Panoptoで動画を保護
Panoptoは、お客様のデータの安全性、機密性、完全性、プライバシーを保護するため、厳格な保護措置を維持しています。
共有セキュリティ・モデル
PanoptoはSaaS(Software-as-a-Service)モデルを採用しており、セキュリティはAmazon Web Services(AWS)、Panopto、お客様の間で共有されます。PanoptoはAWSをクラウドインフラストラクチャのプロバイダーとして活用し、可用性、拡張性、安全性の高いソリューションを提供しています。高レベルでは、AWSは物理、ネットワーク、仮想化プラットフォームのセキュリティに責任を負います。Panoptoはホスト、ミドルウェア、アプリケーションレベルのセキュリティ、イベントモニタリング、ディザスタリカバリを担当します。お客様は、ユーザーID管理、アクセス制御、データセキュリティに責任を負います。
セキュリティとプライバシーを重視する文化
Panoptoがセキュリティとプライバシーに重点を置いているのは、採用プロセスから始まり、社員のオンボーディング、継続的なトレーニング、意識向上のための全社的な取り組みに至るまで、組織文化に根ざしています。Panoptoチームに入社する前に、現地の法律や規制が許す限り、犯罪歴と信用調査を行います。新しいチームメンバーは全員、情報セキュリティとプライバシーに関する意識向上トレーニングを受けることが義務付けられています。開発者には、入社時およびその後も定期的にセキュアコーディングトレーニングを受けることが義務付けられています。当社のセキュリティ・チームは、セキュリティ・ニュースレター、電子メール・アラート、フィッシング・テストなど、定期的な意識向上とトレーニング活動を実施しています。
Panoptoは、効果的な情報セキュリティプログラムには強力なガバナンスが不可欠であることを理解しています。当社は、すべての部門とチームを代表する部門横断的な情報セキュリティ協議会を設置し、当社のセキュリティプログラムの監督と戦略的な方向性を示しています。さらに、情報セキュリティ委員会は、情報セキュリティポリシー、標準、ベストプラクティスを当社の業務に統合するために必要なビジネスサポートを推進、提供しています。
アプリケーション・セキュリティ
キャプチャから再生まで、Panoptoはビデオコンテンツの録画、管理、ストリーミングを簡単に安全に行うことができます。Panoptoは、世界最大規模の組織や著名な大学にビデオプラットフォームを提供するリーディングカンパニーとして、ユーザーのサインイン方法から、ネットワーク上でのビデオの保存・配信方法に至るまで、製品のセキュリティに多大な投資を行ってきました。
当社のビデオ・プラットフォームは、境界、リポジトリ内、ストリーミング中に多層的なセキュリティを提供します。これにより、許可されたユーザーのみがビデオを視聴でき、データは静止時および転送時に安全であることが保証されます。
Panoptoは、OAuth、SAML 2.0、Active Directory、多数のLMS IDプロバイダなど、複数のクレデンシャルタイプをサポートすることで、ビデオリポジトリ周辺を保護します。Panoptoのシングルサインオン(SSO)実装は、クレデンシャルのローリング双方向同期をサポートし、ユーザー情報が常に最新であることを保証します。
Panoptoでは、ユーザーはロールベースの権限で動画、フォルダ、プレイリストにナビゲートし、アクセスします。これらのアクセス許可は、グループまたは個々のユーザーに対して設定することができ、動画の録画、ライブストリーミング、アップロード、公開、再生、スケジューリングを細かく制御することができます。追加設定により、管理者は強力なパスワード、パスワードの有効期限、SSO経由の2要素認証、セッションタイムアウトを強制することができます。
インフラ・セキュリティ
Panoptoは、複数のAWSアベイラビリティゾーンにまたがる高可用性の冗長クラスタとしてホストされ、単一障害点を排除し、プラットフォームの信頼性を高めています。Webサーバー、エンコーディングサーバー、データベースサーバーは、アベイラビリティゾーン間でミラーリングされています。アベイラビリティゾーン全体が停止した場合、システムはシームレスに別のゾーンに移行し、ビジネスの継続性とデータの完全性を保護します。
AWSはまた、伝統的なネットワークセキュリティの脆弱性に対する重要な保護も提供している。例えば、分散サービス拒否(DDoS)攻撃の脅威は、独自のDDoS保護サービスや、インターネットアクセスの多様性を提供するマルチホームAWSネットワークによって軽減される。中間者(MITM)攻撃は、SSLで保護されたAPIエンドポイントによって防止される。IPスプーフィングは、AWSのファイアウォールインフラストラクチャによって防止され、インスタンスが自分自身以外のソースIPまたはMACアドレスでトラフィックを送信することを許可しません。
加えて、AWSはデータセンターで最先端の多重境界物理セキュリティを維持している。これには、外部からのアクセスを禁止し、データセンターの正確な場所を共有しないことが含まれる。環境面では、火災検知と消火、完全冗長化された電源システム、空調管理、電気・機械システムのリアルタイム管理などの安全対策がとられている。
オペレーション・セキュリティ
Panoptoは、リスクベースの情報セキュリティプログラムを運用するための基盤として、NIST SP 800-53のコントロールフレームワークを採用しています。当社の社内システムとプロセスは、アクセス制御、リスク評価、意識向上とトレーニング、サプライチェーンリスク管理、インシデント対応、構成管理、物理的・環境的保護など、NISTのコントロールファミリーをカバーするセキュリティポリシーによって管理されています。
当社のエンジニアリング・チームは、セキュアなソフトウェア開発ライフサイクルを使用して、コード・レビューやアーキテクチャ分析などのセキュリティ保証活動を開発作業に内在させるようにしています。
また、四半期ごとに脆弱性スキャンを実施し、クラウドセキュリティの実践とアクセス権の定期的な内部監査も行っています。毎年、悪用可能な脆弱性を特定し、サイバー攻撃の表面領域を最小限に抑えるため、国際的に有名な独立系セキュリティ会社と提携して包括的な侵入テストを実施しています。
さらに、Panoptoは、当社製品およびサービスの脆弱性を特定する上で、外部の研究者の支援を重視しています。当社の責任ある情報開示プログラムでは、ユーザーデータの機密性や完全性に影響を与える、または顧客データを危険にさらす設計や実装の問題を報告するよう研究者に奨励しています。
セキュリティ・インシデントまたは事業継続インシデントが発生した場合、私たちは、準備から特定、封じ込め、根絶、復旧、根本原因の分析に至るまで、インシデント対応のあらゆる側面をカバーする対応計画を維持しています。この計画は、インシデントの影響を最小限に抑え、可能な限り迅速に通常業務を再開するために、対応できるよう訓練された要員で構成されるチームを確保するため、年1回演習されます。
プライバシー
Panoptoは、お客様の個人情報を大切に保護する責任を真摯に受け止めています。Panoptoのプライバシーに対する取り組みは、お客様のデータの収集、使用、配布について透明性を提供するというコミットメントから始まります。
EU一般データ保護規則(GDPR)は、透明性、公平性、説明責任というプライバシーの原則に基づき、欧州全体のデータ保護に一貫性をもたらす。
データ処理業者として、PanoptoはGDPR法の遵守に努めています。
これには、個人情報を保護するための暗号化および匿名化の使用、当社のデータ処理に役割を果たすパートナーとの契約、PIIに関する当社のデータソースの第三者監査、ならびにアクセス権、情報、修正権、消去権、データポータビリティ権、異議申立権、および処理制限権の遵守が含まれます。
サービス組織統制(SOC)2 コンプライアンス
サービス組織管理(SOC)
米国公認会計士協会(AICPA)により開発されたSOCは、5つの信託サービス原則(セキュリティ、可用性、処理の完全性、機密性、プライバシー)に基づいて顧客データを管理するための基準を定義している。
Panoptoは、独立した第三者監査法人によるSOC 2 Type 2監査を毎年受けており、Panoptoがセキュリティと可用性に関する信頼の原則にどの程度準拠しているかを評価しています:
- セキュリティ:セキュリティ原則とは、不正アクセスからシステムリソースを保護することを指します。Panoptoではアクセス制御を導入しており、潜在的なシステムの悪用、データの盗難、不正な持ち出し、ソフトウェアの誤用、情報の不適切な改変や開示の防止に役立てています。Panoptoで使用されているネットワークおよびWebアプリケーションファイアウォール、二要素認証、侵入検知などのITセキュリティツールは、システムやデータへの不正アクセスにつながるセキュリティ侵害の防止に役立っています。
- 可用性:可用性の原則とは、契約やサービス・レベル・アグリーメントで規定されたシステム、製品、サービスへのアクセス可能性を指す。ネットワークのパフォーマンスと可用性の監視、サイトのフェイルオーバー、セキュリティ・インシデントの処理は、この文脈では非常に重要である。
当社のSOC 2レポートは、パートナー、顧客、見込み客であれば誰でも閲覧可能です。ただし、受信者がPanoptoとの秘密保持契約(NDA)に署名した場合に限ります。詳細はこちらをご覧ください:
Panoptoサービス組織管理(SOC)3レポート
PanoptoのSOC 3レポートは、NDAに署名することなく、SOC 2レポートの主要な情報を簡単に要約したものです。
クラウドセキュリティアライアンス(CSA)STAR自己評価
クラウド・セキュリティ・アライアンス(CSA)は、業界の実務者、企業、その他の重要な利害関係者からなる幅広い連合が主導する非営利団体です。より安全なクラウドコンピューティング環境を確保するためのベストプラクティスを定義し、潜在的なクラウド利用者がIT運用をクラウドに移行する際に十分な情報を得た上で意思決定できるよう支援することを目的としています。Panoptoは、CAIQ(Consensus Assessments Initiative Questionnaire)によるCSA STARセルフアセスメントを完了し、その結果をCSA Security, Trust, and Assurance Registryに公開しました:Panopto - CAIQ (v3.1)。
セキュリティ・チェックリスト
| アプリケーション・セキュリティ | パノプトに付属 |
|---|---|
| APIの認証と暗号化 | はい |
| 認証ポリシー | はい |
| データ検証 | はい |
| 静止時の暗号化 | はい |
| 輸送中の暗号化 | はい |
| 監査ログによるフォレンジック分析 | はい |
| ホスティング・プラットフォームのセキュリティ | はい |
| コードとしてのインフラストラクチャー(IaC) | はい |
| 論理的なコンテンツの分離 | はい |
| 中間者(MITM)対策 | はい |
| 境界セキュリティとシングルサインオン(SSO) | はい |
| 役割ベースの承認 | はい |
| 安全なクレデンシャル保管 | はい |
| セッションタイムアウト | はい |
| ビデオダウンロード防止 | はい |
| インフラと運用のセキュリティ | パノプトに付属 |
|---|---|
| 広く認知された管理フレームワークの遵守 | はい |
| リスク管理プログラム | はい |
| 従業員および請負業者の身元調査 | はい |
| セキュリティとプライバシーに関する認識とトレーニング | はい |
| 最小限の特権と職務の分離 | はい |
| 機密情報へのアクセス | はい |
| 安全なソフトウェア開発ライフサイクル | はい |
| 運用環境、開発環境、ステージング環境の分離 | はい |
| 異常イベントの監視と警告 | はい |
| 定期的な統制評価と脆弱性スキャン | はい |
| 年1回の第三者による包括的な侵入テスト | はい |
| リスクに基づく脆弱性の優先順位付け | はい |
| 安全なメディア廃棄 | はい |
| 悪意のあるソフトウェアの保護 | はい |
| データ損失防止 | はい |
| 物理的および環境的コントロール | はい |
| インシデント管理の計画とテスト | はい |
| 事業継続と災害復旧の計画とテスト | はい |
| キャパシティ・リソース計画 | はい |
| プライバシーとコンプライアンス | パノプトに付属 |
|---|---|
| 一般データ保護規則(GDPR) | はい |
| SSAE 18 SOC 2 タイプII | はい |
| クラウドセキュリティアライアンス(CSA)STAR自己評価 | はい |
