Epicオンラインサービスの信頼ステートメント

Epicは、デベロッパーの皆様がビデオゲームで使用することができる一連のオンラインサービス(「Epicオンラインサービス」)を開発しています。このオンラインサービスは、Epicが自社のビデオゲームに期待するものと同じ方法および同レベルの品質のサービスを、デベロッパーの皆様がビデオゲームで使用できるよう提供することを目的としています。

ゲームデベロッパーとして当社は、セキュリティと信頼が最も重要であることを理解しています。当社は、情報システム、知的財産、個人データ、および顧客データを不正利用や漏洩から保護することに努めています。

その努力の一環として、当社では、包括的なセキュリティ/リスクプログラムを導入しており、Epicオンラインサービスおよび顧客データの喪失、不正利用、不正アクセス、不正開示を防止する管理的/技術的な保護対策を実施しています。

セキュリティプログラム

Epicのセキュリティプログラムは、リスクベースの戦略と堅固な管理フレームワークを組み合わせて定義し、常識的な多層防御システムを構築することにより、セキュリティとレジリエンスを確保するものです。

Epicは、米国CIS(Center for Internet Security)の「クリティカルセキュリティコントロール」フレームワークを採用して、Epicオンラインサービスにおける企業のセキュリティ要件・管理の開発およびレビューを行っています。

安全な環境維持への取り組みを示すため、Epic Gamesでは、Epicオンラインサービスに関する各種ポリシーおよび運用セキュリティ基準を定めています。このセキュリティ基準は、一般的な脅威やサイバー攻撃に対する基本的なアクションと保護手段を効率的に確立するよう設計されています。

また上記のポリシーは、当社の顧客のために以下の原則に焦点を合わせています。

·  セキュリティの統合

·  セキュリティリスクの管理

·  アクセスの管理

·  データの保護

·  脅威の監視 

  • セキュリティの統合 – 当社経営陣は、サービス・製品の開発ライフサイクルの過程でビジネス/運用プロセスにおけるセキュリティの構築を支援することにより、セキュリティ重視の文化を促進しています。継続的な改善アプローチによるセキュリティの統合を目標とするものです。
  • リスクの管理 – 当社は、先見性のあるプロセスと管理を通じて、機密性、完全性、可用性のリスクを積極的に管理しています。脅威や脆弱性が発見された場合にはリスク評価を行います。また、経営陣の認知度と改善策のために、リスクと緩和策を文書化して追跡します。
  • アクセスの管理 – Epicオンラインサービスは、保管、処理、送信の過程において、お客様の情報を論理的に分離するよう設計されています。顧客データへのアクセスは、ロールベースアクセス制御とデータ保護コントロールの導入により、厳しく管理されます。Epicは、全ての社員に対し、顧客データへのアクセス権を付与する前にセキュリティトレーニングを修了することを義務付けています。当社のアクセス管理システムは、業務上必要とする社員にのみアクセス権を付与するように設計されており、付与した後も引き続き業務上の必要があるか否かを検証するために定期的なレビューを行っています。また、EOSデータへのアクセスは全て認証方式によって制限されています。
  • データの保護 - Epicオンラインサービスでは、リスクベースのフレームワークを採用して、セキュリティ管理を適用するデータを分類しています。また、社員のトレーニングとアクセス制御を通じてデータの反競争的使用を防止しています。
  • 脅威の監視 – 当社では、発見的統制により運用環境における潜在的な脅威要因を警告するメカニズムを導入しています。Epicのテレメトリ機能は運用とセキュリティの継続的な測定を行うもので、一元的にアクセス制御されたリポジトリへのログ送信を可能にすることにより、イベントとアラートを生成し、運用とセキュリティの可観測性を確保しています。

違反通知

Epicは、お客様の知的財産データ、個人データ、顧客データに対する情報の不正な破壊、開示、破損、喪失を発見した場合、あるいはこれらのデータを含む環境における違反を確認した場合、可能な限り速やかにお客様に通知いたします。 

責任ある開示 

Epicのサービスまたは製品に関して脆弱性やセキュリティ上の問題を発見したと思われる場合には、ぜひメール(security@epicgames.com)にて当社にお知らせください。