BigFix は信頼に基づいて構築され、お客様が信頼する信頼性とセキュリティーを提供します
ソフトウェアセキュリティーは、HCL と私たちの大切なお客様にとって非常に重要です。また、BigFix の開発方法の中心でもあります。HCL のセキュリティー戦略は、企業および組織のセキュリティーポリシー、インシデント管理と対応、事業継続と災害復旧、セキュアなソフトウェア開発プロセス、プライバシーなど、HCL のビジネスのあらゆる側面をカバーしています。
この Web ページでは、特に BigFix のセキュアな開発プロセスと、商用および政府機関のお客様にとって重要な当社の会社や製品の認証について説明しています。このページでは、BigFix ソリューションが、ITおよびセキュリティーチームのエンドポイントフリートのセキュリティー確保にどのように役立っているかをお伝えします。
私は、HCL Software のセキュリティー担当役員として、当社のシステムとデータのセキュリティーを確保し、セキュリティビジョンと戦略を定義し、リスクとコンプライアンスプログラムを構築し、実行するというグローバルな責任を担っています。最も重要なことは、ソフトウェアのリスクを排除するための体系的なアプローチを提供するセキュアな開発ライフサイクルを監督することです。セキュリティポリシーとチェックポイントは、設計からコーディング、テスト、デプロイメントに至るまでの開発ライフサイクルの各ステップを管理しています。また、当社の社内セキュリティーチームは、独立した外部のセキュリティー研究者を採用して、当社のソフトウェアポートフォリオ全体のセキュリティーを検証しています。
Joseph Rubino, Vice President & Global Chief Information Security Officer (CISO) at HCL Software
セキュアな製品開発
HCL Software は、開発したコードを保護するために厳格な開発プロセスを遵守し、商用および政府機関のお客様に提供しています。
当社の安全な開発方法論は、製品の回復力と安全性を保証します。これにより、市場に投入するすべてのソフトウェアとコンテンツの公開は、市場にコードを公開する前に「安全な最終マイルプロセス」を経ることが要求されています。本番ソフトウェアは、リリース前にオープンソース、静的、動的なスキャンを受け、継続的な侵入テストとサードパーティによる模擬攻撃を受けて、スキャンをさらに強化します。
セキュアな製品サポート
当社の製品サポートチームは、重要な情報のみを収集し、お客様の連絡先情報およびケースデータへのアクセスを、報告された問題のトラブルシューティングに積極的に取り組んでいる者に限定し、お客様の機密情報を暗号化することで、お客様のデータおよび情報を保護しています。当社のデータ保護方針には以下が含まれます。
- 重要な会社情報と連絡先情報のみを収集する。
- HTTPS およびトランスポート・レイヤー・セキュリティー (TLS) プロトコルを介して顧客情報およびデータを通信する。
- TLSプロトコルを使用してSFTPまたはHTTPSを介して診断データを送信し、AESアルゴリズムを使用して保存されたデータを暗号化する。
BigFix Security Bulletins (セキュリティー 速報)
HCL Product Security Incident Response Team (PSIRT) は、HCL Software 製品のセキュリティー脆弱性の報告を受け、調査し、内部調整を行います。PSIRT は、報告されたセキュリティー脆弱性を調査し、適切な対応計画を特定する製品開発チームとの調整を行います。対応計画が特定されると、製品チームは、社内外の関係者と連絡を取り合い、当社の脆弱性対応プロセスを実行します。詳細については、HCL Software PSIRT のページをご覧ください。
HCL PSIRT は、お客様やパートナーに向けて Security Bulletin を発行しています。各セキュリティー ブレットでは、CVE について説明し、追加の詳細と改善策を指摘しています。BigFix セキュリティー速報のリストは、HCL Software コミュニティー フォーラムでご覧いただけます。
製品認証
HCLでは、お客様やパートナーの皆様に安心して製品をお使いいただけるよう、業界のセキュリティーに対するコンプライアンスを評価する様々な組織と連携しています。HCL Software の企業コンプライアンスの詳細については、HCL Software Compliance ページをご覧ください。HCL および BigFix が取得済み、または取得中の認証は以下のとおりです。
ISO-20243 認証は、Open Trusted Technology Provider 規格 (O-TPS) は、悪意を持って汚染された製品や偽造品を緩和するための規格です。これは、技術開発の完全性を保証し、悪意を持って汚染された製品や偽造品がグローバルなサプライチェーンに流入するのを防ぐためのガイドライン、推奨事項、要求事項のセットです。この規格は、顧客、インテグレーター、サプライヤー、監査、規制機関の懸念事項に対処するための検証可能なプロセスと実装証明ポイントに焦点を当てており、また、製品のライフサイクルの全段階 (設計、調達、構築、履行、流通、維持、廃棄) を通して実装するためのベストプラクティスにも焦点を当てています。
ISO-20243 certification for Secure Supply Chain
ISO/IEC 27001は、組織の文脈の中で情報セキュリティーマネジメントシステム (ISMS) を構築し、実施し、維持し、継続的に改善するための要求事項を規定しています。ISO/IEC 27001に準拠して、HCL Software セキュリティー・コンプライアンスチームを設置し、ISMS を実施し、継続的に改善することで重要な情報資産を保護し、適用される情報セキュリティーの目標を確実に達成し、社内外の変化に対応できるようにしています。ISMSの目標は、内部・外部、故意・偶発を問わず、特定された脅威から HCL Software とその顧客の情報資産を保護することにあります。
ISO/IEC 27001 Certifications
コモンクライテリア (またはCC) は、コンピューターセキュリティー認証の国際規格である。コンピューターセキュリティー製品の仕様策定、実装、評価のプロセスが、対象となる利用環境に対応したレベルで、厳格かつ標準的で再現性のある方法で実施されていることを保証するもので、現在、OSCI の EAL2 保証レベルの認証評価を受けています。
HCL BigFix は、現在、OSCI による EAL2 保証レベルの認証評価を受けている。OCSI は、情報技術分野におけるシステムや製品のセキュリティーの評価・認証を行っています。
Common Criteria Certification
BigFix Complianceは、Security Content Automation Protocol (SCAP) V1.3 に準拠しています。SCAP は、ソフトウェアの欠陥やセキュリティー設定情報を機械と人間の両方に伝達するためのフォーマットと命名法を標準化した一連の仕様です。
BigFix Compliance V9.2 は SCAP v1.2 認証を取得し、BigFix Compliance V10 は SCAP v1.3 認証を取得しています。
Security Content Automation Protocol (SCAP) Certification
認証へのリンクは、準備ができ次第、掲載します。
BigFixは IT およびセキュリティチームのセキュリティーコンプライアンスの向上を支援します
BigFix は、場所、接続、ステータスに関係なく、ワークステーションとサーバーを保護します。BigFixは、サイバー攻撃や脅威から組織のエンドポイントを保護するための効果的なソリューションを提供します。
BigFix Patch
BigFix Patch は、98%以上のファーストパスパッチ成功率を実現し、迅速に脆弱性を修復します。パッチは BigFix Lifecycle と BigFix Compliance で配信されます。
BigFix Inventory
BigFix Inventory は、セキュリティーリスクをもたらす可能性のある未知のソフトウェアや未承認のソフトウェアを特定します。識別されると、危険なソフトウェアを削除またはアンインストールすることができます。
BigFix Compliance
BigFix Compliance は、エンドポイントを継続的に監視し、組織のセキュリティーポリシーと CIS、DISA STIG、および PCI DSS によって公表されたセキュリティーベンチマークを確実に遵守しています。
BigFix 連携・統合機能
HCL とパートナーは、脆弱性の特定、優先順位付け、迅速な修復を支援する主要なソリューションとの統合を提供しています。
サマリー
当社の大切なお客様には、当社がセキュリティを第一に考え、効果的で安全なエンドポイント管理ソリューションを開発、テスト、提供していることをご理解いただき、ご安心ください。詳細については、弊社までお問い合わせください。
米国連邦政府のお客様
米国連邦政府のお客様は、米国連邦政府向けの BigFix をご覧ください。
お客様のプライバシーについて
HCL は、弊社ウェブサイトへの訪問者、製品やサービスの利用登録を行った個人、当社の企業イベントやウェビナーへの参加登録を行った個人、および当社のビジネスパートナーのプライバシー保護に努めています。詳細については、HCL プライバシーステートメントをご覧ください。