adobe VPC
Behance
Creative Cloudサービス
フォント コミュニティ色
Lightroomマーケット
CCEシェアードサービス
同期 エクストラクト
ライブラリ
ストレージ コラボレーション
イメージ
共有クラウドストレージ
メタデータ管理 アセット管理
S3/MongoDBストレージ:永続的/一時的アセット、コレクション、メタデータ、レンディション
暗号化S3重複しない
顧客キー
CCEマネージドサービス
ライブラリ 同期**
ストレージ イメージ
ストレージ
永続的/一時的アセット、コレクション、メタデータ、レンディション
カスタマVPC
コラボレーション
暗号化S3
顧客システム
VPNゲートウェイネットワーク
クラ
デス We モバ
クライアント
デスクトップ
Web モバイル
IDおよび権利付与管理
Federated ID
Enterprise
Adobe プロファ
IDおよび権利付与管理
Federated IDSSOユーザー
Enterprise IDユーザー
Adobe IDユーザー
プロファイル
CreativeCloud エンタープライズ版上の図に示すように、Creative Cloud エンタープライズ版(シェアードサービス)は、セキュアなマルチテナントサーバー
が利用できます。この場合、お客様のコンテンツは、Amazon Elastic Compute Cloud(EC2)インスタンスによって処
理され、Amazon Elastic Block Store(EBS)上の MongoDB インスタンスによって、Amazon Simple Storage Service(S3)
バケットの組み合わせに保存されます。
コンテンツ自体は S3 バケットに保存され、コンテンツに関するメタデータは MongoDB によって EBS に保存されます。
また、すべてはその AWS リージョン内の Identity and Access Management(IAM)ロールによって保護されます。
S3 データは、顧客ごとおよび顧客のクレームドメインごとに固有の AES 256 ビット対称セキュリティキーで暗号化さ
れます。キーは、キー管理に制御とセキュリティの追加レイヤーを提供し、1 年ごとにキーを自動的にローテーション
する Amazon Key Management Service(KMS)によって管理されます。
コンテンツは、National Institute of Standards and Technology(NIST)800-57 の勧告に準拠する Federal Information
Processing Standards(FIPS)140-2 承認済みの暗号化アルゴリズムを利用して、AES 256 ビット暗号化を使用する EBS
に保存されます。
4Adobe® Creative Cloudエンタープライズ版 セキュリティ概要
すべての共有サービスストレージデータは、複数のデータセンターおよび各データセンターの複数のデバイスに冗長に
保存されます。すべてのネットワークトラフィックは、破損を防いで完全性を保証するため、体系的なデータ検証と
チェックサム計算を受けます。最後に、保存されているコンテンツは、そのお客様のリージョン内の他のデータセンター
施設に同期的かつ自動的に複製され、2 つの場所でデータが失われた場合でもデータの整合性が維持されます。
Amazon サービスプラットフォームについて詳しくは、以下をご覧ください。
• MongoDB:http://www.mongodb.org• Amazon S3 サービス:https://aws.amazon.com/s3/faqs• Amazon KMS サービス:http://aws.amazon.com/kms/faqs/• Amazon EC2 サービス:http://aws.amazon.com/ec2/
CreativeCloud エンタープライズ版マネージドサービスCreative Cloud エンタープライズ版マネージドサービスでは、上の図に示すように、お客様のコンテンツは組織のファ
イアウォール内のシングルテナントサーバーに保存されます。マネージドサービスストレージを利用するお客様の
コンテンツは、Amazon Elastic Compute Cloud(EC2)インスタンスによって処理され、Amazon Elastic Block Store
(EBS)で実行する Adobe Experience Manager インスタンスによって、Amazon Simple Storage Service(S3)バケッ
トの組み合わせに保存されます。コンテンツ自体は S3 バケットに保存され、コンテンツに関するメタデータは Adobe
Experience Manager によって EBS に保存されます。
ストレージを含むすべてのマネージドサービスは、単一のエンタープライズユーザーに専用のユーザー定義仮想プライ
ベートネットワーク(VPN)内で分離できる Amazon Virtual Private Cloud(VPC)の内部で実行します。Amazon VPC
はお客様の企業ネットワーク内で実行するように構成できるので、Amazon VPC 内の各マシンにはプライベート IP ア
ドレスが割り当てられます。この構成では、Amazon VPC は 1 方向の IPsec トンネルを使用して企業ネットワークに接
続されるので、HTTP 要求は企業ネットワークから Amazon VPC には送信できますが、反対の方向には送信できません。
マネージドサービスの S3 データは、自動的に管理されるサーバー側(AES)256 ビット対称セキュリティキーで暗号
化されます。顧客アカウントには、顧客データから完全に分離して保存される、定期的にローテーションされる一意の
マスターキーがあります。同様に、暗号化される各ボリュームには、リージョン固有のセキュアマスターキーで暗号化
される一意のボリューム暗号化キーがあります。どちらもメモリ内で使用され、プレーンテキストとして保存されるこ
とはありません。
コンテンツは、National Institute of Standards and Technology(NIST)800-57 の勧告に準拠する Federal Information
Processing Standards(FIPS)140-2 承認済みの暗号化アルゴリズムを利用して、AES 256 ビット暗号化を使用する EBS
に保存されます。
すべてのマネージドサービスストレージデータは、複数のデータセンターおよび各データセンターの複数のデバイスに
冗長に保存されます。すべてのネットワークトラフィックは、破損を防いで完全性を保証するため、体系的なデータ検
証とチェックサム計算を受けます。最後に、保存されているコンテンツは、そのお客様のリージョン内の他のデータセ
ンター施設に同期的かつ自動的に複製され、2 つの場所でデータが失われた場合でもデータの整合性が維持されます。
Adobe Experience Manager について詳しくは、以下をご覧ください。
• http://wwwimages.adobe.com/content/dam/Adobe/en/security/pdfs/adobe-aem-managed-services-security.pdf
Amazon サービスプラットフォームについて詳しくは、以下をご覧ください。
• Amazon S3 サービス:https://aws.amazon.com/s3• Amazon EBS サービス:http://aws.amazon.com/ebs• Amazon EC2 サービス:http://aws.amazon.com/ec2
CreativeCloud サービス上の図に示すように、Creative Cloud サービスは、Adobe Typekit や Adobe Color などの共有「パブリック」サービスです。
Creative Cloud サービスは、プライベートとみなされるユーザー生成コンテンツを保存せず、権利が付与されている場
合はすべての Creative Cloud によってエンタープライズサービスとエンドポイントに利用できます。システム管理者は、
Adobe Enterprise Dashboard を使用して、これらのサービスに対するエンドユーザーアクセスと権利の付与を管理でき
ます。Creative Cloud サービスについて詳しくは、以下をご覧ください。
• Lightroom:http://www.adobe.com/jp/products/photoshop-lightroom.html• Behance Prosite:https://www.behance.net/prosite/ • Behance:https://www.behance.net/• Typekit:https://typekit.com/• Phonegap Build:https://build.phonegap.com/• Story Plus:https://creative.adobe.com/products/story-plus• マーケット:https://www.adobe.com/creativecloud/market.html
5Adobe® Creative Cloudエンタープライズ版 セキュリティ概要
Amazon Web Services前に説明したように、Creative Cloud エンタープライズ版のコンポーネントは、アメリカ、欧州連合(EU)、アジア太平洋の
各地域では、Amazon EC2 および Amazon S3 などの AWS でホスティングされています。Amazon EC2 は、クラウド内で規模
の変更が可能なコンピューター処理能力を提供し、Web スケールでのコンピューター作業を容易にする Web サービスです。
Amazon S3 は、容量に関係なくデータを保存・取得できる信頼性の高いデータストレージインフラストラクチャです。
AWS は、世界中の何千もの企業に利用されるソフトウェアサービス向けに信頼できるプラットフォームを提供し、またセキュ
リティのベストプラクティスに従ったサービスを提供して、一般的に業界に認められている認証と監査を受けています。詳細
については、セキュリティプロセスの概要ホワイトペーパー(http://aws.amazon.com/security)をご覧ください。
AWSネットワーク上の顧客データの所在地Amazon S3 のクラウドに保存される顧客データについて、アドビは個々の顧客のデータおよびサーバーを配置する物理的リー
ジョンを指定します。アドビはアメリカ、ヨーロッパ、アジア太平洋の 3 つのリージョンのいずれかで Creative Cloud を運用
します。Amazon S3 データオブジェクトのデータ複製は、データが保存されるリージョンのクラスター内で行われ、他のリー
ジョンのデータセンタークラスターにデータは複製されません。ユーザーが Creative Cloud に保存するコンテンツは、他のリー
ジョンの他のデータセンターには複製されません。例えば、初期設定では、Creative Cloud はアップロードされたすべてのヨー
ロッパのユーザーのコンテンツをヨーロッパで保存します。
顧客データの分離/AWS顧客の分離アドビが AWS で保存する Creative Cloud のデータには、強力なテナント分離のセキュリティ機能とコントロール機能が含ま
れています。仮想化されたマルチテナント環境として、AWS は、Creative Cloud などの各顧客を他の AWS 顧客から分離する
よう設計されたセキュリティ管理プロセスとその他のセキュリティコントロールを実装します。AWS IAM は、アクセスを遮
断してインスタンスを処理および保存するために使用されます。
安全な伝送アドビでは、HTTP/HTTPS で REST-Query リクエストを送信するか、AWS SDK の 1 つであるラッパー関数を呼び出して、
AWS アクセスポイントに接続します。HTTPS は、データ漏えい、改ざん、メッセージの偽造を防ぐよう設計された暗号プロ
トコルである Secure Sockets Layer(SSL)を使用しています。アドビは、SSL 暗号化エンドポイント経由で Amazon S3 にデー
タをアップロードしたり Amazon S3 からデータをダウンロードしたりします。インターネットと Amazon EC2 のどちらから
でもアクセスが可能な暗号化エンドポイントを使用することで、AWS 内でも、AWS 外のソースとの間でも、データを安全に
転送できます。
セキュアネットワークアーキテクチャAWS は、ファイアウォールなどのネットワーク境界機器を採用し、ネットワークの外部境界およびネットワーク内の主な内
部境界で通信の監視と制御を行っています。これらの境界デバイスは、ルールセット、アクセスコントロールリスト(ACL)、
構成を採用し、特定の情報システムサービスに情報を流します。ACL、つまりトラフィックフローポリシーは、各マネージド
インターフェイス上でトラフィックの流れを制御します。Amazon Information Security はすべての ACL ポリシーを承認し、
AWS の ACL 管理ツールを使用して自動的にそれらを各マネージドインターフェイスにプッシュして、マネージドインターフェ
イスが最新の ACL を強制するようにします。
サービスの監視AWS は、電気、機械、生命サポートシステムおよび設備を監視し、問題が速やかに特定されるようにしています。また設備
の継続的な運用性を維持するために、予防的メンテナンスを実行しています。
データストレージとバックアップアドビは Creative Cloud のすべてのデータを、Amazon が堅牢性の高いストレージインフラストラクチャであるとする
Amazon S3 に保存しています。堅牢性を高めるため、Amazon S3 のファイル転送操作では、複数の施設で同期をとりながら
顧客データを保存し、Amazon S3 のリージョン内で、複数の施設にまたがって、複数のデバイス上で冗長的にオブジェクトが
保存されます。また Amazon S3 は、すべてのネットワークトラフィックでチェックサムを計算して、データの保存または取
得時にデータパケットの破損を検出します。
AWSとアドビの運用責任AWS は、ハイパーバイザー仮想化レイヤーから Creative Cloud エンタープライズ版のコンポーネントが運用される施設の物理
セキュリティまでを運用、管理および制御します。一方アドビは、ゲストオペレーティングシステムの管理(アップデート、
セキュリティパッチを含む)および AWS が提供するセキュリティグループファイアウォールの設定について責任を負います。
AWS は、アドビが使用するクラウドインフラストラクチャを運用し、処理やストレージをはじめとする様々な基本的コンピュー
ティングリソースを供給します。AWS のインフラストラクチャには、施設、ネットワーク、ハードウェアに加え、それらのリソー
スの供給と使用をサポートする運用ソフトウェア(ホスト OS、仮想化ソフトウェアなど)が含まれます。Amazon は、セキュ
リティベストプラクティスと様々なセキュリティコンプライアンス基準に従って、AWS の設計および管理を行っています。
6Adobe® Creative Cloudエンタープライズ版 セキュリティ概要
AWS データセンターの物理統制と環境統制AWS の物理統制と環境統制については、SOC 1、Type 2 レポートに具体的に記載されています。次のセクションでは、世界各
地の AWS データセンターで実施されているセキュリティ対策をいくつか紹介します。AWS と Amazon のセキュリティ制御に
ついて詳しくは、AWS セキュリティセンター(http://aws.amazon.com/security)をご覧ください。
物理設備のセキュリティAWS データセンターは、業界標準の構造的かつ工学的アプローチを採用しています。Amazon は大規模データセンターの設
計、構築、運用において長年の実績を有しており、それを AWS のプラットフォームとインフラストラクチャに活かしています。
AWS データセンターは、外部からはそれとはわからないようになっています。専門のセキュリティスタッフ、ビデオ監視カメ
ラ、侵入検出システム、その他の電子的手段を用いて、建物の入口とその周辺の両方で物理的アクセスを厳密に管理しています。
権限を付与されたスタッフが 2 要素認証を最低 2 回用いて、データセンターのフロアにアクセスします。すべての訪問者と契
約業者は身分証明書を提示して署名後に入場を許可され、権限を有するスタッフが常に付き添いを行います。
AWS は、必要とする正規の手続きを有する従業員や業者に対してのみ特権を与え、データセンターへのアクセスや情報を提供
しています。従業員がこれらの特権を必要とする作業を完了したら、たとえ彼らが引き続き Amazon または AWS の従業員であっ
たとしても、そのアクセス権は速やかに取り消されます。AWS 従業員によるデータセンターへのすべての物理的アクセスは記
録され、定期的に監査されます。
火災抑制すべての AWS データセンターには、自動火災検出装置および鎮火装置が取り付けられています。この火災検出システムは、
全データセンター環境、機械電気インフラ空間、冷却室および発電機設備室において、煙検出センサーを使用しています。
これらのエリアは、充水型、二重連結予作動式、またはガス式スプリンクラーシステムによって守られています。
コントロールされた環境AWS は、サーバーその他のハードウェアの運用温度を一定に保つために、環境コントロールシステムを採用することで、過熱
を防ぎ、サーバー停止の可能性を減らしています。AWS データセンターは、室内空気環境を最適なレベルに保つように設定さ
れています。AWS の作業員とシステムが、温度と湿度を適切なレベルになるよう監視してコントロールしています。
バックアップ電源AWS データセンターの電力システムは、完全に冗長性をもち、運用に影響を与えることなく管理が可能となっています。1 日
24 時間、年中無休で稼動しています。施設内で重要かつ不可欠な負荷に対応するために、電力障害時には無停電電源装置(UPS)
がパックアップ電力を供給します。データセンターは、発電機を使用して施設全体のバックアップ電力を供給します。
ビデオ監視専門のセキュリティスタッフが、ビデオ監視カメラ、侵入検出システム、その他の電子的手段を用いて、AWS データセンター
の建物の入口とその周辺の両方で物理的アクセスを厳しく管理しています。
障害回復AWS データセンターは、高いレベルの可用性を備え、影響を最小限に抑えながらシステムまたはハードウェア障害に耐えられ
るように設計されています。すべてのデータセンターは、世界各地にクラスターの状態で構築されています。24 時間体制のサー
ビスをオンラインで顧客に提供しており、「コールド」の状態のデータセンターは存在しません。障害時には、自動プロセスが、
影響を受けるエリアから顧客データを移動します。重要なアプリケーションは N+1 設定で配備されるので、データセンターの
障害時でも、トラフィックが残りのサイトに負荷を分散させるのに十分な能力が存在することになります。AWS 障害回復プロ
トコルについて詳しくは、AWS セキュリティセンター(http://aws.amazon.com.jp/security)をご覧ください。
AWSセキュリティについてさらに詳しくAmazon での顧客のシステムとデータの機密性、完全性、可用性の保護について詳しくは、セキュリティプロセスの概要
(http://aws.amazon.com/security)をご覧ください。
アドビのセキュリティ組織製品およびサービスのセキュリティに対する取り組みの一環として、アドビは最高セキュリティ責任者(CSO)の下にすべて
のセキュリティ活動を統合しています。すべての製品・サービスのセキュリティ戦略と Adobe Secure Product Lifecycle(SPLC)
の実装は、CSO のオフィスで統括しています。
CSO はまた、Adobe Secure Software Engineering Team(ASSET)も管理します。ASSET は、セキュリティの専門家が集まっ
た専任のチームです。Creative Cloud チームをはじめ、主要アドビ製品のセキュリティと運用を担うチームのコンサルタント
としての役割を担っています。ASSET の研究者は各アドビ製品チームおよび運用チームと協力して、製品およびサービスの適
正なセキュリティレベルの確保に努め、開発、デプロイ、運用および事象への対応の繰り返し実行されるわかりやすいプロセ
スに対するセキュリティのベストプラクティスをそれらのチームに提示します。
アドビのセキュリティ組織
7Adobe® Creative Cloudエンタープライズ版 セキュリティ概要
最高情報セキュリティ責任者
エンジニアリングインフラストラクチャ
セキュリティ
リスク、監査、勧告
企業セキュリティ
セキュアソフトウェアエンジニア
セキュリティコーディネーショ
ンセンター
ID管理
安全なエンジニアリング
安全なエンジニアリング
マーケティング
ITセキュリティ
クラウドオペレーション
Creative Cloud
安全なエンジニアリング
生産/サービスセキュリティ
最高セキュリティ責任者
オペレーション セキュリティ 技術オペレーションセキュリティ
MarketingCloud
DocumentCloud
事象への対応
広報
アドビの安全な製品開発他のアドビの製品およびサービスの組織と同様、Creative Cloud 組織も SPLC プロセスを採用しています。ソフトウェア開発
のプラクティス、プロセス、ツールにわたる数百もの特定のセキュリティコントロールを厳選した Adobe SPLC は、設計や開
発から品質保証、テスト、デプロイメントに至るまで、製品ライフサイクルの様々な段階に組み込まれます。ASSET のセキュ
リティ研究者は、潜在的なセキュリティの問題点に基づいて、主要な製品またはサービスについて個別に SPLC をアドバイス
します。Adobe SPLC は、アドビ外部のセキュリティコミュニティに継続的に参画することによって補完され、テクノロジー、
セキュリティプラクティスおよび脅威の変化に応じて最新の状態が保たれるよう進化し続けます。
AdobeSecureProductLifecycleAdobe SPLC の活動には、それぞれの Creative Cloud サービスに応じて、次のような推奨プラクティス、プロセス、ツールの
一部またはすべてが含まれています。
• すべての製品チームに対するセキュリティのトレーニングおよび認定制度の実施
• 製品の正常性、リスクおよび脅威の分析
• 安全なコーディングガイドライン、ルール、分析
• Creative Cloud セキュリティチームが「Open Web Application Security Project(OWASP)Web アプリケーションの脅威
Top 10」と「CWE/SANS 最も危険なプログラミングエラー Top 25」に対処するためのサービスロードマップ、セキュリティ
ツールおよびテスト方法
• セキュリティアーキテクチャレビューと侵入テストの実施
• 脆弱性の原因となりかねない既知の問題を解消するためのソースコードレビュー
• ユーザー生成コンテンツの検証
• 静的および動的なコード分析
• アプリケーションとネットワークのスキャン
• レビュー、レスポンスプラン、開発者向け教材のリリースを準備
Adobe Secure Product Lifecycle(SPLC)
アドビのセキュリティ組織
8Adobe® Creative Cloudエンタープライズ版 セキュリティ概要
アドビのセキュリティトレーニング
アドビソフトウェアセキュリティ認定プログラムAdobe SPLC の一環として、アドビでは、開発チームで継続的にセキュリティトレーニングを実施し、企業全体でセキュリティ
の知識を高め、製品およびサービスの包括的なセキュリティ向上を図っています。アドビのソフトウェアセキュリティ認定プ
ログラムに参加した従業員は、セキュリティプロジェクトを修了することで様々な認定レベルに到達します。
プログラムには 4 つのレベルがあり、それぞれに色付きの「帯」(白、緑、茶、黒)が指定されています。白および緑のレベ
ルに達するには、コンピューターベースのトレーニングを修了する必要があります。その上の茶および黒のレベルに到達する
には、数か月から 1 年にわたるセキュリティプロジェクトの実務を修了する必要があります。茶帯または黒帯を獲得した従業
員には、製品チーム内のセキュリティチャンピオンおよびエキスパートの称号が与えられます。新たな脅威や脅威の軽減、さ
らには新しい規制やソフトウェア言語を反映するために、アドビは定期的にトレーニングを更新します。
Creative Cloud 部門では様々なチームがさらなるセキュリティトレーニングやワークショップに参加し、セキュリティが組織
内や企業全体における役割に及ぼす影響について認識を高めています。
セキュア管理アドビでは、管理接続用の Secure Shell(SSH)および Secure Sockets Layer(SSL)を使用して AWS のインフラストラクチャ
を管理しています。
アドビのリスク/脆弱性管理
侵入テストアドビでは、認可された第三者たるベンダーと協力して侵入テストを実行し、潜在的なセキュリティ脆弱性を明らかにしてア
ドビの製品とサービスの総合的なセキュリティの強化を図っています。ベンダーは、業界のベストプラクティスに従ってテス
トを実行します。当該第三者から提供されたレポートを受け取り次第、アドビはこれらの脆弱性を文書化し、深刻度と優先度
を評価した上で、軽減策や修復計画を作成します。
事象への対応新しい脆弱性や脅威は日々進化しているため、アドビは新たに発見された脅威を軽減すべく懸命に取り組んでいます。
US-CERT、Bugtraq、SANS などの業界規模での脆弱性アナウンスリストの利用に加え、主要なセキュリティベンダーが発行す
る最新のセキュリティ警告リストも利用します。
Creative Cloud がアナウンスされた重大な脆弱性の危険にさらされると、Adobe Product Security Incident Response Team
(PSIRT)が Creative Cloud 組織内の該当するチームに脆弱性について通知し、軽減策を講じます。
AWS データセンターが影響を受けるインシデント、脆弱性、脅威については、Amazon の事故管理チームが、業界標準の診断
手順を用いて、事業に影響するイベントの発生時に解決を図ります。作業員スタッフが、24 時間体制でインシデントを検出し、
影響と解決方法を管理して、アドビや AWS の他の顧客に知らせます。
Creative Cloud を含むアドビのクラウドベースサービスでは、セキュリティコーディネーションセンター(SCC)でインシデ
ントへの対応や意思決定、外部モニタリングを一元的に管理し、全機能の一貫性と問題の迅速な解決を実現します。
アドビの製品やサービスで問題が発生した場合、SCC は関連するアドビ製品のインシデント対応チームおよび開発チームと連
携して、次の実績あるプロセスを使用して問題を特定、軽減、解決します。
• 脆弱性の状態の評価
• 制作サービスにおけるリスクの軽減
• セキュリティが侵害されたノードの検疫、調査、破棄(クラウドベースのサービスのみ)
• 脆弱性のための修正プログラムの開発
• 問題を阻止する修正プログラムを展開
• 動作の監視と解決策の確認
9Adobe® Creative Cloudエンタープライズ版 セキュリティ概要
科学捜査的分析インシデントの調査に関して、アドビは業界標準のツールと手法を用います。アドビは、すべての画像取り込み、影響を受け
るマシンのメモリダンプ、証拠の安全な保持および分析過程の管理記録などの科学捜査分析プロセスに準拠しています。さら
に捜査または起訴が必要な場合、アドビは法的機関と協力することもあります。
アドビの所在地アドビは世界中にオフィスがあるため、次のプロセスと手順を全社的に実装してセキュリティの脅威から会社を守っています。
物理的なセキュリティアドビのすべてのオフィス所在地では、現地の警備員を採用して敷地を 24 時間体制で保護しています。アドビの従業員は、
建物に入るためのキーカード型 ID バッジを携帯しています。訪問者は正面入口から入り、受付で署名して一時的な訪問者 ID バッ
ジを提示します。訪問者には常に従業員が同伴します。サーバー機器、開発マシン、電話システム、ファイルサーバーとメー
ルサーバーおよびその他のデリケートなシステムは、環境が制御されたサーバールームに常時設置されており、そのサーバー
ルームには認可されたスタッフメンバーのみがアクセスできます。
ウイルス対策アドビでは、送受信されたすべての企業電子メールをスキャンして既知のマルウェアによる脅威をスキャンしています
アドビの従業員
従業員による顧客データへのアクセス技術的なコントロールを使用して、稼働しているシステムへのネットワークレベルおよびアプリケーションレベルでのアクセ
スを制限し、セグメント化された Creative Cloud の開発と生産環境を維持します。従業員は開発や生産システムにアクセスす
るための特定の権限を付与されます。
身元調査アドビは、雇用目的で身元調査レポートを取得します。アドビが通常調べるレポートの内容および範囲には、適用される法令
で許可される範囲において、学歴、職歴、犯罪歴などの裁判記録、同僚や友人への身元照会が含まれます。
これらの身元調査要件は、システムを管理したり顧客情報にアクセスしたりすることになる米国の新規の正社員に適用されま
す。米国の新規の派遣社員には、アドビの身元調査ガイドラインに従って適切な派遣会社を通して身元調査要件が課されます。
米国以外では、アドビの身元調査ポリシーと適用される現地法に従って、特定の新入社員について身元調査を行います。
従業員の退職従業員がアドビから退職する場合、従業員の上司が退職届を提出します。承認されると、アドビの人事担当が電子メールワー
クフローを開始して関係者にその従業員の退職日までに特定の処理を行うように通知します。アドビが従業員を解雇する場合
は、人事担当が従業員の退職日時を示した同様の電子メール通知を関係者に送信します。アドビの企業セキュリティ担当は次
の処理のスケジュールを設定して、従業員の退職日に、今後その従業員がアドビの機密情報ファイルやオフィスにアクセスで
きないようにします。
• 電子メールアクセスの削除
• リモート VPN アクセスの削除
• オフィスおよびデータセンターのバッジの無効化
• ネットワークアクセスの終了
要求に応じて、上司はアドビのオフィスまたは建物から退職する従業員に警備員を同伴させることができます。
顧客データの機密保持アドビは、顧客データを常に機密情報として扱います。お客様との契約で許可されている場合、およびアドビ利用条件とアド
ビプライバシーポリシーに規定されている場合を除き、アドビはお客様の代わりに収集した情報を使用または共有しません。
セーフハーバーAdobe Systems Incorporated(アドビ システムズ社、当社の米国本社)は EU セーフハーバープライバシープログラムを遵守
しています。
セキュリティコンプライアンスAWS は、ISO 27001、SOC 1、SOC 2、PCI DSS およびその他のセキュリティフレームワークの認証を取得し維持しています。
アドビのすべてのサービスは、文書化された包括的なセキュリティプロセスのセットによって管理され、様々なセキュリティ
監査を受けて品質を維持および改善しています。アドビのサービスは ISO 27001 標準の自己レビューを常に受けており、共有
クラウドの基盤サービスインフラストラクチャは SOC 2 - Security の認定を受けています。
アドビ システムズ 株式会社 〒 141-0032 東京都品川区大崎 1-11-2 ゲートシティ大崎 イーストタワー www.adobe.com/jp
Adobe Systems Incorporated 345 Park Avenue San Jose, CA 95110-2704 USA www.adobe.com
アドビは、SOC 2 信用提供の原則(Trust Services Principles)と ISO 27001 セキュリティ標準に準拠するよう、Creative Cloud
運用のセキュリティプロセスおよびコントロールの開発、実装、改善に取り組んでいます。セキュリティホワイトペーパーの
リストについては、http://www.adobe.com/jp/security/resources.html を参照してください。アドビのコンプライアンスの総合
的セキュリティ戦略の詳細については、『セキュリティおよびプライバシーに関するアドビ認定』ホワイトペーパーを参照し
てください。
まとめアドビでは、デジタルエクスペリエンスのセキュリティを重要視し、本ホワイトペーパーで説明したセキュリティの事前対応
型アプローチと厳格な手順によって、Creative Cloud データをセキュリティ保護しています。
詳しくは、http://www.adobe.com/jp/security をご覧ください。
詳細情報プログラムの詳細:http://adobe.com/go/cc_enterprise
Adobe, the Adobe logo, Behance, Creative Cloud, the Creative Cloud logo, Illustrator, Photoshop, Lightroom, and Typekit are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States and/or other countries. All other trademarks are the property of their respective owners.
© 2015 Adobe Systems Incorporated. All rights reserved.
07/2015