信頼性

CyberArkでは、最小特権の原則に基づき、セキュリティシステムの構成変更を行う権限を限定されたセキュリティエンジニアのみに付与しております。本番環境では構成管理 ツールを活用し、サーバーの構成および変更を管理しております。重要な変更はすべて、変更管理プロセスに準拠して審査・承認されます。

CyberArkでは、企業ネットワーク環境を監視するために多様なツールを活用しております。企業ネットワーク内のデバイスやアプリケーションから収集したデータはSIEMに集約され、異常や脅威の検知・対応に活用されます。SIEMは専任のセキュリティオペレーションセンター（SOC）により24時間365日監視され、リスクの迅速な検知と軽減を支援しております。

当社の内部標準業務手順書（SOP）に基づき、アラートの分類、調査、昇格、最終的な解決方法が決定されます。CyberArkのSOCチームは、セキュリティ分析プラットフォーム上でアラートを発信し、侵害の兆候を監視します。システムログは、ホットバックアップで30日間、コールドバックアップで365日間保持されます。

CyberArkでは厳格な変更管理プロセスを採用しており、企業内部アプリケーションおよびサービスへの重要な変更はすべて承認プロセスを経る必要があります。変更検証完了後、提案された変更は変更承認委員会（CAB）に提出されます。このプロセスは、すべてのリリースが最高品質で、最小限のリスクとビジネスへの影響をもって提供されることを保証するために設計されています。

CyberArkでは、企業ネットワーク向けに正式なビジネス 継続性計画（BCP）を維持し、定期的に見直しと更新を行っております。当社のビジネス 継続性計画により、自然災害やシステム障害を含む、既知のほとんどの障害モード発生時にも迅速に対応し、回復力を維持することが可能となります。この計画は、独立した専門セキュリティ企業により、毎年グローバル規模で訓練を実施しております。

CyberArkは、経営陣の承認を得たグローバル災害復旧プログラム（DRP）を維持し、定期的に見直し、テスト、更新を行っております。データ損失を防止するため、各データセンターにおいて継続的なデータ複製とバックアップを実施しております。CyberArkは災害復旧サービスを利用しており、自然災害やシステム障害発生時においても、重要なサービスの一貫したパフォーマンスと最小限のデータ損失を実現します。

CyberArkでは、包括的なバックアッププログラムを運用しております。これには社内システムも含まれ、バックアップ対策はシステム復旧目標に沿って設計されております。バックアップデータはAES-256ビット暗号化により保護されております。

CyberArkでは、正式に文書化されたインシデント対応計画（IRP）を維持し、年次IRP訓練を実施しております。IRPでは、インシデント対応プロセス全体（事後評価を含む）におけるセキュリティインシデントの特定、分類、報告、修復、軽減の方法が明記されております。CyberArkの情報セキュリティチームは、報告された異常や疑わしいセキュリティ情報漏えいについて、企業全体レベルで迅速に調査いたします。

お客様情報の機密性またはセキュリティに重大な影響を及ぼす実際の情報漏えいを発見した場合、CyberArkはお客様に通知し、そのような情報漏えいを速やかに封じ込め、是正するために合理的な努力を尽くします。