お客様の信頼できるポータル

コンプライアンスプログラム

Rubrik Multi-Cloud Data Control™の製品とサービスはお客様の組織のコンプライアンスニーズをサポートできるよう、それぞれ個別に、コンプライアンス、プライバシー、セキュリティに関する業界の代表的な基準に照らして定期的に検証されています。Rubrikのコンプライアンスプログラムの詳細については、こちらのページ（https://www.rubrik.com/compliance-program）をご覧ください。

プライバシーポリシー

Rubrikのプライバシーポリシーの詳細については、こちらをご覧ください。

Rubrikは個人情報保護の専任スタッフが規制要件を監視する、プライバシープログラムを継続しています。Rubrikのプライバシーポリシーの詳細については、こちらのページ（https://www.rubrik.com/en/privacy-policy）をご覧ください。

レポート

Rubrikのコンプライアンス認証はNDA締結後にご覧いただけます。関連レポートへのアクセスについては、Rubrikの担当者にご連絡ください。Rubrikのコンプライアンス認証とコンプライアンスプログラムの詳細については、compliance@rubrik.comまでお問い合わせください。

セキュリティチーム

RubrikはCISOの指揮の下、セキュリティの専門チームを世界中に擁しています。このセキュリティチームは、セキュアな製品開発とテスト、クラウドセキュリティ、エンドポイント、ユーザーと通信のセキュリティ、脆弱性管理、インシデント管理、セキュリティ文化と関連のトレーニング、セキュアなロギングとモニタリング、セキュリティガバナンス、セキュリティリスク管理、サプライヤーリスク管理、IDおよびアクセス管理など、製品とエンタープライズセキュリティの機能にフォーカスした業務に取り組んでいます。

バックグラウンドチェック

Rubrikは米国などでの採用の際、全員に対して、現地の法に則ったバックグラウンドチェックを実施しています。Rubrikの社員は採用時に秘密保持契約の締結を求められます。

セキュリティ意識

ポリシー

Rubrikは、自社の運用環境に関わる幅広い内容をカバーする一連のセキュリティポリシーを、ISO 27001に沿って策定しています。採用時にセキュリティポリシーへの理解を求めるとともに、Rubrikの情報資産にアクセスできるすべての社員および請負業者は毎年実施される必須の研修を通じて、イントラネットでセキュリティポリシーを確認できます。

トレーニング

Rubrikの情報資産にアクセスできる従業員と請負業者は全員、雇用時および雇用後毎年、セキュリティ/プライバシー意識に関する研修を修了する必要があります。Rubrikでは定期的に全社的なフィッシングキャンペーン演習を実施しています。また、カスタマイズしたロールベースのトレーニングのほか、特定したリスク要因を基に社内の全関連ユーザーに対して、個別事例を想定したナノトレーニングを実施しています。 

セキュアな製品開発

RubrikのセキュアなSDLC（ソフトウェア開発ライフサイクル）は製品開発ライフサイクルの4つのステージに渡るもので、セキュアな設計、セキュアなコーディング、セキュアなテスト、セキュアなリリースを含みます。SDLCポリシーはロールバック、ダウンタイム、設計上の欠陥、セキュリティインシデントなどの発生を最小限に抑えられるよう、デリバリー、レビュー、マージの各プロセスを定義します。

Rubrikのエンジニアは「OWASP Top 10」のセキュリティリスク、一般的な攻撃ベクトル、Rubrikのセキュリティ対策などを意識したセキュアなコーディングプラクティスを実践しています。Rubrikは「OWASP Top 10」のセキュリティリスクの発生を低減できる、適切なセキュリティ制御を備えたセキュアなオープンソースフレームワークを活用しています。Rubrikが備えるこれらの固有の対策により、Rubrikでインジェクション攻撃、認証およびセッション管理の不備、クロスサイトスクリプティング攻撃（XSS）、安全でない直接オブジェクト参照、機能レベルのアクセス制御の欠落、クロスサイトリクエストフォージェリ攻撃（CSRF）、未検証のリダイレクトと転送などの各リスクが発生するのを抑えています。

品質保証

Rubrikには品質保証（QA）の実施と、テストの実施に必要なシステム保守を担当するチームがあります。担当するアプリケーションセキュリティエンジニアがコードのセキュリティ上の脆弱性を特定し、テストし、優先順位を付けます。テスト/ステージング環境は本番環境から論理的に隔離されています。お客様のデータをRubrikの開発やテスト環境（クラウドのデプロイなど）で使用することはありません。

脆弱性管理

Rubrikはセキュリティツールを活用して、製品や関連インフラに一般的なセキュリティ上の脆弱性がないかを常時、動的なスキャンを実施して確認しています。Rubrikは社内に専任の製品セキュリティチームを擁しており、継続的にテストを実施し、社内定義のサービスレベル合意（SLA）に基づいて、発見された問題に修正を施しています。Rubrikプラットフォームのソースコードリポジトリもスキャンして、セキュリティ上の問題がないか調査しています。

脆弱性レポート

Rubrikはセキュリティ研究者に対し、Rubrikが所有・管理・運用する（またはRubrikおよびユーザーのセキュリティに影響を及ぼすと考えられる）アセットに脆弱性の疑いを発見した場合、情報を以下のwebフォームを使用して共有していただくよう推奨しています。Rubrikのセキュリティチームは各脆弱性レポートの受領確認を行い、綿密な調査の実施を経て、解決に向けて適切な措置を講じるようにします。Rubrikの脆弱性開示ポリシーは以下をご確認ください：https://www.rubrik.com/legal/responsible-disclosure-policy.

独立した第三者機関によるセキュリティ評価・ペネトレーションテスト

社内の脆弱性管理とセキュリティテストプログラムに加え、主要製品のGA版（一般提供版）リリース前には独立した第三者機関によるアプリケーションのペネトレーションテストを実施しています。このテストは「OWASP Top 10」のセキュリティリスクや新製品機能の脅威モデリングをカバーしています。

暗号化

転送時の暗号化

RubrikのUIとAPIによるすべての通信はパブリックネットワーク通信に関する業界標準プロトコルであるHTTPS/TLS（TLS 1.2+）により暗号化されています。これにより、お客様の環境とRubrik間で、通信時にすべてのトラフィックの安全が保障されます。

保存時の暗号化

Rubrik製品は共通鍵暗号方式AES-256をサポートしています。

データセンターのセキュリティ

Rubrikは社内エンジニアリングや製品開発で利用するサーバーを、最先端の物理的セキュリティ施策を備えたコロケーションサービスプロバイダーのスペースに設置しています。コロケーションサービスプロバイダーは可用性、冗長性、ディザスタリカバリなどに関して高レベルのSLAを維持し、Rubrikの事業継続計画をサポートしています。Rubrikはサービス提供に使用する施設の物理的セキュリティや管理に関して、サードパーティ企業（Microsoft AzureやGoogle Cloud Platformなど）を利用しています。Rubrikの利用する主なクラウドプロバイダーのプラットフォームの物理的セキュリティ対策の詳細は、以下のページをご参照ください。

• https://cloud.google.com/security/compliance/

• https://www.google.com/about/datacenters/data-security/

• https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security

Rubrikは自社のIT運用管理にサードパーティのSaaSサービスやコロケーションサービスプロバイダーを使用しています。Rubrikは人事管理システム、メールおよびカレンダー、社内コミュニケーション、要件・チケット管理システムなどで複数のベンダーのSaaSサービスをベストオブブリードで活用しています。これらのサービスは可用性、信頼性、セキュリティなどに関して、必須レベルを超えるSLAを達成しています。

オンサイトセキュリティ

本社をはじめRubrikの主要オフィスには、警備員、IDバッジ、監視カメラ、フェンス、セキュリティフィード、侵入検知テクノロジーなど数多くのオンサイトセキュリティ対策機能が備えられています。

サプライヤーセキュリティ

Rubrikは確立されたサプライヤーセキュリティリスク管理プログラムによって、サプライヤーや再委託先企業を評価しています。提供サービスの重要度に基づいてサプライヤーを評価するRubrikの調達/サプライヤーセキュリティプロセスを通じて、サプライヤーを審査します。サプライヤーの審査は年次ベースで行い、契約書に記載された基準や条件への適合状況を評価します。契約にはデータ処理契約（DPA）が含まれる場合もあります。 

Rubrikは複数のサードパーティ企業と協力して、サポートやSaaSサービスの提供を行っています。Rubrikのサブプロセッサについての情報はこちらのページ（https://www.rubrik.com/en/legal/rubrik-subprocessors）をご覧ください。 

ネットワークセキュリティ

保護

Rubrikのアーキテクチャは、DMZ、要塞ホスト、iptablesなどの複数のデータセキュリティレイヤーで構成されています。ネットワークはファイアウォールと高度なマルウェア防御によって保護されています。RubrikはSaaS向けセキュリティツールやエンドポイントベースのマルウェア防御も活用しています。Rubrikのサイト信頼性/サポート/エンジニアリングを担当するチームは世界各地で、24時間年中無休体制で稼働しています。

侵入検知および防御

Rubrikの侵入検知ツールは脆弱性保護とともに、ネットワークトラフィックの脅威をスキャンするネットワークマルウェア/スパイウェア対策を提供します。この脅威防御サービスはネットワークへの最初の侵入時点だけでなく、サイバー攻撃ライフサイクルのあらゆる時点の脅威を検出します。つまり、あらゆるポイントで防御を行う多層防御、ゼロトラストモデルを提供していることになります。

セキュリティ監視とアラート

RubrikにはRubrik提供のノートPC、ワークステーション、クラウド環境からのデータ流出を検知するセキュリティ機能が導入されています。Rubrikはまた、オンプレミスおよびマルチクラウド環境を常時監視して、セキュリティ上の脅威を検知し、セキュリティイベントやインシデントに対する調査や対応を行っています。RubrikのSIEMソリューションはログ保存、検索、インデックス作成などの機能だけでなく、脅威検知、監視・対応、脅威の特定、機械学習、デジタルフォレンジックなどの機能をサポートしています。

論理的アクセス制御

Rubrikの本番環境へのアクセスには最小権限の原則が適用され、明確な「知る必要性（need-to-know）」に基づいた制限が設定されています。さらにそのアクセスのログを記録し、監視しています。Rubrikの本番環境ネットワークにアクセスする社員には多要素認証（MFA）が求められます。重要アプリケーションへのすべてのアクセスにはMFA対応のシングルサインオン（SSO）が活用されています。

セキュリティインシデント対応

Rubrikのセキュリティインシデント対応チーム（SIRT）はセキュリティインシデント対応に関する責任を担っています。SIRTはセキュリティ上の脆弱性や製品・ネットワーク関連の問題に関する情報を受け取り、調査し、公表します。

システムアラートが発出されると、運用、ネットワークエンジニアリング、セキュリティなどを担当する24時間体制のRubrikの常時対応チームにセキュリティ事象がエスカレーションされます。社員はセキュリティインシデントに関する報告および対応プロセスについての研修を受けています。この研修にはコミュニケーションルートやエスカレーションパスに関する内容も含まれます。Rubrikに関わるセキュリティインシデントが発生した場合、お客様はsecurity@rubrik.comまでご連絡ください。

可用性と継続性

アップタイム（稼働時間）/システム状況

Rubrikはシステム可用性、定期メンテナンス、RubrikのSaaS製品全般の信頼性に関して、お客様が期待される可視性の重要性を認識しています。こちらのページ（status.rubrik.com）で現在のシステム状況のほか、RubrikのSaaS製品のこれまでのシステム稼働状況をご確認いただけます。

事業継続とディザスタリカバリ

Rubrikの事業継続とディザスタリカバリに関するプログラムは、Rubrikのサービスが利用できない時のリスク対処を想定して設計されています。事業継続・ディザスタリカバリ計画は毎年見直され、テーブルトップ（机上）演習、機能テスト、あるいは実際のインシデントを通じて定期的にテストされます。Rubrikはまた、高い可用性と冗長性を備えたシステムやサービスを提供する代表的なプロバイダーを利用しています。 

お客様側でホストし管理するRubrik製品に関しましては、Rubrikは製品の使用に関する管理や制御などは行わず、サービスのRPOやRTOも提示しません。RubrikがホストするRubrikのフルマネージドの製品やサービスでは、RPOやRTOの具体的な時間は提示しませんが、その代わりに関連のSLA（サービスレベル合意）を提示します。 

Microsoft 365関連サービスのホワイトペーパー

RubrikのMicrosoft 365データ管理サービスの概要をまとめたものです。Microsoft 365とその機能の保護に関連する情報をご参照ください。

ホワイトペーパーを読む

Rubrik Security Cloudについてのホワイトペーパー

Rubrik Security CloudのアーキテクチャとそのSaaSサービスのセキュリティ実装についての概要です。ご参照ください。

ホワイトペーパーを読む