セキュアな開発

すべての新採用の EcoStruxure IT ソフトウェア開発者は、入社時とその後1年ごとに実施される必須のセキュリティトレーニングに参加します。さらに、ホワイトハットハッカーのトレーニングを受講して、倫理的ハッカーの認定を受けることもできます。

EcoStruxure IT プラットフォームに何らかの変更が加えられた場合は、コードの品質、セキュリティ、およびパフォーマンスを確認するために、コードおよびインフラストラクチャの変更を少なくとも 1 人の他のエンジニアが精査する査読が義務付けられています。

すべての変更は、履歴、トレーサビリティ、および監査トラッキングを確実にするために、バージョン管理システム（GIT）を使用して監視されます。

EcoStruxure IT のテスト環境は、本番環境から物理的に隔離されています。

アプリケーションの脆弱性

Schneider Electric は、複数のサードパーティー製セキュリティツールを使用して、EcoStruxure IT プラットフォームの脆弱性を継続的にダイナミックスキャンしています。Schneider Electric は、結果を処理し、エンジニアリング チームと協力して問題を修正するために、専心的なセキュリティ チームを維持しています。

ソースコードへのすべての変更は、バグ、セキュリティ、ライセンスの問題がないか、静的解析ツールを使って継続的にスキャンされます。EcoStruxure IT の規格を満たさないソースコードの変更は、改善のために開発チームに戻されます。

Schneider Electric では、EcoStruxure ITのすべてのコンポーネント（ゲートウェイ、モバイル、ウェブアプリ）に対して詳細なペネトレーションテストを実施するために、サードパーティー公認のハッカーを交代で継続的に雇用しています。新機能がリリースされると、ミッションステートメントがセキュリティ専門家に渡され、機能のセキュリティを検証します。 弊社のセキュリティ テスト レポート共有ポリシーについてはこちらをご覧ください。

Schneider Electric 企業製品サイバーインシデント緊急対応チーム (CPCERT) は、効率的なインシデントレスポンスを確保するために、脆弱性管理プロセスを規定しています。

インシデントを報告するには、 最寄りのカスタマーケアセンターにご連絡ください.

研究者の方は、サイバーセキュリティの脆弱性を報告してください (こちらから)。

すべての脆弱性の開示は、Schneider Electric サイバーセキュリティ・サポートポータルで報告されます。

業界のベストプラクティスに従って、弊社はすべてのユーザー入力の出力サニタイズに厳格な手順を採用しています。これは、静的コード解析や、よく知られ、試行錯誤されたサードパーティーのフレームワークを使って実施されています。

認証セキュリティ

EcoStruxure IT のパスワードポリシーでは、次のことが求められています。

• 最低 8 文字の長さ
• 次の 4 種類の文字のうち、最低 3 つの文字
• 小文字 (a-z)、
• 大文字 (A-Z)、
• 数字 (例: 0-9)、
• 特殊文字 (例: !@#$%^&* )
• 同一の文字を2つ以上並べないこと（例：「aaa」は不可）

EcoStruxure ITは、10,000の最も一般的なパスワードの1つではなく、また、あなたの電子メールアドレスの最初の部分ではない限り、あなたのパスワードを検証します。

NIST および英国の国家サイバーセキュリティセンターが推奨するパスワードポリシーによると、あなたのパスワードは期限切れにはなりませんので、ご留意ください。

多要素認証は、EcoStruxure IT アカウントに別のセキュリティ層を提供し、他の人があなたとしてサインインすることをより困難にします。多要素認証は、お客様、パートナー、Schneider Electric の社員のいずれであっても、EcoStruxure ITへのすべてのログインでオンになっています。Schneider Electric は、第二要素認証のために EcoStruxure IT アプリまたはサードパーティーの認証アプリを使用することをお勧めします。最後の手段として、短命のワンタイム SMS トークンを使用することは可能ですが、これは推奨できません。

Schneider Electric は、EcoStruxure IT のパスワードをクリアテキスト形式では決して保存せず、bcryptによるセキュアなソルト化したハッシュの結果としてのみ保存することで、セキュアなクレデンシャル・ストレージのベストプラクティスに従っています。パスワードは内部プラットフォームから切り離され、認証管理の専門家が推奨するソリューションである Auth0 を使用して保存されます。

Schneider Electric は、EcoStruxure IT のブルートフォース攻撃対策を実施しています。同じ IP アドレスから10回以上間違ったパスワードを入力すると、お客様のアカウントへのログインがブロックされます。次いで、EcoStruxure IT からメールで IP アドレスのブロック解除方法が送られてきます。

Schneider Electric では、レート制限も実施しています。正しい認証情報を持っているにもかかわらず、同じ場所から同じユーザーとして1分間に20回ログインしようとすると、レート制限が適用されます。その次には、1 分間に 10 回までしかログインできません。

ゲートウェイ・セキュリティ

Schneider Electric は、お客様のサイトを離れる前からでも、お客様のデータをセキュアかつプライベートに保つことを注力しています。EcoStruxure IT ゲートウェイから弊社のクラウドへのすべての接続は、業界標準の 2048 ビット RSA 証明書を使って検証され、データは 256 ビットの AES 暗号化を使用して転送中に暗号化されます。お客様のサイトのセキュリティを損なわないように、EcoStruxure IT ゲートウェイはポート 443 経由のアウトバウンド接続を使用し、40.84.62.190、23.99.90.28、52.230.227.202、52.177.161.233、および 52.154.163.222 を使用して EcoStruxure IT クラウドとのみ通信します。

EcoStruxure IT がアウトバウンド専用接続 (片方向通信) 経由でお客様のインフラストラクチャにアップデートを適用する方法について、詳しくはこちらから。

ゲートウェイから送られてくるすべてのリクエストは、インストール時に作成・保存した固有の秘密鍵を使って署名されているため、ゲートウェイのなりすましは不可能になっています。

EcoStruxure ITゲートウェイには、自動更新機能が搭載されており、ソフトウェアのセキュリティパッチが自動的に適用され、ゲートウェイは常に最新の状態に保たれます。更新中も、センサーデータやアラームのクラウドへの通信は継続されるため、ダウンタイムを最小限に抑えることができます。

Schneider Electric のプライバシーについての詳細。

 一般データ保護規則 （以下、「GDPR」）は、個人データの処理とそのデータの自由な移動について規定しています。その目的は、EUにおける個人データのセキュリティと保護を強化し、EUのデータ保護法を調和させることにあります。

Schneider Electric は、GDPR の下での義務を遵守することに注力しています。Schneider Electric は、個人情報を第三者のデータ処理業者と必要に応じて共有しています。

どのような個人データが下位処理業者および下請け業者と共有されるかについて、詳細をご覧ください。

Schneider Electric は、お客様が弊社との共有を選択した、重要なインフラ機器からのセンサーデータとアラームを収集します。Schneider Electric が収集するのは、お客様の機器の性能に関するデータ、および機器の設置場所や年数などのメタデータのみです。

ストレージに保存される前に、お客様のデータはお客様のものとしてタグ付けされます。お客様のデータは、他のお客様のデータとは固有の識別子で分離され、システムはこの識別子を使ってデータの適切な照合を行います。さらに、クラウドエンジンは、受信したデータとデータ処理の完全な監査証跡を保持しているため、いつでも段階をさかのぼり、お客様のデータがどこにあって何に使用されたかを確認することができます。

EcoStruxure IT は、お客様のサーバーやストレージに保存されたデータにアクセスしたり、お客様のネットワークを通過するトラフィックを監視したりすることはありません。データは米国の Microsoft Azureに保存されています。

Schneider Electric は、お客様が弊社との共有を選択した、重要なインフラ機器からのセンサーデータとアラームを収集します。Schneider Electric が収集するのは、お客様の機器の性能に関するデータ、および機器の設置場所や年数などのメタデータのみです。

ストレージに保存される前に、お客様のデータはお客様のものとしてタグ付けされます。お客様のデータは、他のお客様のデータとは固有の識別子で分離され、システムはこの識別子を使ってデータの適切な照合を行います。さらに、クラウドエンジンは、受信したデータとデータ処理の完全な監査証跡を保持しているため、いつでも段階をさかのぼり、お客様のデータがどこにあって何に使用されたかを確認することができます。

EcoStruxure IT は、お客様のサーバーやストレージに保存されたデータにアクセスしたり、お客様のネットワークを通過するトラフィックを監視したりすることはありません。データは米国の Microsoft Azureに保存されています。

EcoStruxure ITのアカウントを無効にすると、弊社のシステムは自動的にお客様の個人データを削除します。

物理的なセキュリティ

EcoStruxure IT サーバーは、ISO 27001、HIPAA、FedRAMP、SOC 1、SOC 2の認証を受けた Microsoft Azure Cloud 上で米国においてホストされています。 Microsoft Azure の施設、敷地、物理的セキュリティについてはこちらをご覧ください。

ネットワークセキュリティ

EcoStruxure IT プロダクション・ネットワークへのアクセスは、明示的な知る必要に応じて制限され、最小の特権を利用し、監視され、弊社の運用チームによって管理されています。EcoStruxure IT プロダクション・ネットワークにアクセスする従業員は、複数の認証要素を使用する必要があります。

EcoStruxure IT は Microsoft Azure 上で実行されているため、Schneider Electric は Azure の常時オン・トラフィック監視機能を活用し、一般的なネットワークレベルの攻撃をリアルタイムに軽減することで、Microsoft のオンラインサービスで利用されているのと同じ防御策を提供しています。

Schneider Electric は、EcoStruxure IT プラットフォーム全体の詳細なペネトレーションテストを実施するために、交代でサードパーティー公認のハッカーを継続的に雇用しています。 弊社のセキュリティ テスト レポート共有ポリシーについてはこちらをご覧ください。

EcoStruxure IT は、サイバーセキュリティとデータプライバシーに対して極めて高い基準を持つコアな DevOps チームによって維持および運営されています。EcoStruxure IT システムのすべての部分は、潜在的なセキュリティの脆弱性やプライバシーの問題がないかどうか、継続的に監視され、スキャンされています。DevOps チームは24時間体制で待機しており、新たに発見された脅威や問題に迅速に対応することができます。

暗号化

EcoStruxure IT クラウドへのすべての接続は、業界標準の2048ビット RSA 証明書を使用して検証され、データは256ビット AES 暗号化を使用して転送中暗号化されます。7.0より前の Android バージョンについては、Android プラットフォームの制限により、Schneider Electric は128ビット AES 暗号化のみを保証します。

EcoStruxure IT データは、256ビット AES 暗号化を使用して暗号化されています。

可用性と継続性

EcoStruxure IT は、システムの可用性の詳細、定期的なメンテナンス、サービスインシデントの履歴、および関連するセキュリティイベントを含む、公開されたシステムステータスのウェブページ を保守管理しています。

EcoStruxure IT プラットフォームのすべてのコンポーネントは、単一障害点をなくすために高可用性構成で配置されています。すべてのデータは別のストレージにバックアップされ、データの損失を防ぎます。