ECS：CASのコンプライアンス

コンプライアンス

電子記録の保存に関する政府および業界標準をサポートするECS機能について説明します。

ECSは、Cohasset Associates Incによって認定された、次の規格のストレージ要件を満たしています。

• 証券取引委員会(SEC)規則17 C.F.R. 240.17a-4(f)
• 商品先物取引委員会(CFTC)規則17 C.F.R. 1.31(b)-(c)

コンプライアンスには、次の3つの要素があります。

• プラットフォームの強化: 一般的なセキュリティの脆弱性への対処。
• ポリシーベースのレコード保存: 保存中のレコードの保存ポリシーを変更する機能を制限します。
• コンプライアンス レポート: システム エージェントによる定期的なレポートには、システムのコンプライアンス ステータスが記録されます。

プラットフォームの強化とコンプライアンス

次のECSセキュリティ機能は、コンプライアンス標準をサポートしています。

ECSプラットフォームのセキュリティ機能:

• ノードへのユーザー ルート アクセスは無効です(ユーザー ルート ログインは許可されません)。
• ECSのお客様は、初回インストール時に設定された管理者ユーザーを介してノードにアクセスできます。
• adminユーザーは、sudoを使用してノードでコマンドを実行します。
• sudoコマンドの完全な監査ログがあります。
• ESRSでは、ノードへのすべてのリモート アクセスをシャットダウンできます。ESRS Policy Managerで、Start Remote TerminalアクションをNever Allowに設定します。
• 不要なポート(ftpd、sshd)はすべて閉じられます。
• ロック管理者ロールを持つemcsecurityユーザーは、クラスター内のノードをロックできます。これは、SSHによるネットワーク経由のリモート アクセスが無効になっていることを意味します。その後、ロック管理者はノードのロックを解除して、リモート メンテナンス アクティビティまたはその他の許可されたアクセスを許可できます。

コンプライアンスと保存ポリシー

コンプライアンス対応ECSシステムでのレコード保存に関する拡張ルールについて説明します。ECSは、オブジェクト、バケット、ネームスペースのレベルでオブジェクト保存機能をOnに設定します。コンプライアンスは、保存中のオブジェクトに対する保存設定の変更を制限することで、これらの機能を強化します。ルールは次のとおりです。

• コンプライアンスはネームスペース レベルで設定されます。つまり、ネームスペース内のすべてのバケットの保存期間をゼロより長くする必要があります。CASの場合、[ Enforce Retention Information in Object ]設定がオンになっている限り、保存期間がゼロのバケットを作成できます。
• コンプライアンスは、ネームスペースを作成する場合にのみオンにできます。(コンプライアンスを既存のネームスペースに追加することはできません)。
• コンプライアンスは、いったんオンにするとオフにすることはできません。
• ネームスペース内のすべてのバケットの保存期間は、ゼロより大きい必要があります。
  メモ: オブジェクト レベルの保存期間を割り当てるアプリケーションがある場合は、ECSを使用してアプリケーションの保存期間よりも長い保存期間を割り当てないでください。このアクションにより、アプリケーション エラーが発生します。
• データを含むバケットは、保存期間の値に関係なく削除できません。
• バケットに [Infinite] オプションを適用すると、Complianceenabledネームスペース内のバケット内のオブジェクトを恒久的に削除できなくなります。
• オブジェクトの保存期間を削除したり、短縮したりすることはできません。したがって、バケットの保存期間を削除したり、短縮したりすることはできません。
• オブジェクトとバケットの保存期間を延長できます。
• 保存中のオブジェクトは削除できません。これには、CAS privilegeddelete権限を持つユーザーが含まれます。

コンプライアンス エージェント

コンプライアンス エージェントの動作について説明します。

コンプライアンス機能は、コンプライアンスの監視を除き、デフォルトでオンになっています。監視がオンになっている場合、エージェントは定期的にメッセージをログに記録します。