データ保護と情報セキュリティ
お客様とパートナー企業のデータを保護することは、Twist の重要な責任であり、最優先事項です。当社のお客様やパートナー企業からは、知的財産の基礎となりうる機密情報が託されています。Twist では、重要な顧客データを保護するために、不正アクセスやデータ侵害、サイバー脅威から機密情報を保護するための強固なセキュリティ対策を実施するとともに、暗号化、安全なストレージシステムの使用、厳格なアクセス管理を行っています。当社は、明確なデータ取扱方針を定め、情報セキュリティのベストプラクティスについて定期的な従業員教育を実施し、関連する国内外のデータ保護規制を遵守するとともに、さらにより進んだ対策を講じています。新たな脆弱性に対処するためには、定期的なセキュリティ監査とシステムの更新が不可欠です。
Twist の情報セキュリティプログラムは、品質、プライバシー、バイオセキュリティの各プログラムと同様、国際基準を元に構築されており、当該分野の複数の専門家によって監督され、厳格かつ継続的に精査されています。
Twist は、最新の 2022 年改訂版の ISO 27001 認証を取得しています。独立した認定認証機関が毎年 Twist を監査し、Twist の人材、プロセス、技術といった情報セキュリティプログラムのすべての作業部分が、基準に適合しているか、または基準を上回っていることを確認します。Twist の取締役会は、当社の最上層部としてすべての取り組みを監督しています。
人材
当社の全従業員が、フィッシングやソーシャル・エンジニアリング等に関する、サイバーセキュリティ意識向上プログラムのトレーニングを受けています。このプログラムには、年一回のトレーニング、四半期ごとのテスト、週一回の情報周知活動が含まれており、デジタルセーフティに対する当社で働く人々の意識を高く保っています。
従業員の身元調査の実施や、役割と責任の明確化、アクセス制御への厳格な原理(必要最小限の権限)の適用を行い、職務の分離をポリシーと業務に組み入れています。
当社は、コンプライアンス専門家、ペネトレーションテスト担当者、セキュリティオペレーションセンターチーム、サイバーセキュリティ専門の法律事務所、そして Center for Internet Security(CIS、米国インターネットセキュリティセンター)、MITRE、United States Computer Emergency Readiness Team(米国コンピュータ緊急対応チーム、US-CERT)、Cybersecurity and Infrastructure Security Agency(米国サイバーセキュリティインフラストラクチャセキュリティ局、CISA)、Federal Bureau of Investigation(米国連邦捜査局、FBI)などの国家機関や国際機関と連携しています。
当社の経営陣(ELT)、監査委員会(AC)、製品承認委員会(PAC)はすべて、当社のサイバーセキュリティ態勢について定期的に説明を受け、戦略と優先事項に関するガイダンスを提供しています。
取締役会は、半年に一度、サイバーセキュリティの状況とロードマップの成熟度について説明を受けます。
プロセス
- データ保護の実践が適用法およびサイバーセキュリティのベストプラクティスに確実に準拠するようにするための ISO 27001 の年次監査および再認証。
- 情報セキュリティチームが毎年実施し、CIO が後援するリスク評価。
- 第三者認定機関による年次ペネトレーションテスト。
- 当社のプログラムおよびサービスの両方における継続的な脆弱性検査および脆弱性緩和措置。
- すべての重要なアプリケーションに対する四半期ごとのアクセス管理レビュー。
- サイバーセキュリティインシデントや自然災害に対処するためのインシデントレスポンス、事業継続、災害復旧のポリシーおよび手順。
- ベンダー選択セキュリティ評価およびベンダー評価によるサプライチェーン管理。
- 適用される個人情報保護法および規制に沿った会社のプライバシーポリシーおよびプライバシー慣行。
テクノロジー
AWS の SOC 監査を受けたデータセンターに収容された生産インフラ
AI によるエンドポイント保護およびゲートウェイセキュリティ
ID のライフサイクル管理
シングルサインオン、多要素認証、VPN
機密情報管理・特権アクセス管理
KMS を用いた静止時および転送時の暗号化
次世代ファイアウォール技術、セグメント化されたネットワーク、証明書ベース認証
