概要
Netflixコンテンツセキュリティチームは、リリース前のNetflixコンテンツを扱うパートナー様向けのセキュリティ要件を以下のように策定しました。これらの要件は、業界のベストプラクティス (TPN、NIST、ISOなど) に沿っています。この要件に関するご質問や補足情報については、コンテンツセキュリティチームまでお問い合せください。
セキュリティ要件
組織的なセキュリティ管理
- 内部リスク評価の実施、ポリシーや文書、ワークフローの年に一度の見直し、専任のセキュリティ審議会の設置などを含む、セキュリティ管理プロセスを確立します。
- 以前に受けた評価、認定、外部テスト (SOC 2、ペンテスト、脆弱性スキャン、コード/アプリケーションレビュー、TPNの審査など) の記録を保管します。
- データを安全に処理および保護するためのポリシー、標準、ガイドライン、慣行、手続きを記載した書面を保管します。最低限必要の書面は次のとおりです。
- 利用規定、ソーシャルメディアポリシー、在宅勤務ポリシー、AIの使用に関するポリシー、データ保持および破壊に関するポリシー
- システム、アプリケーション、その他の利用ソフトウェアの記録
- 自社環境でのコンテンツの移動方法を含む、文書化されたワークフロー
- Netflix非公開データの可用性を確保するために、事業継続性や災害対策のための妥当な管理体制および手続きを確立、維持、テストします (ランサムウェア攻撃などのサイバー問題も対象)。
- 包括的なユーザーライフサイクルプログラムを制定し、実施します。たとえば次のような例があります。
- オンボーディングとオフボーディングの手続きを規定する
- 職務に必要なシステム/データへのアクセスを制限する
- 秘密保持契約書 (NDA) を含むすべての関連文書に確実に署名を受ける
- すべてのシステム (Netflixのシステム/アカウントを含む) へのアクセスを定期的に確認し、任務または雇用契約の終了時にプロビジョンを解除する
- セキュリティポリシー、守秘義務、テクノロジーの適切な利用、外部の脅威 (フィッシングなど) に関する適切かつ継続的な研修やトレーニングを従業員に実施します。機密性の高いプロジェクトについては、トレーニングを年1回以上の頻度で実施してください。
- セキュリティチームには、クラウドセキュリティ業務に詳しいメンバーを配属します。
- コンテンツベースの作業に第三者/下請け業者を採用する場合、必ずNetflixビジネス担当者の承認を得てください。また、その第三者/下請け業者が、次のような同等のセキュリティ対策を講じていることを確認します。
- 責任共有モデルの策定
- リスク評価および管理プロセス
- 各種ポリシーと手続き
- データの管理および廃棄の手続き
- 秘密保持契約
- インシデントへの対応と報告
- インシデント対応ポリシーとプロセスを確立し、年1回以上、見直しとテストを実施します。このプロセスでは、ITおよびコンテンツ関連のすべてのインシデント/問題を対象とします。次のような内容が含まれます。
- 検知と対応の方法
- 法執行機関やサイバーセキュリティインシデント対応の専門家との連絡体制の確立
- 社内および社外のクライアントへの通知/エスカレーションパス
- 証拠収集/フォレンジックや分析を行うプロセス
- インシデントレビューや復旧について規定したプロセス (根本的な原因、得られた教訓、講じられた防止策など)
- 妥当な在宅勤務ポリシーを文書化します。また、在宅での作業が組織の管理下にあるセキュリティ環境の延長線上にあり、社内と同じ要件を満たせるように、安全なプロトコルを設定します。
- 機密性の高いプロジェクト向けのプロセスを規定します。たとえば、コード名/エイリアスを使用する、プロジェクトへのアクセス制限を強化する、高度なセキュリティ対策を講じる、固有のワークフローを作るなどです。
デジタルセキュリティ管理
- ネットワーク構成図を作成し、常に最新の情報が反映されるようにします。その構成図にはNetflixコンテンツが保管されるすべてのシステムとエンドポイントを記載し、データセグメントを定義して、Netflixコンテンツが処理または保管されるシステム/サービスでのデータの出入りすべてを表記します。
- セキュリティリスクと脆弱性の評価 (月次)、ペネトレーションテスト (年次)、内部セキュリティリスク評価 (年次) を実施するプロセスを確立します。特定されたリスクに対処するために必要な管理および予防策の追加や調整を実施してください。たとえば次のような対応です。
- 各種ポリシーと手続き、ワークフロー、ネットワーク構成図の見直し
- すべてのツール、アプリケーション、システムのセキュリティ監査
- 内部および外部のIPアドレス範囲とホスト、API、すべてのネットワークのスキャン
- 独立した第三者によるペネトレーションテスト、アプリケーションのセキュリティレビュー、その他の重要なテストの実施。セキュリティ対応の認識を確認する場合はシステム情報を事前に共有し、攻撃者の視点を再現したい場合はシステム情報を共有せずにテストを行う。
- セキュリティ評価の結果に基づいた、脅威モデルの更新
- コンテンツの転送 (データの入出力) は、承認されたネットワーク、ツール、またはアプリケーションを使用する、安全かつ信頼できる方法でのみ行うことができます。業界標準の暗号化を採用していて、内部ネットワークとは分離され、データ入出力ポリシーに従っている専用システムを介してコンテンツを転送する必要があります。次のようなデータ入出力のワークフローとシステム用のプロセスを定め、文書化して、定期的に見直しを行います。
- 外部ネットワーク (インターネット) と内部ネットワーク (データ入出力ネットワーク、制作チーム) 間でのコンテンツの移動には、専用のデータ入出力システムを使用する
- ネットワークに取り込む前に、すべてのコンテンツに対してウイルス/マルウェアスキャンを実行する
- 実現可能な場合は、入出力の専任オペレーターを採用する
- エンドポイント、システム、アプリケーション、インフラストラクチャを構成するためのセキュリティの基準と方針を制定し、展開します。その際、デバイスセキュリティ、アプリケーション、システムの強化などのガイダンスを文書化する必要があります。モバイルデバイス用に、モバイルデバイス管理 (MDM) やモバイルアプリケーション管理 (MAM) を導入します。セキュリティ基準では次のことを定めます。
- ウイルス対策/マルウェア対策を講じる
- ゲストアカウントを無効にする、または不要なアカウントを削除する (デフォルトの管理アカウントを含む)
- デバイス (ノートパソコン、モバイルデバイスなど) を暗号化する
- ローカルファイアウォールを有効にして、リモートアクセスを無効にする
- スクリーンセーバーロックやアカウントロックを有効にする
- オペレーティングシステムを常に最新の状態にする
- デバイスのリモートワイプを実行する
- コンテンツを処理または保管するシステムには、エンドポイント管理ソフトウェアをインストールしてください。たとえば、ワークステーション、サーバー、SAN/NAS、仮想マシンなどのシステムが対象です。セキュリティ基準や利用規定に沿ったポリシーが必要です。制定された基準からシステムが逸脱している (例: パッチが未適用、構成が誤っている) 場合に、ソフトウェアがそれを報告できれば理想的です。
- セキュリティ上の問題を検知して修正するために、EDR (Endpoint Detection and Response) システムを導入します。
- モバイルデバイス (スマートフォン、タブレット、ノートパソコンなど) には、デバイスから業務データを削除したり、会社が制定した基準/ポリシーを実施したりできる一定程度のMDMまたはエンドポイント管理を導入します。
- 適切なログを維持し、確認します。作業環境やNetflixコンテンツに対するリスクや異常を特定するため継続的なモニタリングを実施します。可能な場合は、システムやアプリケーションのすべてのアクティビティとユーザーログを収集するSIEM (Security Information and Event Management) システムを導入し、IDベースの攻撃や異常な挙動 (認証試行を含む) を自動的に特定できるようにします。
- 現在進行中のプロジェクトの期間からさらに1年間、Netflix素材に対するすべての認証とアクセスに関するログを保管します。
- コンテンツがアクセス、保存、処理されるシステムへのアクセスに対し、多要素認証 (MFA) やその他の業界標準の認証手段を実装します。インターネットに接続しているツールやアプリケーション、システムなどでは必ずMFAを使用してください。
- 認証および権限に関するポリシーを策定し、定期的に見直します。
- ユーザー、サービス、アプリケーション、システムはすべて認証の実施対象とし、参加者が実行するアクティビティの正当性を確認します。
- ユーザー認証情報はユーザーごとに固有とし、絶対に共有しないでください。グループアカウントや共有アカウントは認められません。
- SMSは、MFAの形式として推奨されません。
- すべての情報システムへのアクセスを適切に管理するためのIAM (IDおよびアクセス管理) プロセスを確立し、次のようなことを策定します。
- プロジェクト、アセット、役割を区分できるよう、アクセス制御モデルを定義する
- 「最小権限」のアプローチを採用し、個人の職務に必要なデータへのアクセスのみ許可する
- Netflixデータ、顧客データ、ベンダー固有のデータを論理的/物理的に厳密に分離する
- 可能な場合は、Netflix SSOと統合する
- ユーザー、役割、権限を確認し、不要になったときにアクセス権 (Netflixのツールやシステムへのアクセス権を含む) を削除するためのIDライフサイクル管理の手続きを決定する
- クラウドやシステムの不適切な構成や脆弱性を検出して対処するためのプロセスを定めて実施します。可能な場合は、スキャンツールやその他の自動化プロセスを利用します。不適切な構成や脆弱性が検出されたときは、早急に調査して修正します。
- 使用中のクラウドプラットフォームでどのようなセキュリティに依存しているのかを把握します。該当するコンポーネントでセキュリティの脆弱性が見つかった場合には確実に通知を受け取れるようにします。
- クラウドプロバイダーが推奨するセキュリティ対策を常に実践します。
- クラウドのセキュリティ設定にはクラウドプロバイダーから提供されるツールまたは第三者ツールを使用し、手動での設定は避けてください。
- IaaSやPaaSシステムの使用に関するセキュリティをテストするためのポリシーと手続きを定めます。
- すべてのSaaSアクティビティを監視して不審なアクティビティを検出するためのメカニズムを実装します。認証情報の不正使用検出を目的とした監視を必ず追加してください。
- マルチクラウドを利用する場合、一元的なセキュリティ管理ソリューションを使用します。少なくとも、単独のマルチクラウド環境で、すべてのクラウドコンポーネントに対してシングルサインオン (SSO) のIAMを設定する必要があります。
- アプリケーションのセキュリティ上の脆弱性を回避するため、業界標準の安全なコーディング手法 (SSDLC: セキュアなソフトウェア開発ライフサイクル) を採用します。たとえば、各ビルドやアップデートに対するセキュアなコードレビュー、継続的なスキャン、第三者による検証などを実施します。
- 自社開発のツール、アプリケーション、システムを対象とするアプリケーション構成ガイドラインを管理します。セキュアな構成、変更管理、テスト手順などに関するポリシーを定めてください。インターネットに接続しているアプリケーションについては、年に一度、第三者による評価を実施する必要があります。
- 業界標準のペリメーター (境界) セキュリティまたはゼロトラストアーキテクチャをネットワークに実装します。外部からアクセス可能なサーバーは、社内ネットワークではなく、DMZ、VLAN、または仮想プライベートクラウド内のパブリックサブネットDMZ内に配置してください。基本的に、ネットワークトポロジーは多層セキュリティとし、単独のフラットネットワークにはしないでください。
- コンテンツ/制作用のネットワークとシステムは、物理的または論理的セグメンテーションを使用して、制作用以外のネットワークと分離します。
- 可能な場合は、デバイス間の通信を制限します。
- コンテンツが格納されているシステムでのアウトバウンドとインバウンドのインターネット接続はすべて制限します。ネットワークとシステムは、デフォルトで「すべて拒否」に設定し、業務上の目的で必要となるサービスやアプリケーション、サイトには明示的なアクセス許可を付与します。
- インターネットアクセスは制限し、特定の業務目的に対してのみ一時的に許可するようにしてください。
- 外部ネットワークを分離するために、ステートフルインスペクションファイアウォールを設置します。アクセス制御リスト、ログ、構成変更を確認するための変更管理プロセスを定めます。
- インターネットに接続しているアプリケーションやAPIの前にウェブアプリケーションファイアウォールを設置します。
- ファイアウォールの管理には、インターネット経由で直接アクセスできないようにする必要があります。
- ネットワークベースの不正侵入検知/防御システム (IDS/IPS) を実装するためのプロセスを採用します。このシステムで、不審なアクティビティを警告してブロックしたり、ゲートウェイによるウイルス対策やURLフィルタリングを提供したり、攻撃のシグネチャと定義を最新の状態に維持したりするほか、関連するアクティビティや構成変更をすべて記録する必要があります。
- リモートアクセスに対するポリシーとプロセスを定義し、MFA、セキュリティを強化したVPN構成、暗号化された接続、リモートセッションの時間制限などを実装します。リモートアクセスは、プロジェクトや業務上の特定の目的に対して承認された個人にのみ許可するようにしてください。
- Wi-Fiの使用に関するポリシーとプロトコルを制定し、最新のWi-Fiセキュリティプロトコルが使用されていることを確認します。社内ネットワークやゲストネットワークからは、コンテンツが保管されるネットワークにアクセスできないようにしてください。
- すべてのコンテンツと業務データは必ず、暗号化されているストレージデバイス (PC、ノートパソコン、モバイルデバイス、リムーバブルメディアなど) に保管します。復号キーは、デバイスとは別の場所に保管し、分けて送信してください (たとえば、付箋などにメモしないでください)。
- 実際のセキュリティ脆弱性またはその可能性に対応するため、パッチやその他のコントロールをできる限り速やかに特定し、システムやアプリケーションに適用するためのプロセスとプロトコルを実施します。
- データ、アプリケーション、ネットワーク、システムの変更が確実にレビューされ、承認されるようにするための変更管理計画を実施します。この計画の一環として、次のことを確認します。
- システム、エンドポイント、コンポーネント、ソフトウェア、その他の関連アセットのリストが作成されている
- 変更が文書に記録されており、システムや関連データが特定されている
- 適切なバックアップ手順が用意されている
物理的セキュリティ管理
- 非公開データが保管される物理的な場所やエリア (マシンルーム、プレイバックルームなど) を守るための妥当な手段を確保します。たとえば、電子的なアクセス制御、監視カメラ、アラームシステム、環境管理などです。記録や証拠の保管と確認、当該システムや設備の定期的なチェックを実施し、脆弱性や異常に対応できるよう適宜改正します。
- 施設や設備にアクセスできるのは業務上の目的がある個人のみに制限し、不要になったときはアクセス権限を取り消します。
- ビジター管理プロセスを定めて、訪問者名の記入と訪問者へのID付与、訪問者によるNDAの署名、非公開データの保管場所への訪問者立ち入り制限などを実施します。