Security Cloud 個人情報保護方針

2019年1月

F‑Secure Security Cloud について

F‑Secure Security Cloud は、オンライン デジタル レピュテーション (評価) および脅威インテリジェンス ナレッジ ベースであり、また同時に分析システムでもあります。Security Cloud は、F‑Secure により運用され、F‑Secure の保護サービスを強力なものとします。その第一義的な機能は、弊社のお客様の環境における、悪意のあるそして望まない動作およびコンテンツを検出することです。

Security Cloud により、F‑Secure は、

  • 脅威のグローバルな状況について、最新の俯瞰を常に持つこと、
  • そして弊社のお客様を新たな脅威から、それを最初に発見した時点で保護することができます。

プライバシー概要

弊社のプライバシーに対する関心は、お客様に対する素晴らしいサービスを構築することにあります。弊社のビジネス モデルは、サイバー セキュリティ ソリューションを、従来のライセンシングおよびサブスクリプション ベースのモデルを使用して販売することを基盤としております。お客様からデータを収集することにより、お客様を収益化することはしておりません。

  • Security Cloud は、弊社のお客様にセキュリティを提供する上で必須の部分です。Security Cloud は、F‑Secure サービスに対して、悪意のある、また望まないアクティビティを検知することに関連したデータのみに重点を置いたデータ処理による、オブジェクト レピュテーション (評価) および脅威分析サービスを提供します。Security Cloud は、悪意のある、あるいは望まないアクションが実行される可能性があるかや実行された可能性があるかを判断するため、ユーザのネットワークおよびデバイスにおける、ファイル、プロセス、およびその他のオブジェクトとその動作を分析します。
  • 弊社が、保護されているデバイスのユーザや所有者が誰であるかを知ることはありません。 F‑Secure のクラウドベース サービスの目的は、敵対的なサードパーティーに由来する、潜在的な悪意あるコンピュータ アクティビティを検知することにあります。マルウェアのキャリアとして使用されているデータ ファイル内にある、ユーザや所有者に関連した識別や個人情報データはいかなるものについても、本目的とは関連性を持ちません。

そのロジックは、プライバシーを犠牲にすることなく、ユーザをデジタル脅威から保護するよう定められています。

Security Cloud はどのデータを収集し、また、そのデータに対して弊社では何を実施しますか?

実行可能ファイルとクラウドの分析

F‑Secure の保護サービスは、実行可能なものについてのセキュリティ関連のメタデータを、Security Cloud に送信する場合があります。さらなる分析を支援するため、クエリの戻り値に基づいて、実行可能なものについての追加のメタデータが送信される場合があります。 本ドキュメントにおいて、メタデータとは、ファイルサイズ、ファイル名、ファイルパス、観察された動作、検知の名称といったような情報のことを指します。 本ドキュメントにおいて、実行可能なものとは、Flash、Silverlight、ドキュメントのマクロ、スクリプトといったような、アプリケーションおよび解釈 (インタープリテーション) されたコンテンツを意味します。

F‑Secure のエンドポイント保護サービス (例: F‑Secure SAFE、F‑Secure Protection Service for Business) の大半は、ローカルにインストールされた解析エンジンに依存しています。いくつかのケースでは、これらのエンジンは、F‑Secure Security Cloud での更に深い分析を必要とするような、疑わしいファイルに遭遇する場合があります。これらの使用は、実行可能なものでの使用の場合に限定されています。このようなケースでアップロードされたファイルは、構造および/または動作分析を実施する場合のあるオートメーションにより、処理されます。弊社の自動化された分析システムを通過するファイルは、厳格なコントロールに服することになっています。自動化された分析の結果に基づき、以下のことが実施される可能性があります。

  • クリーンであることが証明されたファイルは、それらがパブリック ソースから入手可能であることが証明される可能性がない限りにおいて、破棄されます。特に、パブリックでないとみなされたファイル、クリーンなソフトウェアは削除されます。
  • 疑わしいファイルは、さらに深く分析を実施するため、短い追加期間保管されます。
  • 敵対的と分類されたファイルは全て、より長い期間保存されます (無期限の可能性もあります)。

悪意のあるファイルが後に誤った警告であったことが証明された場合、クリーンなファイルとして扱われます (つまり、パブリックでない場合には削除されます)。さらに分析を実施するために F‑Secure ラボに提出されたサンプルファイルは、自動化された分析を行った後に、抽出されたメタデータに基づき優先順位を付けられ、例えばクリーン、マルウェア、誤検知、未知 (不明) といったように分類されます。

URL クエリとクラウドの分析

F‑Secure の保護サービスは、ユーザがそのサイトを訪問する前に、URLのレピュテーションを問い合わせ (クエリ) する場合があります。この機能はF‑Secureサービスでは、ブラウザ保護、ペアレンタル コントロールあるいは Web Traffic Protection という名称となっています。これらのサービスは、Security Cloud からの要求に基づき、問い合わせをされた URL に関する追加のメタデータを送信する場合があります。この動作は通常、さらなる分析を必要とする未知の URL に対して行われます。

URL 情報が Security Cloud に与えられると、クライアントサイドのアルゴリズムが、送信前に個人情報を URL から引き剥がします。ローカル ネットワーク内部の URL (クライアント サイドで決定される) は、F‑Secure Security Cloud に送信されることはありません。

ドキュメントとクラウドの分析

設計により、F‑Secure の保護サービスは、ドキュメント ファイルといったような、いかなるユーザ生成コンテンツも Security Cloud に送信することはありません。そのようなファイルは既にクライアント ソフトウェアにより、フィルタリングして取り除かれています。ドキュメント ファイルおよびその他のユーザ生成コンテンツ ファイルのタイプには、実行可能なペイロード (メタデータ) が含まれます。サイバー攻撃はしばしばドキュメント ファイルのスクリプトを利用します。したがって、実行可能なコンテンツをドキュメント ファイルから抽出し、そのようなメタデータについてクラウド分析を実施することが重要です。

ドキュメントは、ドキュメント スキャン機能を明白に提供している、そうした F‑Secure 企業サービスにより、Security Cloud でスキャンされます。

クリーンな実行可能なファイルのメタデータ

クリーンで (つまり 悪意のあるものでない) 実行可能なファイルについてのメタデータは、Security Cloud 内でグローバル ファイル レピュテーション データベースを構築するため、保護されたデバイスから収集される場合があります。全ての実行可能なファイルの独自性を理解することにより、F‑Secure サービスが悪意のある、また望まないコンテンツに対してより良くより迅速な保護を提供することができます。

実際のクリーンなファイルは、ユーザの同意無しに、保護されたデバイスから収集されることはありません。

アンチスパム機能のためのデータ収集

選択されたサービスで利用可能な Security Cloud のアンチスパム機能は、ユーザ生成ドキュメントが取り扱われる方法といくらか同様に (「ドキュメントおよびクラウド分析」を参照してください)、Eメール機能に対するクエリを実施します。Eメールアドレス、IP アドレス、URL、電話番号等のEメールに特化した特性は、メッセージが迷惑バルクメール、フィッシング、マルウェア配布メカニズムの一部、あるいは正当であるかどうかの正確な分析を生成する目的のための、メッセージ毎のメタデータの一部として抽出されます。メッセージ コンテンツやメタデータは、アンチスパム分析システムの外部に出されること、あるいはシステム内部に保持されることは許可されていません。

上記に概要を述べたように、含んでいるメッセージ、関与しているクライアントやユーザ アカウントに関連性を持たせることなく、個々のメッセージにおける実行可能なペイロードは、別途に抽出され、分析される場合があります。

選択されたサービスでは、詳細な分析を実施するために転送されるべき追加情報を、許可するオプションが提供される場合があります。

デバイスのテクニカル データ

ユーザのデバイスについての設定情報 (OS のバージョンんあど)や F‑Secure サービス (インストールされたプログラムやアップデートのバージョンなど) は、正確な製品アップデートとともに、ユーザに提供するために送信されます。

その他のデータ

新たな脅威と戦うため、Security Cloud のデータ収集は常に進化しており、また、上記に明白に列記されていない、上記と同様なその他のデータを収集する場合があります。そのようなデータのタイプは、ここに記述されているものと同様に取り扱われます。

収集されたデータの最小化

F‑Secure Security Cloud は、弊社のお客様に保護を提供する目的のために必要かつ適切な、データ収集のみの原則の上に構築されています。弊社は、ユーザを個人識別しうる可能性のある情報を処理しないように努めており、また、ユーザが機密性のあるものと捉える可能性のある情報の処理に、制限を設けるように努めています。 F‑Secure のオートメーションは、F‑Secure がアップロードされたセキュリティ データをユーザと紐付けできる能力を持たないようにするために構築されています。したがって弊社では、Security Cloud におけるデータを匿名化されたものとみなしています。

以下の原則を適用することによって、これを実施します。

  • アップストリームに送信されるデータの最小化。弊社では、潜在的に機密性があって、また個人を特定しうるデータを、処理の各ステップにおいてフィルタリングして取り除いています。ソフトウェア クライアントにおいて、Security Cloud にアップロードする場合、あるいはサブコントラクターに提出する場合 (「他のサイバーセキュリティ プロバイダとデータサンプルを共有する」を参照してください)。
  • インクリメンタルにデータを送信する。Security Cloud は、疑わしい動作の性質を推測することができない場合、より詳細なデータの収集のみを行います。最初の段階で、Security Cloud はオブジェクトのレピュテーション クエリのみを実施します。それが不十分な場合に、Security Cloud はオブジェクトのメタデータを提出します。それでもまだ不十分である場合、深層分析のために、オブジェクトそれ自体が Security Cloud にアップロードされる場合があります。
  • 高度レベルの IP 情報のみを保存します。お客様のフル IP アドレスは、決して保存されることはありません。弊社のクラウド分析メカニズムのいくつかは、例えば国や都市レベルのジオマッピング情報といった、そのサービスと接続する IP アドレスから引き出すことが可能なメタデータを収集します。
  • ユーザを特定しうるデータからの、分離されたセキュリティデータ。 弊社ではセキュリティおよびユーザを特定しうる情報を、常に切り離した状態で、また本データをクロスリファレンスせずに、システム バックエンド (ライセンス管理システムなど) に保管しています 。
  • 脅威インテリジェンスには、個人を特定しうる情報はいかなるものも含めることができません。保護機能を提供したり向上させるために使用される、あるいはサイバーセキュリティ業界内で共有される、カスタマー システムから収集された情報にはいずれも、その情報がそこから出てきたデバイスの所有者を特定しうるデータが含まれることはありません。

他のサイバー セキュリティ プロバイダとのデータサンプルの共有。

Security Cloud に由来する脅威インテリジェンス データは、グローバルなサイバー攻撃を向上するため、サイバーセキュリティ ドメインにおいて、限定された数の、評判の良いよく吟味されたプロバイダと共有される場合があります。その結果として、より迅速でより正確な保護を弊社のお客様に提供することができます。

弊社のプロバイダとの契約において、弊社ではそれらのプロバイダに対して、サイバーセキュリティ サービス提供の限られた目的のためにのみ、そうした開示されたデータや転送されたデータを使用すること、また、本ポリシーを一貫して遵守して実施することを要求しています。さらに、弊社ベンダーとの情報共有が行われる場合、弊社は悪意のあるオブジェクトや動作に関する情報の共有に重点を置き、弊社のユーザを個人識別しうる情報は内部に留めて共有することはしません。可能である場合には必ず、送信されたデータの送信元を匿名化します。

弊社サービスのいくつかは、さらに弊社プロバイダによるサンプル調査の実施を行うことを、許可するか拒否するかの設定をすることができるようになっているものがあります。

データ収集の根拠および比例性 (均衡性)

ここに記述されているデータ処理は、F‑Secure のお客様のネットワーク、デバイス、内部サービス、また同時にそれらの中に置かれているデータをセーフガードするために実施されます。それにより弊社が、すべてのお客様における新たな脅威とセキュリティ トレンドを検知することができ、そして弊社の保護サービスが新たな脅威と同等にわたりあっていくことができます。結果は、より効果的なセキュリティ脅威検知フレームワークの形で、すべてのお客様の便益のために活用されます。

サービスにより実行されるデータ処理は、デバイス/ネットワークの効率的な保護のために必要不可欠であり、契約上のサービスを提供するための F‑Secure 性能の前提条件となるものです。個々のサービスの設定では、お客様が F‑Secure によるセキュリティデータ処理の限度を設定することができる仕様となってはおりますが、サービスにより提供されているセキュリティ保護レベルを弱めてしまうため、そのような変更は推奨されておりません。

Security Cloud により分析されるオブジェクトは、そのいずれの動作も、ここで説明されているように、構造および/または動作分析により評価されます。これに基づいて、Security Cloud は F‑Secure サービスが悪意のあるコンテンツや動作をブロック、制限、削除することができるようにします。そのようなアクティビティは、弊社のユーザのネットワークやデバイスの保護のために必要であり、一方で、オートメーションが悪意のある、あるいは望まないとして扱っているコンテンツに対する、個々人のアクセスを制限しながら実施されています。

安全なデータの取り扱い

F‑Secure Security Cloud を構成しているシステムは、悪意のあるコンピュータ コードを処理及び保存するように設計されています。それらのシステムおよびそれらのシステム間のデータフロー プロセスは、そのようなものとして厳格なセキュリティの手法およびデータアクセス ポリシーを活用し、感染およびマルウェア リークを防止します。それらの手法にはネットワーク セグメンテーション、アクセスコントロール、送信中と蓄積されている状態の双方でのデータの暗号化が含まれます。

収集されたデータはすべて、F‑Secure により管理されているネットワーク内に保存され、企業内部からのみアクセスが可能です。アクセス許可は、収集されたデータの異なるタイプの間で分離されており、それぞれのデータにアクセスする必要のある従業員にのみ許可が与えられます。保存されているデータへのアクセスは全て、エンドツーエンドで暗号化されているチャンネルで行われます。データ収集は、会社のメインのネットワークから切り離されている、別のネットワーク セグメントに保存されます。

F‑Secure のソフトウェアが搾取可能な脆弱性を含むことが無いように、極めて多くの注意が払われています。弊社での独自のインハウス試験に加えてさらに、F‑Secure Corporation ではバグバウンティ プログラムを実施し、コミュニティが、弊社のソフトウェアを試験し弊社宛てにバグ報告を行っていただけるように奨励しています。

保存されているデータを扱うには、従業員は自らが扱うデータに関連した、トレーニング コースに参加することが求められます。

アップロードされたデータの保持 (リテンション)

分析のため、F‑Secure Security Cloud にアップロードされたオブジェクトは、そのサンプルの特異性に応じて、2~14日間保持されますが、悪意があると判断されたり、あるいはパブリック ソースより入手可能であると証明されたオブジェクトの場合には、例外的にそのオブジェクト保持期間には上限を設けていません。

アップロードされたオブジェクトが悪意のあるものと判断された場合、当該オブジェクトがその悪意のある状態を保持している限り、それらの保持期間は適用されません。当該オブジェクトが後にクリーンである、あるいは未知のものであると再分類された場合、データ保持ポリシーが再び適用され、オブジェクトは可能な限り迅速に削除されます。

個人を特定しうるいかなる情報も含んでいないオブジェクト メタデータは、上記に述べられている目的に有益である場合に限りにおいて、期限の定め無しに保存される。

F‑Secure の個人データの扱い方

弊社の 9つのプライバシー原則 は、弊社のお客様に対するお約束の礎石を提示しているものです。F‑Secure のサービスによる個人を特定しうるデータの処理につきましては、F‑Secure プライバシー声明 にて、またサービスおよび特定のケース別プライバシーポリシーにて、ご説明しております。それらは、サービス インターフェース および/または 弊社の一般向けホームページにて入手可能です。また、弊社のサービスを通して、あるいはビジネス プロセスの文脈において、ユーザの個人を特定しうるデータの収集をすることもあり、これらのポリシーに、そうしたデータやそれぞれのデータ主体の権利の取り扱いについての説明をしております。

本ポリシーへの変更

Security Cloud の機能は、新たな脅威のグローバルな状況に対応するため、常に拡張されています。本ポリシーは、それらの変更を反映するため定期的に更新されます。本ポリシーの最新版は、弊社ホームページで常に入手可能です。

連絡先

F‑Secure Security Cloud についてご質問などありしたら、次の連絡先までお問い合わせください。

F‑Secure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finland

個人向けサービスのお客様の場合、f-secure.com/support までお問い合わせください。

法人向けサービスのお客様の場合、f-secure.com/corporate-support までお問い合わせください。