メインコンテンツへジャンプ

セキュリティ& トラスト・センター

データ保護は Databricks の最優先事項です

 

 

トラスト

トラストを重視した Databricks のプラットフォームには、ソフトウェアの開発から提供に至るまでのライフサイクル全体にセキュリティが組み込まれています。Databricks は、ペネトレーションテスト、脆弱性テスト、内部アクセス制御など、運用における厳格なセキュリティ慣行に従っています。透明性が信頼を得るカギであるという考えのもと、運用に関する情報を公開し、お客さまやパートナーと緊密に連携してセキュリティ要件に対応します。PCI-DSS、HIPAA、FedRAMP の各コンプライアンスを提供し、ISO 27001、ISO 27017、ISO 27018、SOC 2 Type II に準拠しています。

契約上の要件

セキュリティ&トラストセンターでご覧いただけるドキュメントやベストプラクティスに加えて、セキュリティに対する契約上の要件を明記し、全てのお客さまに提供しています。この要件は、「セキュリティに関する補足条項」に記載されています。「セキュリティに関する補足条項」では、お客さまのデータをセキュアに保護するセキュリティ対策と実践を説明しています。

脆弱性の管理

お客さまが信頼するソフトウェアの脆弱性の検知と迅速な修正は、ソフトウェアやサービス提供者の極めて重要な責任です。私たちはこの責任を真摯に受け止め、「セキュリティに関する補足条項」のなかで、修復のタイムラインに関するコミットメントを共有しています。

Databricks の社内においては、脆弱性管理を自動化し、環境中の脆弱性を効果的に追跡、優先順位付け、調整、是正しています。新しいコードやイメージを本番環境に導入する前に、Databricks と Databricks が使用するサードパーティ/オープンソースパッケージの認証済み脆弱性スキャンを毎日行い、信頼できるセキュリティスキャンツールを使用して静的および動的コード解析(SAST および DAST)を実施しています。また、サードパーティの専門家を採用して、Databricks の公開サイトを分析し、潜在的なリスクを報告しています。

Datbricks は、スキャンベンダーから報告される前に新たな脆弱性を監視するための脆弱性対応プログラムに資金を投入しています。これは、社内ツール、ソーシャルメディア、メーリングリスト、脅威情報源(US-CERT、その他の政府、業界、オープンソースのフィードなど)を使用して達成されます。Datbricks は、CVE TrendsOpen CVDB などのオープンな脆弱性プラットフォームを監視しています。これらに対応するためのプロセスを確立しており、Datbricks、製品、または顧客に対する影響を迅速に特定できるようにしています。このプログラムにより、報告された脆弱性を迅速に再現し、ゼロデイ脆弱性を解決できます。

Datbricks の脆弱性管理プログラムは、ゼロデイなどの Severity-0 の脆弱性を最も緊急に扱い、他のロールアウトよりも優先的に修正することを約束します。

ペネトレーションテストとバグバウンティ

Databrcisk では、社内の攻撃検証セキュリティチーム、資格を有するサードパーティーのペネトレーションテスター、および通年の公開バグバウンティ(バグ報奨金プログラム)を組み合わせ、ペネトレーションテストを実施しています。ファジング、セキュアコードレビュー、ダイナミックアプリケーションテストを組み合わせて、プラットフォームの完全性とアプリケーションのセキュリティを評価します。メジャーリリース、新サービス、セキュリティ上の重要な機能については、侵入テストを実施しています。オフェンシブなセキュリティチームは、インシデント対応チームやエンジニアリング内のセキュリティチャンピオンと協力して、発見事項を解決し、社内に学びを浸透させています。

サードパーティーによる外部ペネトレーションテストは通常、年間 8~10 回、内部ペネトレーションテストは 15~20 回実施し、テストが合格と判定される前に、全ての重要な発見事項に対処する必要があります。透明性へのコミットメントの一環として、デューデリジェンスパッケージの一部として、プラットフォーム全体のサードパーティーのテストレポートを一般公開しています。

セキュリティ調査とインシデント対応

私たちは、Datbricks を SIEM と XDR のプラットフォームとして使用し、1 日あたり 9 テラバイトを超えるデータを処理して、検知とセキュリティ調査を実施しています。クラウドインフラ、デバイス、ID 管理システム、SaaS アプリケーションからログやセキュリティシグナルを取り込み、処理しています。構造化されたストリーミングパイプラインと Delta Live Tables を利用し、データ駆動型アプローチと統計的 MLモデルを使って最も関連性の高いセキュリティイベントを特定し、新規アラートの生成や、既知のセキュリティ製品から既存のアラートを相関、重複排除、優先順位付けします。また、MITRE ATT&CKフレームワークを使用して追跡された敵の戦術、技術、手順(TTP)を基にランブックのモデル化を行っています。Databricks のセキュリティ調査チームは、Databricks ノートブックを利用して、再現性のある調査プロセスを作成し、インシデント調査プレイブックを継続的に進化させ、2 ペタバイト以上の履歴イベントログに対して脅威探索を行い、非構造化データおよび半構造化データを複雑に検索しています。

Databricks のインシデント対応チームは、常に最新の情報を入手し、Databricks がインシデント管理シナリオに備えることができるよう、以下のことを実施しています。

  • SANS などのベンダーが提供する業界評価の高いコースに参加し、fwd:cloudsec、Black Hat、BSides, RSA などのセキュリティカンファレンスに参加する。
  • 経営幹部や社内チームと定期的に卓上演習を行い、Databricks 製品や企業インフラに関連するセキュリティ対応シナリオを実践する。
  • エンジニアリングチームと協力して、プラットフォームの観測可能性に優先順位をつけ、効果的なセキュリティ検知と対応を可能にする。
  • 進化するインシデント対応のスキルと能力のマトリックスに基づき、雇用とトレーニングの戦略を定期的に更新する。

内部アクセス

本番稼働システム、顧客環境、顧客データへの社員のアクセスについては、厳格なポリシーと制御を適用しています。

セキュアなソフトウェア開発ライフサイクル

Databricks には、ソフトウェア開発ライフサイクル(SDLC)があり、機能の要求から本番環境の監視まで、設計、開発、生産の全てのステップにセキュリティが組み込まれています。ライフサイクルを通じて機能を追跡するように設計されたツールでサポートされています。システム、ライブラリ、コードの自動セキュリティスキャンや、自動の脆弱性追跡機能を備えています。

セキュリティポリシーとコミュニケーションの詳細

Databricks は、セキュリティ脆弱性の取り扱いと通信に関する RFC 9116、ISO/IEC 30111:2019(E)、ISO/IEC 29147:2018(E) 標準に準拠しています。Databricks の安全な通信と PGP 署名の詳細については、Databricks のsecurity.txtファイルを参照してください。

問題をレポート