紹介
HP Workforce Experience Platform (WXP) は、IT チームがデジタル摩擦を軽減し、セキュリティを強化し、デバイスの問題をプロアクティブに解決するのに役立つクラウドベースのエンタープライズ ソリューションです。安全でスケーラブルなプラットフォームを通じて、デスクトップ、ラップトップ、その他の接続資産など、組織の PC フリートを一元的に可視化し、管理します。
WXP は、デバイスやアプリケーションからのほぼリアルタイムのテレメトリ データを分析して、問題を特定し、健全性を監視し、修復を推奨します。IT 管理者は、デバイスのステータスを表示し、ポリシーを定義し、レポートを生成し、リモート アクションを開始して、運用とセキュリティのニーズをサポートできます。
このドキュメントでは、管理対象 PC デバイスに焦点を当てて、WXP のセキュリティとプライバシーのアーキテクチャの概要を説明します。データの収集、送信、保存、保護の方法を説明し、プラットフォームがデータ保護基準に準拠していることについて説明します。対象読者には、プラットフォームのデータ処理慣行を評価する IT 管理者、サービス プロバイダー、セキュリティ レビュー担当者が含まれます。
WXP エクスペリエンス アーキテクチャ
WXP は、デバイス、データ、ユーザー向けのワンストップのクラウドベースの分析プラットフォームとして、アーキテクチャと開発プロセス全体に業界で実証済みのサービス レベルのセキュリティを組み込んでいます。主なサービスは次のとおりです。
複数のオペレーティング システムにわたるデバイス テレメトリの収集と分析
HPのお客様とマネージドサービスプロバイダーがレポートを生成し、インシデントを管理できるようにします
SaaS(Software-as-a-Service)モデルによるさまざまなサードパーティサービスの統合
ユーザーとロール
WXP のダッシュボードには、次の図に示すように、複数のタイプのユーザーとロールが用意されています。
役割 | スコープ |
|---|---|
地域管理者 | このアカウントは、HP のビジネス オペレーション管理者が、直接の顧客とパートナーの両方に対して新しいテナントを作成するために使用されます。リージョン ルート管理者アカウントは制御され、直接の顧客およびパートナー テナントを管理および移動するためのアクセス権を持ちます。通常、リージョンごとに個別のルート管理者アカウントが存在します。 現在、WXP は 2 つの AWS リージョナルデータセンターで運用されています。
|
パートナー | パートナー テナントには、パートナー管理者、サービス スペシャリスト、およびセールス スペシャリストの役割が含まれる場合があります。これらのテナントは、複数の顧客アカウントにアクセスし、デバイス、ユーザー、日常業務を管理できます。さらに:
|
HPサポート | HP サポート アカウントは、複数の企業に同時にアクセスし、トラブルシューティングの目的で顧客に代わってデバイス、ユーザー、および日常業務を管理できます。これらのアクションは、HPのビジネスオペレーションチームによって管理されます。 HPサポートアカウントには、サポート管理者とサポートスペシャリストの2種類のユーザーがいます。サポート管理者は、追加のサポート管理者またはサポートスペシャリストアカウントを作成できます。 |
会社経営者 | 会社が作成されると、デフォルトの 会社所有者 がルート管理者によって割り当てられます。既定では、このユーザーには、社内のユーザーとデバイスを管理するための IT 管理者ロールも与えられます。 会社所有者は、権限に基づいて、ユーザーの管理、デバイス関連のタスクの処理、レポートやその他の管理機能へのアクセスを行うことができます。マネージドサービスプロバイダー(MSP)は複数の会社にまたがるユーザーを管理しますが、会社オーナーは社内のユーザーを個別に管理します。 |
会社ユーザー | WXP では、ユーザーはエンタープライズ企業テナント内の個人であり、アクションを実行できるロールが割り当てられています。ユーザーは、次の方法で作成できます。
|
IT管理者 | IT 管理者ロールは、顧客または自己管理企業内のユーザーに割り当てられます。これにより、ユーザーはユーザーやデバイスの管理などの主要な管理タスクを実行できます。機能はMSPが利用できるロールと似ていますが、IT管理者のアクセスはMSPの会社に限定されています。 |
レポート管理者 | デフォルトでは、会社所有者はレポートにアクセスできます。また、すべての企業ユーザーにレポートアクセス権を付与することもできます。レポート管理者ロールは読み取り専用で、ユーザは WXP レポートの情報を表示できます。 |
コネクタ管理者 | この役割により、WXP 内の統合を安全にロールベースで管理できます。このロールは、サポートされているすべてのコネクターにわたる統合アクションへのアクセスを管理します。これにより、許可されたユーザーのみが統合ウィジェットと接続設定を構成および管理できるようになります。 |
主な機能
コネクタ管理者は、WXP 内で次のアクションを実行できます。
統合ウィジェットを構成および管理します。
ServiceNow、Teams、Graph API などのサードパーティ統合を接続および切断します。
関連する統合ドキュメントを表示してアクセスします。
次の図は、Insights の機能の概要を示しています。
HP Workforce Experience デバイス
WXP アーキテクチャは、攻撃者がデバイスを制御できないように設計されています。ハードウェアとオペレーティングシステムによっては、プロビジョニングプロセス中にデバイスソフトウェアをインストールする必要があります。
デバイスを追加するには、会社の IT 管理者またはマネージド サービス プロバイダー(MSP)が、割り当てられた会社の PIN を使用して WXP にデバイスを安全に登録する必要があります。登録中に、サーバーとデバイスの間で非対称キー交換が行われます。デバイスが識別されると、各デバイスは一意のキーペアを生成し、デバイスは 12 時間有効なアクセストークンを受け取ります。この期間が経過すると、デバイスは新しいアクセストークンの ID を証明する署名をサーバーに送信する必要があります。
企業の同意を得て、登録済みデバイスはテレメトリ データを毎日 WXP 分析パイプラインにアップロードします。また、一日中、WXPからコマンドや制御信号も受信します。すべての通信は、上記のアクセストークンによって保護されています。
WXP for Microsoft Windows® は、すべての通信にポート 443 経由で HTTPS/TLS 1.2 プロトコルを使用します。証明書をインストールしたり、Windows オペレーティング システム証明書ストアを変更したりすることはありません。
HP Workforce Experience Platform
WXP は、米国 (AWS-OR) と欧州連合 (AWS-DE) の 2 つの異なるリージョンの Amazon Web Services (AWS) でホストされています。
登録の国に応じて、会社のテナントは対応する地域のデータセンターに作成されます。IT 管理者は、デバイスの登録、認証、および通信のためのインターフェイスを提供する Web ブラウザを介して WXP にアクセスします。
次のセクションでは、セキュリティに関する設計上の決定について説明します。
アイデンティティ管理
現在、サポートされている ID プロバイダー (IdP) は、HP Common Identity System (HPID) と Microsoft Entra ID です。HP Common Identity Systemによって管理されるIDの場合、パスワードの品質は構成できず、パスワードポリシーはHP IDサインアップページによって設定されます。パスワードには 8 文字以上が含まれ、次の条件の 3 つ以上を含める必要があります。
大文字 1 文字
小文字 1 文字
番号
記号または特殊文字
Microsoft Entra ID によって管理される ID は、Entra ID アカウントの管理者によって設定されたポリシーに従います。これには、多要素認証、パスワードの複雑さなどが含まれますが、これらに限定されません。
セッション管理
ユーザーが持つことができる同時セッションの数に制限はありません。ただし、各セッションは 30 分間非アクティブになると自動的に終了します。デバイスの場合、セッションは 12 時間ごとに期限切れになり、自動的に更新されます。認証と承認は、OAuth 2.0プロトコルを使用して実装され、セッションベースのメカニズムを通じて管理されます。この機能では、JSON Web トークン (JWT) を使用します。各 WXP マイクロサービスは、署名の有効性とトークンの有効期限について JWT 検証を強制します。
認可
JWTトークンの検証に加えて、すべてのAPIに対してテナンシ・チェックが行われます。これにより、適切なテナント データが呼び出し元に渡されます。さらに、すべての重要な操作に対してロール チェックが行われます。
詳細については、「 Users and Roles 」セクションを参照してください。
マルチテナント
WXP は、クラウドベースのマルチテナント ソリューションです。テナント・データは、リレーショナル・データベースを使用して論理的に分離され、テナンシ資格チェックによって適用されます。各テナントは、データの分離とトレーサビリティを保証する汎用一意識別子 (UUID) に関連付けられています。
保存データ
デバイス、ユーザー、関連データなどの会社情報は、AWS Relational Database Service (RDS) MySQL データベースと MongoDB データストアに保存されます。AWS RDS MySQL データベースと MongoDB データストアの両方が暗号化されます。キーやトークンなどの機密フィールドも、AWS Key Management Service (KMS) を使用して暗号化されます。マスターキーは、HPのサイバーセキュリティガイドラインに従ってローテーションされます。
転送中のデータ
WXPとの間のすべての外部通信は、HTTPS/TLS1.2プロトコルを使用します。AWS Virtual Private Cloud (VPC) 内のサービスは、プレーンテキストを使用して通信します。
詳細については、「 Operational Security」 セクションを参照してください。
サードパーティ統合
WXP は、ServiceNow、PowerBI、Tableau、EntraID などのさまざまなサードパーティ サービスと統合されています。サーバー間通信は、パートナーのシステムが提供する認証方法を使用して HTTPS 経由で行われます。
サードパーティの統合の詳細については、HP サービス エキスパートにお問い合わせください。
ユーザー インターフェイス (UI) の検証
UI フィールドの検証は、WXP エージェントの入力フィールドを保護します。検証は、データ型 (文字列、日付/時刻、通貨など) とビジネスルール (必須フィールドや推奨フィールドなど) に基づいて適用されます。フィールドは、ユーザーの役割と許可された操作 (読み取り/書き込み) に基づいて保護することもできます。追加の検証は、スクリプト関数を使用して適用できます。
HP Workforce Experience Analytics Platform
WXP 分析プラットフォームは AWS でホストされており、WXP のデータ処理バックボーンとして機能します。分析プラットフォームのほとんどのコンポーネントは内部にあり、外部アクセスには公開されません。
データ収集
分析プラットフォームは、デバイスからデータを安全にアップロードするためのインターフェイスを提供します。認証された API ゲートウェイを使用してデータを受信します。このトランスポートモードでは、接続、コマンド、およびポリシーはデバイスに送信されず、デバイスから収集されることもないため、デバイスからクラウドへの一方向の通信が保証されます。
保存データ
非構造化保存データは AWS S3 に保持されます。ただし、構造化データは AWS RedShift に保存されます。構造化データと非構造化データの両方が分析プラットフォームで暗号化されます。
HP Workforce Experience 運用セキュリティ
このセクションでは、WXP がサービスレベルセキュリティを適用して、通信のさまざまなレイヤーでセキュリティを確保する方法について説明します。
データセンター
WXP は、Amazon Web Services (AWS)、具体的には Amazon Elastic Compute Cloud (Amazon EC2) によってホストされています。Amazon EC2 は、AWS クラウドでスケーラブルなコンピューティング能力を提供します。WXP は、米国オレゴン州 (AWS-OR) とドイツのフランクフルト (AWS-DE) にデータセンターを維持しています。ヨーロッパ諸国に所在するお客様のデータは、ドイツのデータ・センターでホストできます。他のすべての国の顧客のデータは、米国のデータ センターでホストできます。
1 つの顧客の「テナント」内のすべてのデータは 1 つのデータ センターでホストされますが、異なるビジネス ユニットのデータをホストするために異なるデータ センターに個別のテナントを持ちたいお客様は、このオプションを要求できます。WXP は、AWS を使用することで、信頼性の高い安全な方法で大規模なグローバル インフラストラクチャを提供してきた Amazon の 15 年以上の経験を活用します。詳細については、AWS インフォメーションポータル http://aws.amazon.com/ec2/ を参照してください。
物理層では、施設とネットワークを保護するために実施されている制御に対処することが重要です。顧客とデバイスのデータは、冗長性を提供するために地理的に分散された AWS データセンターに保存されます。AWS は、クラウド ホスティングのリーダーとして認められています。AWSと提携することで、WXPは、現在利用可能な最も柔軟で安全なクラウドコンピューティング環境の1つになるように設計されたクラウドインフラストラクチャを継承します。その主なセキュリティ特性には次のようなものがあります。
セキュリティを考慮した設計
AWS のクラウド インフラストラクチャは、最もセキュリティに敏感な顧客の要件を満たすように設計された AWS データセンターに収容されています。
AWS インフラストラクチャは、顧客のプライバシーとデータの分離を強力に保護しながら、高可用性を提供するように設計されています。
米国のアナリティクス管理データセンターに送信されるデバイス、アプリケーション、および位置情報のデータには、ユーザー名や電子メールアドレスは含まれません。代わりに、データはデバイスのシリアル番号とシステム生成の 識別子に関連付けられ、HP のデータ保護標準に従って保存時に暗号化されます。
WXP内のすべての構造化データと非構造化データは、HP のサイバーセキュリティガイドラインと一致して、AWS KMS などの AWS ネイティブ暗号化メカニズムを使用して保存時に暗号化されます。高度に自動化されています
AWS は、AWS 独自の環境と規模の要件に合わせて調整するために、ほとんどのセキュリティツールを意図的に構築しています。
これらのセキュリティ ツールは、データとアプリケーションを最大限に保護するように構築されています。これは、AWS セキュリティの専門家が日常的なタスクに費やす時間が減り、AWS クラウド環境のセキュリティを強化できる事前の対策により集中できることを意味します。
高可用性
AWS は、複数の地理的リージョンと各リージョン内の複数のアベイラビリティーゾーンにデータセンターを構築し、システム停止に対する最大限の回復力を提供します。
AWS は、大規模な中断が発生した場合に、残りのサイトへのトラフィックの負荷分散を可能にするのに十分な容量を確保するために、大幅な過剰帯域幅接続を備えたデータセンターを設計しています。
高い認定を受けています
認証とは、監査人が特定のセキュリティ制御が実施され、意図したとおりに動作していることを検証したことを意味します。
該当するコンプライアンスレポートを表示するには、AWS アカウント担当者に連絡して、特定の政府、業界、および企業のセキュリティ基準と規制を満たすことができます。
AWS は、AWS クラウドインフラストラクチャが、ISO 27001、SOC、ペイメントカード業界 (PCI) データセキュリティ規格、FedRAMP、オーストラリア信号局 (ASD) 情報セキュリティマニュアル、シンガポール多層クラウドセキュリティ規格 (MTCS SS 584) など、グローバルセキュリティ規格の広範な要件をどのように満たしているかを説明する認定レポートを提供します。
AWS が準拠するセキュリティ規制と標準の詳細については、「 AWS コンプライアンス」ウェブページを参照してください。
物理的および環境的セキュリティ、AWS アクセス、ネットワークセキュリティの詳細については、「セキュリティ、ID、コンプライアンスに関する AWS のベストプラクティス」を参照してください。
ネットワーク
ファイアウォールやその他の境界デバイスを含むネットワーク デバイスは、ネットワークの外部境界およびネットワーク内の主要な内部境界での通信を監視および制御するために配置されています。これらの境界デバイスは、ルール セット、アクセス制御リスト (ACL)、および構成を使用して、特定の情報システム サービスへの情報の流れを強制します。
ACL(トラフィックフローポリシー)は、各管理対象インターフェイスで確立され、トラフィックフローを強制します。ACLポリシーは、Amazon Information Securityによって承認されています。これらのポリシーは、AWS の ACL-Management ツールを使用して自動的にプッシュされ、これらのマネージドインターフェイスが最新の ACL を確実に適用できるようにします。
セキュリティ強化アクセスポイント
AWS は、インバウンドおよびアウトバウンド通信とネットワークトラフィックをより包括的に監視できるように、限られた数のアクセスポイントをクラウドに戦略的に配置しました。これらの顧客アクセスポイントは API エンドポイントと呼ばれ、AWS 内のストレージまたはコンピューティングインスタンスとの通信セッションを保護する HTTP アクセス (HTTPS) を許可します。さらに、AWS は、インターネットサービスプロバイダー (ISP) とのインターフェース通信の管理専用のネットワークデバイスを実装しました。AWS は、AWS ネットワークのインターネットに面する各エッジで、複数の通信サービスへの冗長接続を採用しています。すべての接続には、それぞれ専用のネットワーク デバイスがあります。
アプリケーション、ホスト、管理者のセキュリティ
論理層では、ホストシステム、それらのシステム上で実行されているアプリケーション、およびホストシステムおよび関連するアプリケーションを管理する管理者を保護するために、さまざまな制御が使用されます。
WXPおよび顧客データへのIT管理者のアクセスは制限されており、厳密に管理されています。タスクの実行に不可欠な個人のみが、適切な身元調査とアカウント管理要件を満たしている場合に限り、アクセスが許可されます。
データセキュリティ
WXP と交換されるデータは、業界標準の Secure Sockets Layer (SSL) プロトコルの最新形式である Transport Layer Security (TLS) v1.2 の AWS 実装を使用します。TLS は、サーバー認証、データ暗号化、およびデータ整合性を提供し、複数のレベルでデータを保護するのに役立ちます。TLS はアプリケーション層の下に実装されるため、ユーザーによる追加の手順や手順に依存しない受動的なセキュリティ メカニズムです。ユーザーが安全な通信に関する知識がほとんどまたはまったくない場合でも、アプリケーションは攻撃者からより適切に保護されます。
これらの機能は、偶発的な破損や悪意のある攻撃からデータを保護するのに役立ち、一般的な Web ベースの脅威を回避することを目的としています。クライアントとサーバー間のネットワーク通信のSSL暗号化に加えて、HPはサーバーデータベースに保存されるログと保存データを暗号化します。
WXP デバイスには、システム要件に記載されているオペレーティング システムとデバイス ソフトウェアが必要です。HP サービス エキスパートは、管理設定に基づいてデバイスにセキュリティ ポリシーを適用するのに役立ちますが、デバイスに WXP ソフトウェアを導入するための追加のセキュリティ要件はありません。従業員の電子メール アドレスやパスワードなどのログイン資格情報は、WXP にアクセスする場合にのみ必要です。
独立した検証
WXP では、次の 2 つの異なる脅威インテリジェンス モデリング手法が実行されます。
WXP は、リリースされるすべての新機能について、および既存の機能に対するすべてのマイナーな機能強化について、脅威インテリジェンス モデリングを定期的に実施します。新機能のソフトウェア開発を開始する前に、WXP は HP Cyber Security によるセキュリティ アーキテクチャ レビューも受けます。
実施された最小限のセキュリティテスト:
WXPの場合:
クロスサイトスクリプティング
フィッシング攻撃
認証トークンの盗用
入力ファジング
電子メールのなりすまし
SQL インジェクション
クロスサイト・リクエスト・フォージェリ (CSRF)
その他の一般的なWebの脆弱性
WXP クラウド サービスと分析インフラストラクチャ(マイクロサービスを含む)では、次の操作を行います。
認証と承認のためのインターフェーステスト
テナント ID を変更して、適切なデータが承認されたユーザーのみに送信されるようにする
SQL インジェクション
リモートコードインジェクション
DOS攻撃
入力ファジング
Windows などのオペレーティングシステム間での WXP Android、およびMAC:
インストールソースとアプリケーションの整合性、
権限昇格
MITM 攻撃
入力ファジング
データ整合性チェックによるコマンド検証
証明書ストア中毒
認証の破損
セキュリティ構成など
WXP開発チームは、安全なソフトウェア開発プロセスに従います。これには、セキュリティ、脅威モデリング、分析に焦点を当てた通常のアーキテクチャとコードレビューに加えて、セキュリティレビューが含まれます。さらに、WXP チームは、Nessus エージェントなどのツールを使用して、定期的なインフラストラクチャ スキャンと緩和も実行します。これらはすべて、WXPにISO 27001認証を付与する際に、Coalfireによって独立して監査されています。
HPのSecurity by Designフレームワークの一環として、WXPは、主要なシステム[IS1]の変更と新機能について、HP Cybersecurityによって実施された継続的な内部侵入テストを受けています。
さらに、外部侵入テストは、独立したサードパーティのセキュリティ会社によって毎年実施されます。これらの評価の範囲には、インターネットに接続するすべてのコンポーネント、WXP エージェント、および関連するクラウド インフラストラクチャ コンポーネントが含まれます。
HPコンプライアンスおよびセキュリティフレームワーク
WXPは、堅牢で認定された情報セキュリティおよびリスク管理プログラムを実装することにより、お客様に対するHPのコミットメントを示しています。すべてのセキュリティコンプライアンスフレームワークの中核となるのは、顧客データの保護であり、顧客はそれをHPに委託しています。WXP は戦略的方向性の一環として、このデータを保護するための適切な手順とセキュリティ ツールの実装を保証します。
世界的に認められた業界認定を通じて、専有情報、運用情報、一般情報、個人情報を含むすべての顧客データが厳密にレビューされ、WXPのセキュリティ管理が確立されたコンプライアンスフレームワークと一致していることが確認されます。
ISO 27001:2022認証
情報システムとビジネスクリティカルな情報のセキュリティには、継続的な測定と管理が必要です。ISO 27001:2022 認証は、独立監査人 Coalfire によって発行され、運用継続性とデータ保護を提供するという HP の取り組みを証明するものです。
国際標準化機構 (ISO) は、製品、サービス、およびシステムに関する国際的に認められたいくつかの標準の開発を担当しています。ISO 27001:2022認証は、認定された認証機関による外部監査の完了時に授与され、資産ベース(情報、プロセス、人材、テクノロジー)です。HP は、マネージド プリント サービスとパーソナル システム サービスの両方について、リモート監視および管理サービス環境全体で ISO 認証を取得しています。
ISO 27001 は、組織のコンテキスト内で情報セキュリティ管理システム (ISMS) を確立、実装、維持、および継続的に改善するための要件を指定しています。ISMSは、機密性、完全性、可用性の原則に従って情報が安全に保たれるように、企業の機密情報を管理するための体系的なアプローチです。このアプローチには、人、プロセス、IT システムが含まれており、実装と認証パスを定義するいくつかのサポート ドキュメントとガイドラインで構成されています。
ISO 27001:2022 認証には次の内容が含まれます。
情報セキュリティポリシー
運用セキュリティ
情報セキュリティの組織
通信セキュリティ
人事セキュリティ
システムの取得・開発・保守
資産管理
サプライヤーとの関係
アクセス制御
情報セキュリティインシデント管理
暗号化手法
事業継続管理における情報セキュリティの側面
物理的および環境的セキュリティ
コンプライアンス
HP は ISO 認証を拡張して、次のものを含めました。
ISO 27701:2019(個人情報管理システムPIMS)
ISO 27017:2015 (クラウドサービス情報セキュリティ管理)
ISO 27701:2019認証
継続的な監視にWXPを使用しているお客様やパートナーは、クラウドサービスプロバイダーを使用する際にデータが保護されているという保証を求めています。ISO 27017:2015 は、特にクラウド サービスの顧客とプロバイダー向けに、情報セキュリティ管理に関する業界で認められた標準を定義しています。
SOC 2 タイプ 2
SOC2 認証により、WXP がセキュリティ、機密性、プライバシー、可用性に関して世界的に認められた標準に従っているという保証が顧客に提供されます。SOC 2は、HPがクライアントの個人データを反復可能かつ継続的な取り組みで管理、保存、処理する方法について、お客様とパートナーに検証を提供します。顧客は、リスクに対する許容度をサポートするための追加のフレームワークを求めています。HP は、将来に向けて改善を継続し、顧客の需要を満たすために、毎年 SOC 2 認証の取得を開始しました。
HP セキュア ソフトウェア開発ライフサイクル (SSDL)
アプリケーションセキュリティに対する業界のアプローチは通常、事後対応的であり、業界のアプローチは品質分野からの教訓を適用できていませんでした。一般的なアプローチは、次の 2 つです。
砂に頭を埋める: これは、事後対応型のセキュリティパッチが適用されるのが特徴です。このアプローチは、脆弱性の発生を回避または最小限に抑えるための作業がほとんどない CVE (Common Vulnerabilities and Exposures) に依存しています。これは、セキュリティ関連の規制負担が最小限に抑えられている業界セグメントで最もよく見られます。
セキュリティのテスト: これは、アプリケーションに設計された回復性の欠如によって顕著です。代わりに、セキュリティパッチ適用と組み合わせて、テスト中に脆弱性を見つけて修正する努力が払われます。このアプローチは、公共部門、セキュリティ規制産業、およびヘルスケアでより一般的に見られます。これらのセグメントは、米国の連邦情報セキュリティ管理法 (FISMA)、ペイメント カード業界データ セキュリティ標準 (PCI-DSS)、医療情報の相互運用性と説明責任に関する法律 (HIPAA)、経済および臨床医療のための医療情報技術 (HITECH) などの規制への準拠を示す必要があります。ただし、品質属性としてのセキュリティは、半世紀前に品質分野が学んだのと同じ方法で、ライフサイクルのあらゆる段階に適用する必要があります。
主要なテナントには、次のものが含まれます。
品質はテストできません。設計、組み込み、テストする必要があります。
セキュリティの欠陥と脆弱性は、コストの観点から、ライフサイクルの遅いうちに発見する必要があります。
HP はソフトウェア セキュリティを非常に重視しており、HP は Secure Software Development Lifecycle (SSDL) を採用しています。SSDL プロセスには、次のようないくつかの目標が関連付けられています。
安全なソフトウェアアーキテクチャによるサイバー攻撃対象領域の削減
コードによる脆弱性の最小化
顧客データと ID のプライバシーとセキュリティを保護
HPは、SSDLプロセスに特定のセキュリティ関連手順を組み込み、セキュリティプロセスが正常に完了したことを確認するためのマイルストーンレビューを実行し、ソフトウェアアーキテクト、開発者、テストエンジニア、プログラムマネージャー、およびそのリーダーシップチームに継続的なセキュリティトレーニングを提供します。
SSDL プロセスの 7 つの段階を以下に定義します。
トレーニング (ステージ 1) – SSDL プロセス、セキュリティ強化設計、脅威モデリング、セキュアコーディングをカバーする正式なコース。
要件 (ステージ 2) – 機能ごとのセキュリティ リスク評価を含む、ソフトウェア プロジェクトの開始時にセキュリティを計画します。
設計 (ステージ 3) – セキュリティ アーキテクチャの定義と文書化。重要なセキュリティコンポーネントの特定。
実装 (ステージ 4) – 設計された保護スキームと緩和アプローチを実行し、ピア コード レビューと検証を行います。
検証 (ステージ 5) – 動的コード分析、ファジー テスト (ファジング)、および攻撃対象領域のレビューを実行します。
リリース (ステージ 6) – SSDL 要件が満たされており、既知の脆弱性が存在しないことを確認します。
応答 (ステージ 7) – リリース ステージで概説された応答タスクを実行します。
データ収集
WXPによって収集されるデータの種類は、顧客によって直接提供されるか、クラウドベースのWXPから自動的に収集されます。デバイスからのデータは、デバイスにインストールされている WXP エージェントを使用して収集されます。WXPは、コントラクトサービスを実行するために次のデータを収集します。
データ収集の目的 | 収集されるデータ | 収集されるデータの説明 |
アカウント管理 | アカウントデータ | WXPサービスへの顧客の購入またはサインアップに関連する情報、WXPによって生成されたインシデントに関するサポート履歴、およびアカウント管理などのトランザクションサービスを実行するためのWXPアカウントに関連するその他の情報。 |
WXP とサービスが正しく動作することを確認する | アプリケーションデータ | 各管理対象デバイス上の WXP エージェントのバージョン番号、インストールステータス、および更新履歴が含まれます。 |
アカウント設定、ID管理、 エンタイトルメントの検証 | 連絡先データ | WXPの顧客アカウントの設定と検証、サービスの権利、およびインシデントとサービスに関連する電子メール通知に使用される、名、姓、郵送先住所、電話番号、ファックス番号、電子メールアドレス、およびその他の同様の連絡先の詳細を含む、個人および/またはビジネス上の連絡先データ。 |
プロアクティブなITサービスの保守と管理、および顧客中心のレポート/ダッシュボードを提供 | デバイスデータ | デバイス名、オペレーティングシステム、メモリ容量、デバイスの種類、ディスクサイズ、地域設定、言語設定、タイムゾーン設定、モデル番号、初期開始日、デバイスの使用年数、デバイスの製造日、ブラウザのバージョン、デバイスの製造元、保証ステータス、一意のデバイス識別子、およびモデルによって異なる追加の技術情報などの基本的なデバイス情報。 BIOS、ディスプレイ、GPU、ストレージ、システムスロット、メモリ、リアルタイムクロック、システムのハードウェア使用率データ(CPU、GPU、メモリ、ディスクI/O)、ドライバー、発熱、ファン、PnPデバイス、RPOS周辺機器、HP Sure Recover設定、HP診断テスト、ドッキングステーション(HPのみ)、ドッキングステーションに接続されている周辺機器、バッテリーの状態、電源構成と状態、システムスリープ診断、 プライマリ/外部ディスクの属性、ディスク使用率、Intel プラットフォーム サービス レコード (Intel vPro が必要)、システム消費電力、PCM によるシステム電力消費 (HP ビジネス PC G11 以降が必要)、メモリ上の Intel SoC マージン (HP ビジネス PC G12 以降のみ)、およびラップトップのキーボードの状態 (HP ビジネス PC G12 以降のみ) インストールされているアプリケーションのリスト、アプリケーションの実行時間、アプリケーションエラー、アプリケーション別のハードウェア使用率データ(CPUおよびメモリ)など、デバイスにインストールされているソフトウェアアプリケーション。
WXPの[ 設定 ]ページで事前設定されたURLのみのページ訪問数、ページ読み込み時間、ページ読み込みエラーなど、ブラウザ上のWebアプリケーション。デフォルトでは、Web アプリケーションのデータ収集は無効になっていますが、[WXP > 設定 ] ページで有効にできます。WXP は、ブラウザ上の Web アプリケーションからコンテンツをスキャンまたは収集しません。 OSイベント、Windowsアップデートの欠落、プロセスとサービスの監視、起動/スリープ/休止状態/シャットダウン時間、デバイスの使用時間、デバイスのログオン時間、フル起動と高速起動時間、最終再起動日、システムクラッシュ(Windows OSでのブルースクリーンクラッシュなど)などのオペレーティングシステムが生成したデバイスの情報。注:デフォルトでは、システムクラッシュのクラッシュダンプ収集は無効になっています。 ただし、WXP設定ページで有効にすることができます。 ネットワークインターフェース、MACアドレス、IPアドレス、SSID、信号強度、接続速度、ネットワーク認証設定、ネットワークエラー、ネットワーク消費量、ネットワーク使用率、パケットロス、ジッター、プロセス別の遅延、ネットワーク接続と切断などのネットワーク情報。
トラステッド プラットフォーム モジュール (TPM)、ウイルス対策の状態、ファイアウォールの状態、BitLocker 暗号化の状態、セキュア ブートの状態などのセキュリティ情報。 最後にサインインしたユーザー情報や Active Directory に参加したユーザーの情報など、デバイスを WXP に登録する顧客のユーザーのユーザー情報。
デバイスのライブ位置情報や資産の場所などのデバイスの位置情報 (デバイスが属する場所を示すためにユーザーが設定します)。注:デフォルトでは、デバイスのロケーションのデータ収集は無効になっていますが、WXP設定ページで有効にすることができます。 |
HPを使用するアカウントおよびサービスへのユーザーアクセスの認証と承認 | セキュリティ資格情報 | WXP クラウドベースのポータル アカウントおよびサービスへのアクセスをユーザに許可するための認証に必要なユーザ パスワード、パスワード ヒント、および同様のセキュリティ情報。(HP ID使用の場合のみ) |
データグループ化
WXP 1 によって収集されるデバイス データには、次のグループが含まれます。
データグループ | 形容 |
ハードウェア | バッテリー、BIOS、ディスク、ディスプレイ/モニター、グラフィックス、インベントリ、メモリ、ネットワークインターフェイス、プラグアンドプレイ(PnP)、プロセッサ、システムクロック、システムスロット、熱およびシステムパフォーマンスデータが含まれます。 |
ソフトウェアアプリケーション | コンプライアンス、エラー、インベントリ、パフォーマンス、使用率、Webアプリケーション使用率データが含まれます。 |
安全 | 非報告デバイス、オペレーティング システムのパッチ検出/管理、デバイスの場所、デバイス アラーム、ロックとワイプ、セキュリティ ポリシー設定、セキュリティ ポリシーの適用、セキュリティの脅威、ストレージの暗号化、ユーザー セキュリティ設定、Wi-Fi プロビジョニング、Windows Information Protection 違反データを含む |
Windows イベント ログ | Windows イベント ログは、管理者がシステムの問題を診断し、将来の問題を予測するために使用する、 Windows オペレーティング システム によって保存されるシステム、セキュリティ、およびアプリケーションの通知の詳細な記録を提供します。 |
HP保証およびケアパック | HP ケアパックは、標準保証の有効期限が切れた後の製品を対象とする、HP コンピューターまたはプリンターの延長保証です。 |
WXPが収集するユーザーデータには、次のものが含まれます。
ユーザーの電子メールアドレス
最終ログオン ユーザー アカウント
WXP は、次のタイプのデータを収集しません。
人口統計情報(国または言語の設定を除く)
金融口座情報、クレジットカード番号またはデビットカード番号、信用記録、または支払いデータ
ソーシャルメディア
政府発行の識別子(社会保障番号、社会保険番号、政府発行の身分証明書など)
健康情報
民族的出身、政治的信条、労働組合への加入、健康データ、性的指向、遺伝データなどの機密データ
データプライバシー
HP には、プライバシーとデータ保護において業界をリードしてきた長年の歴史があります。当社は、当社の堅牢な製品とサービスのポートフォリオとともに、個人データ保護におけるお客様とパートナーの取り組みをサポートします。WXP分析に関しては、HPはデータ処理者として機能します。HP Privacy Central のデータ処理者のセクションを参照してください。グローバル企業として、お客様が提供する情報は、HPプライバシーステートメントに従って、および「国際データ転送」セクションに記載されている国際プライバシープログラムに基づいて、世界中のHP事業体に転送されたり、HP事業体によってアクセスされたりする可能性があります。
データプライバシーは、世界各国の HPプライバシーポリシー に準拠しています。このポリシーは定期的に更新され、次のトピックをカバーしています。
当社のプライバシー原則
国際データ転送(EU-米国間のプライバシーシールド情報を含む)
データの使用方法
収集するデータ
子供のプライバシー
お客様のデータを安全に保持および維持する方法
データの共有方法
HPコミュニケーションズ
お客様の権利の行使とお問い合わせ
プライバシーに関する声明の変更
データ保持
データ保持はコンプライアンスプログラムの重要な部分であり、データの適切な管理を実現するために必要です。HPのデータ保持ポリシーには、次のデータ保持のベストプラクティスが組み込まれています。
必要期間よりも短い期間データを保持すると、契約上または法的要件に違反したり、セキュリティに影響を与えたりする可能性があります。
必要以上に長期間データを保持することは、プライバシー規制に違反する可能性があり、顧客の最大の懸念事項であり、販売に関する問い合わせです。
データが削除されると、顧客や法執行機関に提供する義務はありません。
米国およびドイツの地域データセンターのすべてのデータは、お客様がWXPから非アクティブ化されてから30日以内に完全に削除されます。
U.S. Analytics データセンターのデータは、データ作成日から 2 年後、または構造化ストレージと非構造化ストレージの両方で WXP からお客様が非アクティブ化されてから 30 日以内に完全に削除されます。WXP アプリケーションの分析パッケージは、多くの HP アプリケーション間で単一の共有パッケージであるため、同じ顧客が他の HP アプリケーションに登録されている可能性があるため、顧客が WXP から非アクティブ化された場合、米国の分析データセンターのデータが完全に削除されることはありません。データ作成のデータから3年後に削除されました。
注: 米国アナリティクス データセンターに送信されるテレメトリ データは、デバイスのシリアル番号とシステム生成 ID にリンクされます。このデータは保存時に暗号化され、HP のデータ保護およびセキュリティ標準に従って処理されます。.
データストレージ
WXPのデータストレージは、有料加入者のユーザーおよびデバイス情報に限定されます。
個人データを格納する米国およびドイツの地域データセンター内のすべてのデータベースは暗号化されます。
個人データを格納する米国の ID 管理データセンター内のすべてのデータベースは暗号化されます。
米国のアナリティクスデータセンター内のすべてのデータベースと非構造化ストレージは暗号化されます。
次のデータ型は、さまざまなデータセンターで送信および保存されます。
データカテゴリ | 米国地域 データセンター1 | ドイツ地域 データセンター2 | 米国の分析 データセンター3 | 米国のID管理データ センター3 |
アカウントデータ | はい | はい | いいえ | いいえ |
アプリケーションデータ | はい | はい | はい | いいえ |
連絡先データ | はい | はい | いいえ | はい(HP IDを使用している場合) |
デバイスデータ | はい | はい | はい | いいえ |
位置データ | はい | はい | はい | いいえ |
セキュリティ資格情報データ | いいえ | いいえ | いいえ | はい(HP IDを使用している場合) |
ヨーロッパ以外のお客様向け
ヨーロッパを拠点とするお客様向け
すべてのお客様へ
サービスの監視とレポート
WXP は、最新の機能とアップデートをお客様に提供するために、サービスのアップデートを定期的に提供しています。また、WXP は、スケジュールされた更新またはスケジュール外の更新とサービスの変更のさまざまな方法を通じて顧客に通知します。サービスメンテナンスなどの計画されたサービス中断イベントについては、8時間前にお客様に通知されます。
最適なサービスを提供するために、HP は継続的なサービスの監視とレポートを実施しています。
サービス監視
WXP とエージェントは、信頼性とパフォーマンスのために 24 時間 7 日 365 日で監視されます。さらに、ネットワークのパフォーマンスと可用性の監視は継続的に行われます。すべての監視ツールは、問題、警告、および問題をサービス エンジニアに直接ルーティングします。例外は、確認が必要な優先度の高い作業項目として内部チケット発行システムに自動的に発生します。
しきい値を超えると、次の自動エスカレーション プロセスが発生します。
電子メールアラートは、対応するオンコールサポートエンジニアに送信されます
オンコールのエンジニアのモバイルデバイスにプッシュ通知が送信されます
運用チーム配布リストに電子メールが送信されます
WXP は、次のようなさまざまな監視ツールを利用します。
New Relic: システムのさまざまなコンポーネントを監視し、さらに重要なことに、ボトルネックが発生したときにボトルネックを特定してデバッグするのに役立ちます。ほとんどのアプリケーション/サービスはSplunk用にインストルメント化されているため、継続的なデータ収集とほぼリアルタイムのパフォーマンス指標が提供されています。
Amazon CloudWatch: プロビジョニング、サービス障害、しきい値の達成 (メモリ消費など) に関連するイベントをモニタリングします。インシデントはレビューおよび分類され、最も重要な問題領域が特定されます。優先度に基づいて、アクションがすぐに実行されるか、後での開発のために実行されるようにスケジュールされます。事後のサービス品質 (QoS) 会議が開催され、調査結果を確認し、根本原因を特定し、改善のための変更を実装します。
結論
HPは、脅威の状況が急速に変化していることを認識しています。サイバー攻撃の進化は、1990年代後半のファイル削除とWebサイトの改ざんから始まり、その後、盗まれた認証情報とランサムウェアによる収益化の段階に移行しました。最近では、非常に十分な資金を持った国民国家によって攻撃が行われており、送電網をダウンさせ、何万台ものコンピューターやモバイルデバイスを動作不能にすることを意図しています。
これらのリスクに対処することは、HPが40年以上前に着手した使命です。セキュリティ脅威の検出と保護における HP のイノベーションの伝統と、セキュリティに重点を置いた継続的な投資は、WXP などのアプリケーションの設計に情報を提供します。その結果、アプリケーション、物理データセンター、エンドユーザーアクセスにまたがる統合セキュリティプラットフォーム上に構築された安全なクラウドベースのIT管理ソリューションが実現します。
組み込みのセキュリティ機能を備えた WXP は、HP Proactive Insights、HP Active Care、および WXP を活用したその他のサービスを通じて利用でき、 複数の堅牢なセキュリティ層を通じてデバイス、データ、ユーザーの日常管理を簡素化する信頼できるツールを組織に提供します。