iDoperation Series Cloud セキュリティホワイトペーパー
IDOPERATION SERIES CLOUDSWP2410
最終更新日:2024年10月3日
はじめに
NTTテクノクロスは、iDoperation Series Cloudの提供に際してISO/IEC 27017に準拠したセキュリティ方針を採用し、 お客様とNTTテクノクロスの両者が安全かつ信頼できる環境でサービスを提供できるよう努めています。
1.(セキュリティ方針)
設計時のセキュリティ |
|
実装時のセキュリティ |
|
内部リスク管理 |
|
テナントの隔離 |
|
お客様環境へのアクセス |
|
お客様への変更通知 |
|
テナントのセキュリティ |
|
お客様データへのアクセス |
|
インシデント対応 |
|
お客様アカウントの管理 |
|
2. (コンプライアンス認証)
プライバシーマーク | NTTテクノクロスは、プライバシーマークの認証を取得しています。 |
ISO/IEC27001 | iDoperation Series Cloudは、ISO/IEC27001の認証を取得しています。 |
3. (クラウドセキュリティ)
クラウドサービスのセキュリティ |
クラウドコンピューティング環境について以下を確認の上、NTTテクノクロスのセキュリティレベルを満たしていることを確実とする。
|
クラウドサービスのアカウント管理 | クラウドサービスを利用する際は、iDoperation Series Cloudの運用責任者が必要最小限の特権アカウントを作成と、 特権アカウント管理を行うものとする。特権アカウントを使用する際は、iDoperation Series Cloudの運用責任者の承認の基、 最小限の特権の原則で運用するものとする。 |
クラウドサービスの提供場所 | クラウドサービスを利用する際は、クラウドサービス事業者の所在地と、お客様データが保存される国が、NTTテクノクロスが許容する安全な地域であることを確認する。 |
設備・施設 | iDoperation Series Cloudは、ISO/IEC27001に準拠したAWSデータセンターでサービスデータを保護しています。
AWSのコンプライアンスプログラムについて確認する。 AWSインフラストラクチャサービスには、バックアップ電源、HVACシステム、防火設備が含まれ、サーバーとお客様のデータを保護しています。 AWSのデータセンターについて確認する。 |
オンサイトセキュリティ | AWSオンサイトセキュリティには、警備員、フェンス、監視カメラ、侵入検知技術、およびその他のセキュリティ対策が含まれます。 AWSの物理的なセキュリティについて確認する。 |
データホスティングの場所 | iDoperation Series Cloudは、日本にあるAWSデータセンターを利用しています。 |
リスク分析 | iDoperation Series Cloudは、サービスデータに任意のレベルのアクセス権を持つすべてのベンダーに対し、 セキュリティレビューを実行することにより、サードパーティベンダーに関連するリスクを最小化しています。 |
保護 | iDoperation Series Cloudのネットワークは、AWSの主要なセキュリティサービスで保護しています。 |
アーキテクチャ | iDoperation Series Cloudのネットワークセキュリティアーキテクチャは、複数のセキュリティゾーンで構成されています。 データベースサーバのような機密性のより高いシステムは、最も信頼性の高いゾーンで保護しています。他のシステムは、機能や情報分類、リスクに応じて、機密性に見合ったゾーンで保護しています。 |
ネットワークの脆弱性スキャン | ネットワークセキュリティスキャンにより、コンプライアンスに準拠していないシステムや潜在的に脆弱なシステムを特定するためのインサイトを取得して対応しています。 |
セキュリティインシデントイベント管理 | iDoperation Series Cloudのセキュリティインシデントイベント管理(SIEM)システムは、運用中のシステムから膨大なログを収集しています。 SIEMは、調査と対応のために運用チームに警告を行っています。 |
侵入検知と防御 | iDoperation Series Cloudは、構成システム内の変則的挙動を監視・検知します。 インシデントと値が所定のしきい値を超えたときに、運用チームに警告を行っています。 |
脅威インテリジェンスプログラム | NTTテクノクロスは、様々な脅威インテリジェンス共有プログラムに参加しています。 脅威インテリジェンスネットワークに投稿された脅威を監視し、リスクに基づいて対応しています。 |
DDoS攻撃の緩和策 | iDoperation Series Cloudは、多層アプローチを構築し、DDoS攻撃を軽減しています。 AWSのスケーリングと保護ツール、AWS DDoS特定サービスを併せて使用することにより、強靭な保護を提供しています。 |
論理アクセス | iDoperation Series Cloudの本番ネットワークへのアクセスは、運用チームに制限されており、最小限の特権の原則で運用されています。 また、本番環境へのアクセスは監査、監視されており、iDoperation Series Cloudの運用責任者が管理しています。 iDoperation Series Cloudの本番ネットワークにアクセスする従業員は、多要素認証を実行する必要があります。 |
リスク分析 | iDoperation Series Cloudは、サービスデータに任意のレベルのアクセス権を持つすべてのベンダーに対し、 セキュリティレビューを実行することにより、サードパーティベンダーに関連するリスクを最小化しています。 |
セキュリティパッチの適用 | セキュリティパッチの適用は、標準で月1回の周期で実施しています。加えて、緊急度が高い脆弱性や重要なセキュリティアップデートについては、随時実施します。 これにより、最新のセキュリティ状態を維持し、脆弱性からシステムを保護します。 |
アクセス制御の実施 | 強固なパスワードによる認証と最小権限の原則に基づくアクセス制御を実施します。 |
ポート、プロトコル、サービスの制限 | ホスト上での通信は、必要なポートとプロトコルのみを有効にし、不要なポートやサービスは無効にしています。これにより、攻撃の対象面を最小限に抑えています。 |
セキュリティソフトウェアの導入 | アンチウイルスソフトウェアを使用してホストを保護します。これにより、ウイルスやマルウェアの検知と防止を行います。 |
ログの取得と監視 | ホストの認証ログや操作ログなどの監査ログを取得し、定期的に点検しています。これにより、不正アクセスを早期に検知します。 |
ホストの処分 | ホストの処分については、予め定められたデータ保持期間終了後に、復元できない形で削除します。 |
クロック同期 | システムの安定性と正確なデータ処理を確保するために、iDoperation Series Cloudでは、 信頼性の高いNTPサービス(Amazon Time Sync Service)を使用してクロック同期を実施しています。 |
転送時の暗号化 | iDoperation Series CloudのUIとAPIにおける通信はすべて、パブリックネットワークを介した業界標準のHTTPS/TLS(TLS 1.2以上)で暗号化されます。これにより、お客様とiDoperation Series Cloudとの間に発生するすべてのトラフィックは、転送時も安全に保護されます。またメールについては、TLSによる暗号化を採用しています。 Transport Layer Security(TLS)は、メールを暗号化して安全に配信するプロトコルです。同等のサービスによってこのプロトコルがサポートされているメールサーバ間において、盗聴を軽減しています。 |
保管時の暗号化 | お客様データは、AWSへの保存時に、AES-256暗号鍵を使用して暗号化しています。 |
アップタイム | iDoperation Series Cloudのアップタイムは、サービスレベルアグリーメントに掲載しています。 |
冗長性 | iDoperation Series Cloudは、AWSの各種サービスによって、冗長化しています。また、インスタンスの冗長化オプションによって、可用性をさらに高める事が出来ます。 |
バックアップ | iDoperation Series Cloudは、機密性、完全性、可用性の保持および維持のために、バックアップおよび復旧サービスを提供します。バックアップおよび復旧サービスの信頼性を確保するために、定期的なテストを実施しており、バックアップデータが確実に復元できることを確認しています。
|
4. (アプリケーションセキュリティ)
品質保証 | 開発チームでコードをレビューし、テストしています。 NTTテクノクロスの品質保証部門を含む担当者による出荷判定をクリアした機能がリリースされます。 |
環境の分離 | テスト環境およびステージング環境は、論理的に本番環境と分離されています。サービスデータは、開発環境やテスト環境では一切使用しません。 |
開発端末のセキュリティ | 開発端末のセキュリティに関しては、NTTテクノクロスの標準セキュリティ対策に準拠しています。 |
開発端末の処分 | 開発端末の処分については、NTTテクノクロスの標準手順に従い、安全かつ適切に行っています。 |
動的な脆弱性スキャン | iDoperation Series Cloudは、サードパーティ製のセキュリティツールを導入し、OWASPのセキュリティリスクに対し、主要アプリケーションの動的スキャンを継続的に行っています。 NTTテクノクロス内の専任の脆弱性診断チームによるテストを実施し、開発チームと協力して、検知された問題の修正を行っています。 |
ソフトウェア構成分析 | iDoperation Series Cloudで使用されるライブラリをスキャンして脆弱性を特定し、検出された脆弱性に対応しています。 |
サードパーティによる侵入テスト | NTTテクノクロスで実施する脆弱性スキャンに加えて、毎年サードパーティのセキュリティ専門家に依頼し、iDoperation Series Cloudに対する侵入テストを実施して対応しています。 |
お客様による侵入テスト |
お客様によるお客様環境に対する侵入テストは、以下の条件を満たす場合、原則として実施を許可しています。
|
5. (製品のセキュリティ)
認証オプション | iDoperation Series Cloudにはいくつかの認証オプションがあり、iDoperationネイティブ認証、多要素認証(MFA)、外部IdP認証(SAML、OpenID)を利用できます。 |
設定可能なパスワードポリシー | iDoperation Series Cloudは、ユーザのパスワードポリシーを設定することが出来ます。また、管理する特権アカウントのパスワードポリシーをカスタマイズすることが出来ます。パスワードポリシーを変更できるのは管理者のみです。 |
サービス資格情報の保管 | iDoperation Series Cloudは、認証情報の安全な保管に関するベストプラクティスにしたがい、人間が読める形式で認証情報を格納することはありません。認証情報は、すべて暗号化されて格納されます。 |
ロールベースアクセスコントロール | iDoperation Series Cloud内のデータへのアクセスは、ロールベースアクセスコントロール(RBAC)で管理され、きめ細かなアクセス権を定義する事ができます。 iDoperation Series Cloudには管理者、承認者、利用者などのユーザのタイプごとに、様々な権限レベルが用意されています。 |
IP制限 | iDoperation Series Cloudへのアクセスを、特定の範囲のIPアドレスのユーザに制限することができます。 許可されたIPアドレスのユーザだけが、iDoperation Series Cloudにサインインできます。 |
監査ログ | 以下のログを記録し、1年間保存しています。監査ログの取得をご希望の場合は、テクニカルサポートまでご連絡ください。
|
監査レポート | iDoperation Series Cloudは、監査用に各種レポートを提供しています。これらのレポートでは、アカウントの変更、ユーザの変更、特権IDの利用等を閲覧する事が可能です。 |
アダプティブ認証 | iDoperation Series Cloudは、疑わしいログインを自動的にブロックするアダプティブ認証を行うことができます。 |
iDoperation Series Gateways | iDoperation Series Cloudとお客様環境をセキュアに接続する、接続インターフェイスを提供します。接続先に応じた3つのインターフェイスが用意されています。
|
6. (運用のセキュリティ)
運用端末のセキュリティ | 運用端末のセキュリティに関しては、NTTテクノクロスの標準セキュリティ対策に準拠しています。 |
運用端末の処分 | 運用端末の処分については、NTTテクノクロスの標準手順に従い、安全かつ適切に行っています。 |
運用チームへの追加のセキュリティトレーニング | 全従業員が入社時から毎年受講するセキュリティ意識向上トレーニングに加えて、運用チームのすべてのメンバーは、追加のセキュリティトレーニングを受講しています。 |
報告対象のインシデント | iDoperation Series Cloudでは、以下のインシデント発生時にお客様に報告します。
|
インシデント検出後の情報開示内容 | インシデントの検出後、以下の情報をお客様に開示します。
|
インシデント検出後の通知の目標時間 | インシデントの検出後、以下の時間を目標にお客様に通知します。
|
インシデント検出後の通知方法 | インシデントの検出後、以下のいずれかの通知方法でお客様に通知します。
|
インシデント検出後の対応窓口 | インシデントの検出後の対応窓口は、あらかじめ定められたテクニカルサポート窓口を通じて提供されます。 |
インシデント検出後の対応 | インシデントの検出後、迅速かつ効果的に対応するため、以下の対応を実施します。これにより、被害の拡大を防ぎ、システムの安全性を確保します。
|
インシデント対応状況の確認方法 | インシデントの通知後、お客様が対応状況を継続的に把握できるよう、定期的な進捗報告の通知を実施します。 これにより、お客様はインシデント対応の進捗状況や対応策について最新の情報を把握することができます。 |
7. (人事部門のセキュリティ)
トレーニング | 全従業員が入社時から毎年、セキュリティ意識向上トレーニングに参加しています。 |
機密保持契約 | NTTテクノクロスは、全従業員に機密保持契約への署名を求めています。また、請負業者との契約時に機密保持契約を締結しています。 |
以上