Security Compliance Practice Overview

Explore Alibaba Cloud's internal security compliance practices. Learn how we implement stringent controls to maintain a secure, reliable, and compliant cloud environment while adhering to global standards.

Risk Assessment Guide for Adopting Alibaba Cloud

Risk Assessment and Shared Security Responsibility at Alibaba Cloud

Alibaba Cloud recognizes the importance of risk assessment for customers when adopting cloud solutions to host their business systems and data. A well-defined risk assessment process ensures that potential security risks are identified and controlled within an acceptable threshold. This section provides guidance to help customers effectively conduct risk assessments through Alibaba Cloud’s security framework.

Cloud Shared Security Responsibility

Alibaba Cloud follows the shared responsibility model, where security responsibilities between Alibaba Cloud and customers vary based on the type of cloud service selected:

IaaS (Infrastructure as a Service)

â Alibaba Cloud の責任範囲:物理データセンター、ネットワークインフラ、クラウドプラットフォームのセキュリティ確保、およびグローバル規制への準拠。
â お客様の責任範囲:クラウド上でホストされる自社構築アプリケーション、ワークロード、ビジネスデータおよびユーザーデータのセキュリティ確保。継続的なセキュリティ運用の実施。

PaaS (Platform as a Service)

● Alibaba Cloud の責任:IaaS の責任に加え、仮想マシンのセキュリティ確保、アプリケーションセキュリティの共有責任、サードパーティセキュリティソリューションの統合を担います。
● お客様の責任:アプリケーションコード、データ、クラウドアカウント管理、アクセス制御の設定を保護します。クラウドアプリケーション開発におけるセキュリティのベストプラクティスを実装します。

SaaS (Software as a Service)

â Alibaba Cloud の責任:アプリケーションセキュリティ、クラウドホスト型サービスのセキュリティ、ネットワークアクセスポリシーの確保。
â お客様の責任:アカウント認証情報、ユーザーアクセスポリシー、データセキュリティ設定の保護。

Customer Guidance on Risk Assessment

セキュリティリスクを効果的に管理するため、お客様は以下の点に留意してください。

1. IaaS、PaaS、SaaS の選定時に、セキュリティ責任の分担を理解すること。

2. Alibaba Cloud のセキュリティ機能を活用し、リスク軽減戦略を強化すること。

3. セキュリティを考慮したクラウドアーキテクチャを設計し、ベストプラクティスやコンプライアンス要件への準拠を確保すること。

Alibaba Cloud provides a comprehensive suite of security tools and services to help customers implement secure cloud environments. Customers should proactively configure and utilize these security features to strengthen their cloud security posture.

Verifying Security Controls through Compliance Certifications

Alibaba Cloud maintains a continuous compliance program to ensure adherence to international, regional, and industry security standards. Our security and compliance certifications include:

◗ ISO 27001 (情報セキュリティマネジメント)
◗ SOC 1/SOC 2/SOC 3 レポート
◗ その他のグローバルおよび業界固有のセキュリティ認証

Accessing Compliance Reports

â NDA (秘密保持契約) を締結後、Alibaba Cloud Trust Center からセキュリティコンプライアンスレポートをダウンロードできます。
â これらのレポートは独立した外部監査人が発行したもので、Alibaba Cloud のセキュリティの有効性と管理メカニズムを評価しています。
â これらの監査レポートを確認することで、Alibaba Cloud のセキュリティに対するコミットメントを検証し、社内のリスクアセスメントフレームワークとの整合性を確保できます。

Risk Management

Risk Management at Alibaba Cloud

Alibaba Cloud operates a comprehensive risk management framework designed to ensure the secure operation and sustainable development of our business. By integrating strategic risk identification, assessment, and mitigation processes, we enhance our ability to proactively manage potential threats while maintaining compliance with regulatory standards. Our risk governance framework aligns with international best practices, ensuring business continuity, regulatory compliance, and operational excellence.

Risk Management Approach

Alibaba Cloud’s risk management framework adopts a holistic and structured approach to identifying, assessing, mitigating, and monitoring risks across our organization. We emphasize proactive risk governance to ensure that all business units operate within a secure and resilient risk environment.

リスク管理の主な取り組みは次のとおりです。
â リスク管理プロセスと手法の改善
â 効果的なリスク特定、リスクアセスメント、リスクガバナンスモデル
â 成熟した緊急対応メカニズム

Risk Management Processes and Methodologies

● Comprehensiveness and Consistency: To ensure a well-structured and all-encompassing risk management approach, our framework applies to all Alibaba Cloud employees, utilizing a unified risk management language. This ensures that all business units systematically manage risks while fostering a strong risk awareness culture in daily operations.

● Categorized and Tiered Management: Risks are dynamically categorized and tiered, with clear accountability assigned to responsible personnel.

● Diversified Governance: Based on risk management requirements and business realities, we formulate targeted strategies and measures to enable proactive risk prediction, scientific decision-making, and effective management.

Risk Identification, Assessment, and Governance Model

Alibaba Cloud follows an organized and structured risk assessment model to ensure timely identification, evaluation, and mitigation of potential threats. Our methodology includes:

â リスク特定:自動化されたシステム、内部監査、外部情報ソースを活用し、潜在的なリスクをモニタリングおよび検知します。
â リスクアセスメント:ビジネス運用、規制コンプライアンス、セキュリティ、財務安定性、顧客の信頼への潜在的な影響に基づいてリスクを評価します。
â リスクガバナンス:発生可能性と深刻度に基づいてリスクの優先順位を設定し、的を絞った軽減戦略を実施します。

Emergency Response Mechanisms

● Incident Response: In the event of an unexpected security incident, Alibaba Cloud follows a classification and tiered response approach. Depending on the nature, threat level, and potential impact of the incident, we immediately assemble expert-led emergency response teams, either within a single team or across multiple teams. Our approach includes early warning and response, real-time assessment and mitigation, and post-incident review and governance, all aimed at minimizing the impact on Alibaba Cloud’s platform and our customers' business operations.

● Emergency Drills: During regular operations, Alibaba Cloud conducts emergency drills tailored to the compliance requirements of different countries and regions. These drills assess the familiarity with duties, response speed, and coordination efficiency of relevant responsible teams, so as to ensure compliance, enhance response capabilities, and accumulate incident handling experience.

Log Management

Log Management

Alibaba Cloud implements strict log management throughout daily operations, covering multiple dimensions, including host, network, application, and cloud products, ensuring that unauthorized activities and abnormal behaviors are monitored and detected in detail. This section describes Alibaba Cloud's comprehensive approach to deploying audit logging to continually enhance our security posture.

Centralized Log Collection and Analysis

Alibaba Cloud deploys a centralized log management strategy to ensure that we achieve a holistic view of our cloud environment, enhancing both security and operational efficiency through diverse types of logs from various sources, such as servers, applications, network devices, and security systems. Alibaba Cloud O&M engineers are only allowed to perform relevant maintenance operations on the production system through bastion hosts. The entire operation process is recorded in logs. Once collected, these logs are then transmitted securely to our Central Logging Platform, which serves as a single point for storing and managing all log data.

Log analysis is the core of Alibaba Cloud's centralized log management strategy. Audit and monitoring rules are defined within the Central Logging Platform to monitor sensitive activities and detect suspicious behaviors. This process involves using advanced analytics, including machine learning algorithms, to identify patterns, anomalies, and potential security threats. Real-time monitoring and alerting mechanisms are set up to trigger alerts on the security monitoring platform and open a ticket for the security team to review and follow up, ensuring that identified risks are limited and kept under control.

Safeguarding the Security of Log Data

Alibaba Cloud の社内における集中ログ管理戦略は、ログデータの整合性、機密性、可用性を確保するうえで重要な役割を果たしています。これは、以下に示す堅牢なセキュリティ対策とベストプラクティスの組み合わせによって実現しています。

● アクセス制限:Alibaba Cloud の集中ログ管理プラットフォームは、ログ収集およびログ閲覧のインターフェースのみを提供し、変更や削除のインターフェースは無効化されています。ログへのアクセスはアクセス種別に応じた承認を受けた権限保有者に限定されており、中央リポジトリ内のログデータを不正なアクセス、変更、削除から保護しています。

● セキュアストレージ:Alibaba Cloud は、ログデータを保護された管理環境に保存し、不正なアクセス、改ざん、紛失を防止するための厳格なセキュリティ対策を実施しています。堅牢なストレージメカニズムによりログデータの整合性と可用性を維持し、必要なときに安全にアクセスできる状態を確保しています。さらに、継続的なモニタリングと保護対策により保存ログのセキュリティを強化し、運用要件およびコンプライアンス要件への準拠を実現しています。

● ログ保持:Alibaba Cloud は、規制要件、法的義務、ビジネスニーズに基づいてログ保持期間を決定しています。通常、ほとんどの監査ログは最低 6 か月間保持され、セキュリティ、運用、コンプライアンスの各目標への準拠を確保しています。

● ログバックアップ:Alibaba Cloud は、自動バックアッププロセスを実装し、人的エラーのリスクを軽減するとともに、ログが一貫して安全にバックアップされるようにしています。

Access Management

Access Management

Alibaba Cloud implements a robust access management framework to safeguard systems and data, ensuring that only authorized personnel gain access to specific, restricted resources. Our approach includes identifying necessary access levels, applying the principle of least privilege, continuous monitoring, and conducting regular reviews and audits of access rights. This section details Alibaba Cloud's comprehensive access management practices, underscoring our commitment to maintaining stringent security standards and protecting our customers' trust.

General Access Management

Alibaba Cloud の厳格なアクセス管理フレームワークは、ゼロトラストアーキテクチャの基盤を形成しており、最小権限の原則と知る必要性に基づくアクセスの原則を遵守しています。お客様データへのアクセスは厳格に管理されており、従業員は明示的なお客様の承認がある場合にのみアクセスできます。お客様はデータに対する完全な制御、管理、および所有権を保持しています。Alibaba Cloud は、マーケティング、広告、またはその他の不正な目的でお客様データを使用したり、お客様データから情報を導出したりすることは一切ありません。主要なアクセス管理プラクティスは以下のとおりです。

◗ 論理的分離:Alibaba Cloud は堅牢なテナント分離アーキテクチャを実装しており、デフォルトでユーザーを分離された環境に配置することで、他のユーザーのデータへの不正アクセスや干渉を防止します。

◗ ロールベースアクセス制御 (RBAC):RBAC を採用し、従業員の役職や組織内のロールに基づいて限定的なデフォルト権限を割り当てることで、職務に必要なリソースのみにアクセスできるようにしています。

◗ アカウント管理の自動化:集中型の権限管理システムにより、アクセス申請、承認、アクセス権限の自動プロビジョニングや削除を管理しています。このシステムは人事システムと連携し、従業員の退職や異動に応じてアクセス権限を調整します。

◗ 職務分離:アクセス承認プロセスでは、申請者、承認者、管理システム管理者にそれぞれ異なるロールを割り当てることで職務分離を実施しています。これにより、客観的な承認を経た適切な権限のみが付与されます。

◗ 多要素認証 (MFA):セキュリティをさらに強化するため、本番システムやリソースへのアクセスには MFA を必須としています。パスワードが漏洩した場合でも、不正アクセスを防止できます。

◗ アクセスレビューとモニタリング:アクセスモニタリングシステム内で定義された監査ルールとモニタリングルールにより、アカウントの利用状況やアクセス権限を分析し、不正使用の可能性を検知し、セキュリティチームに自動アラートを送信します。セキュリティチームはアラートの調査と適切な対応を担当します。

◗ セキュリティトレーニングと意識向上:安全なアクセス管理やフィッシング攻撃、ソーシャルエンジニアリング攻撃の識別など、セキュリティのベストプラクティスに関する定期的なトレーニングを全従業員に提供しています。この継続的な教育により、社内に強固なセキュリティ文化を醸成しています。

Access Management for Production Systems

Alibaba Cloud deploys comprehensive access control measures to ensure that all access to its production systems is secure, auditable, and compliant with best practices in cybersecurity. By default, employees responsible for operating these systems do not have access to customer content. Customers maintain full control over granting external and temporary access to their Alibaba Cloud resources via the management console's ticket service, where access is strictly governed by customer-configured authorization settings.

Based on the potential risks associated with different levels of access, Alibaba Cloud categorizes access permissions into three types: normal users, application administrators, and system administrators. Employees who need access to physical servers, network devices, or virtual machines must submit an application with a defined request period and receive approval from authorized personnel. Upon expiration of the access period or completion of the task, permissions are promptly revoked to prevent lingering access rights.

Access to production systems is strictly controlled and monitored. Employees can only gain entry through bastion hosts, which require two-factor authentication (2FA). All activities performed within production systems via bastion hosts are logged in real-time and transferred to a central log management platform for analysis and auditing.

Data Encryption

Data Encryption

Alibaba Cloud fully recognizes the critical importance of data encryption in meeting stringent data protection requirements. Our encryption solutions ensure the confidentiality, authenticity, and integrity of sensitive data through state-of-the-art cryptographic techniques. This section outlines our comprehensive end-to-end encryption mechanisms, designed to protect customer content throughout its lifecycle. These mechanisms include encryption in transit, encryption at rest, and hardware-based encrypted computing services. We are committed to continuously enhancing our technologies to align with best practices in data security and privacy.

Data Encryption in Transit

Encryption in transit safeguards data as it moves across networks, ensuring that sensitive information remains confidential, intact, and authentic from sender to receiver. Alibaba Cloud provides multiple mechanisms for protecting data in transit, including:

● 管理コンソールによる安全なデータ送信:Alibaba Cloud 管理コンソールは、お客様がコンソールを通じて操作を行う際に HTTPS 暗号化を使用してデータを送信し、通信の安全性と機密性を確保します。

● 安全な API アクセスポイント:Alibaba Cloud のプロダクトは、最大 256 ビットのキー長の暗号化に対応した HTTPS をサポートする API アクセスポイントをお客様に提供し、機密情報の安全な送信要件に対応します。

● 安全な暗号化アルゴリズムとプロトコル:Alibaba Cloud は、AES-256 などの高セキュリティ暗号化アルゴリズムと IPsec や TLS などの暗号化プロトコルに加え、厳格な認証および権限付与メカニズムを組み合わせて、暗号化されたデータの漏洩を防止します。

● 安全なエンドツーエンド暗号化:Alibaba Cloud のネットワークゲートウェイプロダクトは、データ送信時にエンドツーエンド暗号化を提供します。たとえば、VPN Gateway を使用して必要に応じて IPsec-VPN や SSL-VPN 接続を確立し、暗号化チャネル経由で送信されるすべてのデータの機密性、真正性、改ざん防止を確保できます。

Data Encryption at Rest

Alibaba Cloud offers comprehensive encryption solutions for data at rest across its services, allowing customers to encrypt stored data using advanced cryptographic techniques.

● エンベロープ暗号化メカニズム:このメカニズムは、少なくとも 2 つのレイヤーで構成されるキー階層に基づいています。

○カスタマーマスターキー (CMK):データ暗号化キー (DEK) の暗号化または復号に使用します。
○データ暗号化キー (DEK):ビジネスデータの暗号化または復号に使用します。

● Bring Your Own Key (BYOK): Alibaba Cloud offers multiple products that support user-managed encryption keys, including the option for customers to upload their own CMKs as part of the BYOK feature or generate their own CMKs within the Key Management Service (KMS).

â キー保護対策:Alibaba Cloud は、NIST 800-57 の推奨事項に準拠し、認定済み暗号アルゴリズムと HSM (ハードウェアセキュリティモジュール) を採用した KMS インフラを活用して、業界標準のキー保護対策を実施しています。

 â中国本土以外で使用される HSM は FIPS 140-2 Level 3 認定を取得しています。
 âKMS には自動キーローテーション機能が搭載されており、CMK (カスタマーマスターキー) の自動ローテーションを設定できます。

● 設計段階からの暗号化:データ暗号化機能は、Elastic Block Storage (EBS)、Object Storage Service (OSS)、Relational Database Service (RDS)、MaxCompute、File Storage NAS など、さまざまな Alibaba Cloud プロダクトに統合されています。たとえば、OSS はサーバ側暗号化とクライアント側暗号化の両方に対応しています。

 ○ サーバ側暗号化:OSS は、サービスマネージドキーまたは BYOK CMK を使用してデータを暗号化します。
 ○ クライアント側暗号化:OSS では、お客様が自己管理キーまたは Alibaba Cloud KMS で生成した CMK を使用して、アップロード前にデータを暗号化できます。

Network Security

Network Security at Alibaba Cloud

Alibaba Cloud’s robust network security strategy serves as the foundation for building trust and ensuring service reliability. To effectively mitigate network security risks, we focus on strengthening network architecture, enforcing stringent network access controls, and leveraging advanced detection and prevention mechanisms against network threats. This section outlines our multi-layered network security strategies designed to continuously optimize the security posture of our network environments.

Security Design for Network

Alibaba Cloud strategically designs network security from the initial architecture phase to ensure it is robust, scalable, and secure. We implement a multi-layered network protection approach, safeguarding different layers, from perimeter defense to internal segmentation. This layered approach isolates critical resources and reduces the risk of lateral movement by attackers, thereby enhancing overall network security.

â ネットワークセグメンテーション:Alibaba Cloud は、ネットワークを本番環境と非本番環境に分割することで、ネットワーク分離対策を実施し、セキュリティと制御を強化しています。この分離により、悪意のあるアクターがネットワーク内を自由に移動することを防止します。さらに、本番ネットワークをさらに分割し、外部サービスを提供するクラウドサービスネットワークと、基盤となるクラウドサービス機能を支える物理ネットワークを分離しています。

â 厳格なネットワークアクセス制御:クラウドサービスネットワークから物理ネットワークへのアクセスは、設定済みのネットワーク ACL によりデフォルトで無効化されています。Alibaba Cloud はさらに、許可されていないデバイスの内部ネットワークへの接続および物理サーバから外部デバイスへの接続開始を防止する厳格なネットワーク制御対策を実施しています。加えて、本番ネットワークの境界に踏み台サーバをデプロイし、集中管理を行うことで、本番ネットワーク内のすべてのアクセスアクティビティが監査および記録されることを確保しています。

Continuous Network Intrusion Protection

In addition to network isolation and rigorous network access controls, Alibaba Cloud deploys network intrusion detection and prevention mechanisms to safeguard against malicious network activities.

● リアルタイムのネットワーク検知と防御:Alibaba Cloud は、ネットワーク境界および内部セグメントに高度なネットワーク侵入検知システム (IDS) を配置し、不審なアクティビティや不正なアクティビティの兆候がないかトラフィックを自動的に監視して、悪意のあるネットワーク動作をセキュリティチームに通知しています。さらに、侵入防止システム (IPS) ルールを実装して悪意のあるトラフィックをブロックし、脅威からのプロアクティブな保護を実現しています。

● 迅速な対応と調査:Alibaba Cloud は、侵入検知および侵入防止メカニズムをセキュリティインシデント監視プラットフォームと統合し、不審なネットワークアクティビティの迅速な分析と侵入への素早い対応を可能にしています。この統合により、攻撃者が悪用できる時間的猶予を最小限に抑えています。

● 継続的なセキュリティ強化:Alibaba Cloud のセキュリティチームは、各セキュリティインシデントから得られた脅威インテリジェンスの知見を基に、検知ルールと防御ルールを継続的に更新し、ネットワークセキュリティを強化して新たな脅威に先んじて対応しています。

Vendor Management

Vendor Management at Alibaba Cloud

Alibaba Cloud implements a comprehensive Vendor Management program to regulate interactions with vendors and third-party employees, ensuring security throughout the vendor management lifecycle. This section outlines our robust controls before, during, and after vendor engagement, reflecting our long-term commitment to optimizing data security and compliance in vendor management.

Vendor Onboarding

During the vendor onboarding phase, Alibaba Cloud implements a series of stringent evaluation and security control measures focused on information security and data protection to ensure that each vendor meets our high security standards:

● ベンダーのデューデリジェンス:個人データを処理するベンダーに対し、Alibaba Cloud のセキュリティおよびコンプライアンスチームが徹底したデューデリジェンスを実施します。この評価では、情報セキュリティ管理フレームワーク、データ暗号化ポリシー、アクセス制御メカニズム、インシデント対応計画、その他の関連プラクティスを対象に、ベンダーのデータセキュリティおよびコンプライアンス能力を評価します。定められた基準に従い、ベンダーが個人データを効果的に保護することを目的としています。

● 契約上のセキュリティ要件:業務開始前に、すべてのベンダーは権利と義務、サービス範囲、機密保持条項、セキュリティおよびコンプライアンス要件、サービスレベルを規定する契約を締結する必要があります。この契約は Alibaba Cloud とベンダー間の関係を管理し、明確な期待事項と責任を確保します。

Continuous Vendor Monitoring

To ensure vendors continuously adhere to strict information security and data protection policies during the partnership, Alibaba Cloud has established a proactive monitoring mechanism:

â サードパーティ要員管理:Alibaba Cloud の委託先従業員は、情報セキュリティ意識に関する必須オンボーディングトレーニングを完了し、データセキュリティテストに合格するまで、内部ネットワークへのアクセスは許可されません。委託先従業員のアクセス行動はアクセス管理システムで管理・制御され、不正なデータアクセスを防止します。

â 継続的なコンプライアンスモニタリング:Alibaba Cloud は委託先に対する定期的なモニタリングを実施し、パートナーシップ期間を通じて情報セキュリティおよびデータ保護基準への準拠を確保します。たとえば、データセンターサービスプロバイダーはアクセスログ、重大インシデント、メンテナンス活動の概要、モニタリングシステムからの主要データなど、さまざまな項目を網羅した月次レポートを提出し、データセンターの安全で安定した運用を確保する必要があります。

â 復処理者リスト:Alibaba Cloud は、お客様に代わってメンバーコンテンツを処理する復処理者として認定される委託先の数を制限しています。復処理者は以下の 2 つのカテゴリに分類されます。

  â Alibaba Cloud プロダクト/サービスを支えるインフラを提供する Alibaba Cloud の関連企業。

  â 特定のサービスに対して特定の処理業務を行うため Alibaba Cloud が契約したサードパーティの委託先。お客様は Alibaba Cloud アカウントにログインして、Alibaba Cloud 復処理者リストにアクセスできます。

Physical Security

Data Center Security at Alibaba Cloud

Alibaba Cloud operates a global portfolio of data centers to provide highly reliable, efficient, and secure network and computing power for customers and partners. These data centers serve as the backbone of Alibaba Cloud’s more than 200 products and services. To ensure the protection of infrastructure and customer data, Alibaba Cloud has established a robust physical and environmental security program, acting as the first line of defense against threats ranging from natural disasters to malicious physical intrusions. This article outlines Alibaba Cloud’s multi-layered approach to securing its data centers and our continuous commitment to enhancing security measures.

High Availability Design

立地選定

データセンターの設立に先立ち、Alibaba Cloud は厳格な立地選定評価を実施し、潜在的なリスクを特定して軽減します。地震、洪水、極端な気象現象などの自然災害への露出を最小化するよう、戦略的に立地を選定しています。アベイラビリティゾーンは、レジリエンスを高めるために独立した地理的に離れた設計となっています。

電力冗長性

24 時間 365 日の無停止サービスを確保するため、Alibaba Cloud のデータセンターはデュアル主電源と冗長電力システムで稼働しています。一次電源と二次電源は同等の容量を備えています。電力障害が発生した場合は、冗長バッテリーパックとディーゼル発電機が起動し、データセンターの運用を長時間にわたり維持して、継続的なサービス可用性を確保します。

Physical Security

セキュアエリアと区画化

Alibaba Cloud は、データセンター施設をサーバルーム、オフィススペース、搬入エリアなどの指定区画に分割し、厳格な物理セキュリティ管理を実施しています。各エリアは機密レベルに応じて区画化され、それに応じたセキュリティ対策が適用されます。

従業員のアクセス制御

Alibaba Cloud データセンターへの入館は、許可された従業員のみに限定されています。アクセス権限の申請には正当な業務上の理由が必要であり、最小権限の原則に基づいて付与されます。すべてのアクセス権限には有効期限が設定されており、権限保持者の承認が必要です。従業員は指定されたエリアにのみ入室でき、アクセス権限は有効期限の到来とともに失効します。

サードパーティアクセス

請負業者や訪問者は、事前にアクセス申請を提出し、業務上の正当な理由を提示する必要があります。アクセスは承認されたエリアに限定され、最小権限の原則に基づいて付与されます。訪問者は常に Alibaba Cloud の承認済みスタッフの同伴が必要です。アクセス権限は承認された期間の終了後に自動的に取り消されます。

セキュリティ監視

Alibaba Cloud データセンターでは、エントランス、機器搬入エリア、重要アクセスゾーンなど、すべての主要出入口にビデオ監視を設置しています。監視映像は法規制やコンプライアンス要件に従って保管しています。さらに、アクセスログを定期的にレビューし安全に保管することで、入退室の状況を監視し異常を検知しています。

Device Management

資産管理

Alibaba Cloud は、ストレージデバイスの受領からデプロイメント、メンテナンス、移管、再利用、廃棄に至るライフサイクル全体を管理するセキュリティ管理システムを構築しています。各デバイスは資産管理システムに記録され、所有者が割り当てられます。厳格なアクセス制御と継続的なモニタリングにより、すべてのハードウェア資産のセキュリティを確保しています。定期的なメンテナンスと監査を実施し、コンプライアンスへの準拠を検証しています。

ストレージメディアのセキュリティ

ストレージメディアを廃棄する際、Alibaba Cloud は NIST SP 800-88 規格に従い、安全なデータ消去を実施します。保存データは完全な除去を確保するため複数回消去されます。不要なストレージメディアはシュレッダーにより物理的に破壊します。消去および廃棄プロセス全体を文書化し、監査目的で保管しています。

Environmental Controls

空調管理

Alibaba Cloud のデータセンターには、最適な温度と湿度レベルを維持する精密空調システムが設置されています。これらの状態は電子的にモニタリングされ、逸脱が発生した場合は自動アラームがトリガーされ、直ちに是正措置がとられます。

消火設備

Alibaba Cloud のデータセンターには、熱感知センサーおよび煙感知センサーを搭載した高度な火災検知システムが設置されています。これらのセンサーは天井と床面の両方に配置されており、作動時には音声と視覚によるアラームを発報します。各データセンターにはガス式統合消火システムと消火器が備わっています。データセンター要員には定期的な防火トレーニングおよび訓練を実施し、迅速な対応能力を確保しています。

浸水対策

Alibaba Cloud データセンターは防水素材を使用して建設されており、耐水性に関する国家基準に準拠しています。建物は湿気や漏水の定期点検を実施し、問題が検出された場合は直ちに修復します。フロアには排水システムと隔離層を設け、浸水を防止しています。漏水検知センサーを水道管の近くに戦略的に配置し、漏水を検知するとアラームを発報して迅速な対応を可能にしています。

Continuous Assessment and Improvement

訓練と点検

Alibaba Cloud のデータセンターでは、停電などの物理的・環境的セキュリティインシデントを想定した定期的なセキュリティ訓練と点検を実施しています。これらの訓練結果は文書化され、得られた教訓はセキュリティ強化に反映されています。

リアルタイムモニタリングと分析

オンサイト要員が交代制で Alibaba Cloud データセンターの運用を 24 時間体制で監視しています。リアルタイムモニタリングシステムにより、温度や湿度などの環境条件やサーバのパフォーマンスを追跡しています。パラメータが基準範囲から逸脱した場合は自動アラートが発報され、オンサイトスタッフが直ちに対応します。

サードパーティ監査とコンプライアンス

Alibaba Cloud のデータセンターは、ISO 27001 (情報セキュリティ管理) や ISO 22301 (事業継続管理) など、業界をリードするセキュリティ基準に準拠しています。独立したサードパーティ監査人がこれらの基準への準拠状況を定期的に評価しています。詳細は、Alibaba Cloud Trust Center and Compliance Repository をご覧ください。

Security Incident Management

Incident Response at Alibaba Cloud

Alibaba Cloud operates a top-tier information security system that integrates rigorous processes managed by a highly skilled incident monitoring and response team. The Incident Response Team at Alibaba Cloud is a specialized unit dedicated to managing and mitigating security incidents. This team plays a crucial role in maintaining the security and integrity of customer data by responding promptly to any unplanned events that could disrupt service quality or pose security threats.

Depending on the nature of the incident, the response team may include experts from the following fields:

â インシデント対応コマンダー

â インシデントコーディネーター

â セキュリティスペシャリスト

â R&D・エンジニアリングスペシャリスト

â 法務・コンプライアンススペシャリスト

â 広報・政府渉外スペシャリスト

â カスタマーサポートスペシャリスト

Alibaba Cloud employs continuous monitoring and advanced threat detection systems to identify and respond to security incidents in real-time. The incident response framework is designed to ensure swift and effective handling of incidents, minimizing their impact on service quality and customer experience. Alibaba Cloud’s primary goal in incident response is to manage and mitigate security incidents efficiently to ensure the continuity, availability, and security of the cloud environment.

Incident Response Process

Alibaba Cloud follows a five-step approach to effectively respond to security incidents:

1. Detection & Identification – Potential security incidents are identified using advanced monitoring tools, including Intrusion Detection Systems (IDS), Security Information and Event Management (SIEM), and anomaly detection algorithms. Suspicious activities, such as unauthorized access attempts and abnormal data transfers, are continuously monitored. Employees and users are encouraged to report irregularities.

2. Triage & Response – The Incident Response Team assesses the severity and impact of the incident. Incidents are classified based on urgency, and immediate containment measures, such as isolating affected systems and disabling compromised accounts, are implemented to prevent further damage.

3. Investigation & Analysis – Security specialists conduct Root Cause Analysis (RCA) to determine the cause and extent of the incident. Forensic analysis is performed on logs, system images, and network traffic to understand the impact on data integrity and business operations.

4. Mitigation & Resolution – The incident is mitigated by applying security patches, removing malware, and restoring affected systems from verified backups. A detailed incident report is created, documenting key findings, actions taken, and recommendations for future improvements.

5. Post-Incident Improvement – Alibaba Cloud strengthens security measures by learning from past incidents. Security policies are updated, employees undergo cybersecurity training, and proactive threat monitoring is conducted to prevent future threats.

Detailed Breakdown of the Incident Response Process

1. 検知と特定

セキュリティインシデントの迅速かつ正確な特定は、効果的なインシデント管理に不可欠です。Alibaba Cloud はリアルタイムモニタリング、自動アラート、継続的な監査を活用し、潜在的なセキュリティ脅威を検知・報告しています。

◗ モニタリングツール:SIEM (セキュリティ情報イベント管理) システム、IDS (侵入検知システム)、IPS (侵入防止システム) により、不審なアクティビティを特定します。

◗ 異常検知:複数回のログイン失敗、不正なデータアクセス、想定外のデータ転送などのイベントに対してアラートを発報します。

◗ ログ収集と分析:クラウドホスト、ネットワーク、アプリケーション、その他のインフラコンポーネントからログを収集し、セキュリティモニタリングアルゴリズムで分析します。

◗ インシデント報告:フィッシング攻撃の試みや異常なシステム動作など、不審なアクティビティを従業員やユーザーが報告することを推奨しています。

2. トリアージと対応

インシデントが検知されると、インシデント対応チームが潜在的な影響に基づいて分類と優先順位付けを行います。

â インシデント分類:以下の要因に基づき、重大度レベル (低、中、高) を割り当てます。

  â 侵害の原因と継続中かどうか。

  â 影響を受けた個人の数。

  â 侵害されたデータの種類。

  â ビジネス運用への影響。

  â 外部支援の必要性 (法的対応や規制対応など)。

â封じ込め措置:影響を受けたシステムの隔離、アクセス権限の取り消し、侵害されたアカウントの無効化など、さらなる被害を防止するための即時対応を行います。

â証拠の保全:システムログ、スナップショット、その他のフォレンジックデータを調査のため安全に保管します。

3. 調査と分析

Alibaba Cloud のセキュリティスペシャリストが、インシデントの原因、範囲、影響を把握するため徹底的な調査を実施します。

â 根本原因分析 (RCA):脆弱性、攻撃ベクトル、悪用された弱点を特定します。

â フォレンジック分析:ログ、システムイメージ、ネットワークトラフィックを調査し、攻撃者の活動を追跡します。

â 影響評価:侵害されたデータ、業務への影響、潜在的な財務損失、規制上の影響を評価します。

4. 軽減と解決

対応および復旧フェーズでは、インシデントの軽減と影響を受けたシステムの復元に重点を置きます。

● 是正措置:セキュリティパッチの適用、設定の更新、マルウェアの除去を行います。

● データおよびシステムの復元:クリーンなバックアップを検証して復元し、データ整合性を確保します。

● インシデントの文書化:以下の内容を含む詳細なレポートを作成します。

● イベントのタイムライン。

● 実施した措置。

● 調査結果。

● 是正措置。

● 今後の改善に向けた推奨事項。

● ステークホルダーへの連絡:法的義務に従い、影響を受けたユーザー、規制当局、その他のステークホルダーに通知します。Alibaba Cloud はメール、公式声明、カスタマーサポートを通じて、透明性の高いコミュニケーションを確保します。

5. インシデント事後改善

Alibaba Cloud は、過去のインシデントから学び、インシデント対応戦略を継続的に改善しています。

● セキュリティフレームワークの強化:得られた教訓に基づき、ポリシー、手順、技術的なセーフガードを更新します。

● トレーニングおよび意識向上プログラム:サイバーセキュリティの脅威やインシデント対応のベストプラクティスに関する継続的なトレーニングを従業員に提供しています。

● 外部セキュリティ監査:Alibaba Cloud はサードパーティの専門家と連携し、セキュリティ評価を実施して改善すべき領域を特定します。

● 予防的脅威モニタリング:定期的なセキュリティ評価、ペネトレーションテスト、異常検知を実施し、潜在的な脅威がエスカレートする前に特定して軽減します。

Vulnerability Management

Vulnerability Management at Alibaba Cloud

Alibaba Cloud operates a comprehensive vulnerability management program designed to safeguard our infrastructure, ensuring the highest levels of security and service reliability. As an integral part of our global cybersecurity strategy, this program focuses on identifying, assessing, and mitigating vulnerabilities that could potentially compromise our systems and services. This section outlines Alibaba Cloud’s multi-layered approach to vulnerability management and our commitment to continuous security enhancement.

Comprehensive Vulnerability Assessment

Alibaba Cloud’s threat and vulnerability management program ensures the security of Alibaba Cloud’s infrastructure and customer environments by detecting system flaws and unauthorized actions and applying timely remediation measures. Vulnerabilities are detected and reported through multiple channels, including:

● 内部報告とスキャン:内部セキュリティメカニズムには、自動脆弱性スキャンおよび手動セキュリティ監査が含まれます。これらのプロセスにより、ネットワークコンポーネント、サーバ、アプリケーション、データベースの潜在的な脆弱性を徹底的に検査しています。

● 外部報告:Alibaba Security Response Center (ASRC)、Alibaba Cloud Crowdsourced Security Testing Platform、サードパーティの脅威インテリジェンスソースなどの外部セキュリティ機関と連携しています。これらのチャネルを通じて、特にオープンソースのサードパーティコンポーネントに影響する CVE (共通脆弱性識別子) を追跡しています。

All identified vulnerabilities are consolidated into our security vulnerability management platform, where they undergo rigorous analysis, classification, and prioritization based on predefined security monitoring algorithms.

Risk Prioritization and Remediation

Once vulnerabilities are identified and verified, they are prioritized based on severity, potential impact, and exploitability. Our risk assessment and remediation process includes:

● 緊急パッチ適用:重大な脆弱性に対しては、堅牢なパッチ管理システムを通じて、即座にパッチ適用と設定変更を実施します。

● 長期的な軽減策:アーキテクチャの変更やリファクタリングが必要な複雑な脆弱性については、包括的な解決を確保するため、長期的な軽減計画を策定し実行します。

● 設定管理:

○ セキュリティチームが、システムのベースラインハードニング要件を定義する設定基準を維持しています。

○ これらの基準は年次でレビューおよび更新されます。

○ 自動設定スキャンツールがコンプライアンスを継続的にモニタリングし、逸脱を速やかに検知して是正します。

By systematically addressing vulnerabilities based on risk-based prioritization, Alibaba Cloud minimizes potential security threats while maintaining operational efficiency.

Continuous Monitoring and Improvement

Alibaba Cloud’s vulnerability management program is a continuous process aimed at maintaining and strengthening our security posture. Key initiatives include:

â プロアクティブな脅威インテリジェンス:

  â グローバルな脅威インテリジェンスプラットフォームと外部の脆弱性データベースを活用し、新たなセキュリティ脅威に先手を打ちます。

â ペネトレーションテストとセキュリティ訓練:

  â 社内のレッドチームと外部のセキュリティ専門家が定期的にペネトレーションテストを実施し、インフラのセキュリティ態勢を評価します。

  â 攻防訓練により、脅威検知と対応の能力を体系的に評価・強化します。

âセキュリティトレーニングと意識啓発:

  â 継続的な従業員教育プログラムに投資し、すべてのスタッフがセキュリティ脅威を効果的に識別、報告、対応できるようにしています。

  â このセキュリティファーストの文化が、Alibaba Cloud の脆弱性を先手で検知し軽減する能力を強化しています。

Collaboration and Transparent Reporting

Transparency and collaboration are essential components of Alibaba Cloud’s vulnerability management strategy. We actively engage with customers and the broader cybersecurity community to drive a cooperative approach to security:

â 脆弱性報告とバグバウンティプログラム:

  â Alibaba Cloud は、外部のセキュリティ研究者に脆弱性の報告を奨励するバグバウンティプログラムを運営し、社内チームにとどまらないセキュリティ能力の強化を図っています。

  â 詳細は Alibaba Security Response Center (ASRC) をご覧ください。

â 透明性の高い報告とお客様へのコミュニケーション:

  â 特定された脆弱性と修復対応について、お客様に積極的に情報を提供し、セキュリティ管理の透明性を確保しています。

  â 信頼と協力を促進するこのアプローチにより、お客様は新たな脅威に対して自社のセキュリティ防御を強化できます。

ご不明な点がございましたら

セキュリティコンプライアンスやプライバシーに関するお問い合わせは、Trust Center までご連絡ください。

Trust Center へのお問い合わせ
phone お問い合わせ
Hi, I'm Alibaba Cloud AI Assistant!
I can help with questions and solutions.