コンプライアンス：データ セキュリティとデータ プライバシー

2023年8月

NetAppは、グローバルおよび地域において絶えず進化するデータのセキュリティとプライバシーの基準や規制に準拠するための取り組みを、長年にわたり継続してきました。この取り組みは、社内での内部評価や第三者の認定独立機関による厳格な監査により遵守されています。これらの監査では、NetAppの製品およびサービスがISO / IEC 27001、GDPR、NIST SP 800-171、およびCommon Criteriaなどのコンプライアンス標準の要件を満たしているかどうかが検証されます。このような評価により、国際的に認められたプロセスやベストプラクティスがNetAppのビジネスに統合されていることが実証されるので、お客様はコンプライアンスの要件にかかわらず、安心してNetAppの製品やサービスを利用することができます。

NetAppは、対象のソフトウェアとハードウェアの一覧、関連する証明書と監査レポートのリンクなど、本ページの左側に記載された各コンプライアンス プログラムに関する情報を提供します。

データの収集と使用に関するグローバル、地域、業界固有のデータ セキュリティ、エンジニアリング、プライバシーの規制と基準に準拠したNetAppのすべてのサービス、ハードウェア、ソフトウェアを一覧でご確認いただけます。 

NetAppは消費者のプライバシーの権利を尊重し、カリフォルニア州消費者プライバシー法（CCPA）および同法を拡張したカリフォルニア州プライバシー権法（CPRA）などのグローバルなデータ プライバシー法を遵守することに取り組んでいます。法令遵守に対するNetAppの取り組みには、NetAppのプライバシー ポリシーおよびお客様との契約が含まれます。これらは、NetAppがお客様の個人データを収集している場合、あるいは個人データを収集しているお客様に対してサービス プロバイダとしての役割を果たしている場合に該当します。NetAppは、CCPAやCPRAへの準拠を目的として策定されたプロセスおよびポリシーに対する取り組みをサポートします。

NetApp ONTAPデータ管理ソフトウェアは、Commercial Solutions for Classified（CSfC）Programによって認定された、最初のエンタープライズクラス ストレージ ソリューションです。ハードウェア レイヤとソフトウェア レイヤの両方で保存データのセキュリティ保護を強化できます。CSfC Programは、米国国家安全保障局（NSA）が実施する商用サイバーセキュリティ戦略の重要な要素です。商用製品が機密データと最高機密データを保護するための厳格なセキュリティ要件を満たしているかどうかを検証します。

NetAppは、NetApp Data ONTAPが最初に認定を受けた2005年以降、ストレージ ソフトウェアおよびハードウェア製品について、Common Criteria（ISO / IEC 15408-1：2009）の認定を取得し続けてきた歴史があります。NetApp製品は、認定独立機関による監査を受け、Common Criteriaへの準拠が認定されています。NetAppは、政府機関および政府機関の請負業者のお客様向けに、購入要件に関するCommon Criteria認定を取得しています。

NetApp ONTAP は、2005年に米国国防情報システム局（DISA）から最初に認定を受けました。NetAppの対象製品は、DISAにより米国国防総省情報ネットワークの承認製品リスト（DoDIN APL）に含まれています。DoDIN APLに認定されたことで、米国国防総省の関連機関や防衛産業基盤をサポートする組織は安心してNetApp製品を使用することができます。

Amazon FSx for NetApp ONTAPは、米国国防総省（DoD）のCloud Computing Security Requirements Guide（CC SRG）について、Amazon Web Services（AWS）のGovCloud（US）リージョンで影響レベル2、4、5の認定を、またAWSの米国リージョンで影響レベル2の認定を取得しています。

Amazon FSx for NetApp ONTAPはAmazon Web Servicesを通じて、またAzure NetApp Files^®はMicrosoft AzureおよびMicrosoft Azure Governmentを通じて、FedRAMPの主要なガバナンス機関である合同認証委員会（JAB）からP-ATOを取得しています。  

Amazon FSx for NetApp ONTAPには、AWSの米国リージョンでは影響レベルが高および中のFedRAMP認定が、またAWSのGovCloud（米国）リージョンでは影響レベルが高のFedRAMP認定が付与されています。Azure NetApp Files®は、Azureの商用クラウド サービスについては影響レベルが高と中のFedRAMP認定を、Azure Governmentクラウド サービスについては影響レベルが高のFedRAMP認定を取得しています。 

FIPS 140は、ハードウェア、ソフトウェア、ファームウェアの暗号化モジュールに対するセキュリティ要件を規定する米国政府機関の標準です。NetAppは、FIPS 140に準拠した暗号化モジュールを提供しています。多種多様なハードウェア、ソフトウェア、サービスを提供しているNetAppでは、FIPS 140への準拠にさまざまなアプローチを採用しています。たとえば、FIPS 140に準拠したNetAppソフトウェアには、転送中のデータおよび保存データの暗号化についてレベル1の検証を達成した暗号化モジュールなどがあります。

NetAppは、EUの一般データ保護規則（GDPR）などのデータ プライバシー法を遵守するための包括的な戦略を維持しています。NetAppは取り組みの一環として、データ主体の権利を尊重し、GDPRおよび欧州の規制当局に準拠して個人情報を安全に処理できるよう組織およびエンジニアリングの対策を講じています。データ管理またはデータ処理を行う企業のどちらであっても、NetAppの製品とサービスは、組織のGDPRへの準拠をサポートするプログラムの実装に必要なツールを提供します。NetAppは、多数のお客様との契約においてこの取り組みをサポートしています。

Health Insurance Portability and Accountability Act（HIPAA）によって規制されているデータを管理しているお客様は、NetAppのさまざまな製品やサービスをストレージ管理に活用できます。

NetAppは独立した第三者機関によるSOC 2 Type 2認定を取得することで、NetAppサービスのHIPAA準拠に対応しています。SOC 2レポートは、NetAppのシステムで処理されるユーザ情報の機密性とプライバシーがNetAppによって合理的に保護されていることをお客様に保証します。対象となる事業体やビジネス関係者は、SOC 2 Type 2レポートで保証されたNetAppのソリューションを、保護された医療情報の管理に利用することもできます。 

NetAppは毎年、認定認証機関の監査によりNetApp情報セキュリティ管理システムがISO 27001標準に準拠していることを証明しています。NetAppの監査では、NetAppのポリシー、手順、管理によって、情報のプライバシー、セキュリティ、整合性、可用性が維持されていることが確認されています。

広範にわたる監査を行った結果、認定認証機関INFOCERTは、NetApp^® StorageGRID^®の認証をフランスの会計基準であるNF Logiciel（NF203）に更新しました。この更新には、製品の開発、テスト、検証方法に関する国際規格ISO / IEC 25051の認証が含まれています。

NetAppは、管理された非機密情報（CUI）を格納する情報システムを維持しており、関連する契約においてNIST SP 800-171の管理要件を満たしていることを保証しています。NetAppはCUIの適切な取り扱いを基に、米国防省調達規則（DFARS）に基づくNetAppの契約に関する取り組みにも従事しています。NIST SP 800-171の管理は調達規則に組み込まれているため、連邦政府以外の組織が米国政府のCUIを保管、処理、または送信する場合の要件として求められることがあります。

認定セキュリティ評価機関であるForegenixは、NetApp^®のInstaclustr™に対して必要な監査を実施し 、Payment Card Industry（PCI）データ セキュリティ基準（DSS）を通じてレベル1の準拠証明書を発行しました。これは、取引に関するコンプライアンスにおいて最高レベルであることを示すものです。

NetAppの製品とサービスは、独立した公認会計事務所やサービス監査機関によって、SOC 2（AT Section 101）の基準に従った監査を定期的に受けています。NetAppの対象のクラウド サービスおよびマネージド サービスは、監査の結果によりTrust Services Criteriaの該当する要件に適合していることを示すSOC 2レポートを取得しています。