Dockerでは、誰もがセキュリティに責任があると考えています。Dockerには、組織内外のサイバーセキュリティを担当する経営陣の支援を受けたクロスコラボチームがあります。チームはセキュリティエンジニアリング、コーポレートセキュリティ、IT、ガバナンスリスクおよびコンプライアンス(GRC)リソースで構成されています。

このグループは、社内および製品のセキュリティイニシアチブを推進し、監査、インシデントおよび脆弱性の管理、製品、プロジェクト、ベンダーなどのセキュリティレビューで協力します。

Dockerのセキュリティ発表で当社のセキュリティRSSフィードを購読してください。また、リリースノートで製品セキュリティ情報もご覧いただけます:

• Docker Desktop リリースノート
• プラットフォームリリースノート
• Docker Hub リリースノート
• Scoutリリースノート

はい。Dockerには、文書化された情報セキュリティポリシーがあり、その範囲には多くのサブポリシーがある包括的な包括的なポリシーがあります。 多くのポリシーをまとめて、当社の情報セキュリティ管理システム(ISMS)を構成しています。

Dockerは、自動化された継続的なテストのためにコンプライアンスツールを利用します。 リスクレベルに基づいて統制を定期的にテストしますが、すべての統制は少なくとも年に1回テストされます。

Dockerには信頼できる第三者が毎年当社の製品のペネトレーションテストを実施しています。Docker Desktop、Hub、Scout、Build Cloud、Testcontainers Cloud、DHI、Offloadは定期的にテストされています。新しい市販製品が導入される際には、スコープ化や試験プログラムへの組み込みが評価されます。テストの要約および修復状況報告は、NDAの下で当社のトラストセンターを通じてお客様に提供しています。

DockerはWhisticプラットフォーム上でホストされているTrust Centerを通じて、NDAの下で顧客および見込み顧客とセキュリティポリシーのTOCを共有しています。顧客は書類提出の依頼が可能です。

Dockerには脆弱性管理ポリシーがあり、資産スキャン、ウイルス対策/マルウェア対策、特定された脆弱性の修復・リスク受容の要件が含まれています。すべての脆弱性はリスク評価され、Dockerのチケットシステムに記録され、適切なチームに割り当てられて対応されます。

はい、Dockerは新規かつ適用される第三者のオンボーディングの一環としてベンダーデューデリジェンスレビューを実施しています。レビューでは各ベンダーのリスクを分析し、コンプライアンス証明(例:SOC 2、ISO 27001、ISO 27701の検査も含まれます。 PCI)およびその他のセキュリティおよびコンプライアンス関連の文書。

はい。Dockerは、重大でリスクの高いセキュリティイベントを24時間週7日監視およびアラートします。 アラートはSIEMツールに記録されます。 重大イベントや重大イベントは、セキュリティ オンコール ツールにルーティングされます。

はい。Docker には、セキュリティとプライバシーの要件を定義する正式な SSDLC ポリシーがあります。 すべての新しい Docker 製品と機能は、セキュリティとコンプライアンスのレビューを受ける必要があります。 Docker は OWASP のベスト プラクティスにも従っています。

はい。 すべてのデータは、転送中および保存中に暗号化されます。 Docker は、TLS 1.2 以降、AES-256 などを利用します。

はい。Dockerは、現地の法律で許可されている場合、雇用前に該当するすべての従業員の身元調査を実施します。 これには、雇用、犯罪、専門職、学術、および参照が含まれます。

はい。Dockerは、人事採用、オンボーディング、オフボーディング、アクセス制御ポリシーを文書化、承認、伝達しています。 担当者が解雇されると、Docker は 24 時間以内にアクセスを削除します。 また、必要に応じて、異動や職務変更のためのアクセス変更も行います。

はい。権限を持つDocker従業員および契約者のみが、職務内容に応じて必要に応じてスコープデータにアクセスできます。Dockerは最小権限の原則に基づいてアクセスを提供します。