iDoperation Series Cloud セキュリティホワイトペーパー

IDOPERATION SERIES CLOUD

SWP2410
最終更新日:2024年10月3日

はじめに

NTTテクノクロスは、iDoperation Series Cloudの提供に際してISO/IEC 27017に準拠したセキュリティ方針を採用し、 お客様とNTTテクノクロスの両者が安全かつ信頼できる環境でサービスを提供できるよう努めています。

    1.(セキュリティ方針)

    設計時のセキュリティ
      ・ システム設計時にセキュリティ要件を明確に定義し、脆弱性がないことを確認する。
    実装時のセキュリティ
      ・ コードレビュー、脆弱性スキャン、侵入テストを実施し、セキュリティリスクを最小化する。
    内部リスク管理
      ・ 内部関係者のアクセス権限を最小限にし、職務分掌の原則に基づいてアクセスを管理する。 ・ 内部関係者の行動を監視・記録し、不正行為を早期に検出する。 ・ 内部関係者に対して定期的にセキュリティトレーニングを実施する。
    テナントの隔離
      ・ テナント間のデータとリソースを隔離するために、お客様ごと専用インスタンスを用意してセキュリティを強化する。
    お客様環境へのアクセス
      ・ お客様環境へのアクセスは、運用チームに制限し、アクセス監査を定期的に実施する。
    お客様への変更通知
      ・ 変更管理手続きを確立し、重要な変更についてお客様に事前通知する。 ・ 変更による影響評価とリスク管理を徹底する
    テナントのセキュリティ
      ・ 仮想マシン含むiDoperation Series Cloudのインスタンスのセキュリティ設定を標準化し、定期的にアップデートとパッチ適用を実施する。 ・ 仮想ネットワークの分離とセグメント化を行い、異なるテナント間の通信を制限する。
    お客様データへのアクセス
      ・ お客様データへのアクセスを厳格に制御し、アクセスログを監視する。 ・ データ暗号化を標準とし、データの機密性と完全性を保護する。
    インシデント対応
      ・ インシデント発生時には、迅速にお客様に、インシデントの詳細、影響範囲、対応策を報告する。
    お客様アカウントの管理
      ・ iDoperation Series Cloudのアカウントの作成および管理は、お客様の責任において実施するものとする。

2. (コンプライアンス認証)

    2.1. (セキュリティコンプライアンス)
    プライバシーマーク NTTテクノクロスは、プライバシーマークの認証を取得しています。
    ISO/IEC27001 iDoperation Series Cloudは、ISO/IEC27001の認証を取得しています。

3. (クラウドセキュリティ)

    3.1.(クラウドサービス利用のためのセキュリティ方針)
    クラウドサービスのセキュリティ クラウドコンピューティング環境について以下を確認の上、NTTテクノクロスのセキュリティレベルを満たしていることを確実とする。
      ・ クラウドコンピューティング環境に保管されるお客様データに対し、アクセス管理および暗号化による保護をする ・ クラウドコンピューティング環境に保持されるアプリケーションプログラムに対し、ネットワークセキュリティ、アクセス管理、暗号化、WAF、ログと監視、バックアップとリカバリで保護をする ・ お客様環境は、AWSアカウントを分離することで、他のお客様環境と完全に独立させる ・ ホストに対し、セキュリティパッチの適用、アクセス制御、ポート・プロトコル・サービスの制限、セキュリティソフトウェアの導入、ログの取得と監視による保護をする
    クラウドサービスのアカウント管理 クラウドサービスを利用する際は、iDoperation Series Cloudの運用責任者が必要最小限の特権アカウントを作成と、 特権アカウント管理を行うものとする。特権アカウントを使用する際は、iDoperation Series Cloudの運用責任者の承認の基、 最小限の特権の原則で運用するものとする。
    クラウドサービスの提供場所 クラウドサービスを利用する際は、クラウドサービス事業者の所在地と、お客様データが保存される国が、NTTテクノクロスが許容する安全な地域であることを確認する。
    3.2.(データセンターの物理的なセキュリティ)
    設備・施設 iDoperation Series Cloudは、ISO/IEC27001に準拠したAWSデータセンターでサービスデータを保護しています。 AWSのコンプライアンスプログラムについて確認する
    AWSインフラストラクチャサービスには、バックアップ電源、HVACシステム、防火設備が含まれ、サーバーとお客様のデータを保護しています。 AWSのデータセンターについて確認する
    オンサイトセキュリティ AWSオンサイトセキュリティには、警備員、フェンス、監視カメラ、侵入検知技術、およびその他のセキュリティ対策が含まれます。 AWSの物理的なセキュリティについて確認する
    データホスティングの場所 iDoperation Series Cloudは、日本にあるAWSデータセンターを利用しています。
    3.3.(サードパーティベンダーセキュリティ)
    リスク分析 iDoperation Series Cloudは、サービスデータに任意のレベルのアクセス権を持つすべてのベンダーに対し、 セキュリティレビューを実行することにより、サードパーティベンダーに関連するリスクを最小化しています。
    3.4.(ネットワークセキュリティ)
    保護 iDoperation Series Cloudのネットワークは、AWSの主要なセキュリティサービスで保護しています。
    アーキテクチャ iDoperation Series Cloudのネットワークセキュリティアーキテクチャは、複数のセキュリティゾーンで構成されています。 データベースサーバのような機密性のより高いシステムは、最も信頼性の高いゾーンで保護しています。他のシステムは、機能や情報分類、リスクに応じて、機密性に見合ったゾーンで保護しています。
    ネットワークの脆弱性スキャン ネットワークセキュリティスキャンにより、コンプライアンスに準拠していないシステムや潜在的に脆弱なシステムを特定するためのインサイトを取得して対応しています。
    セキュリティインシデントイベント管理 iDoperation Series Cloudのセキュリティインシデントイベント管理(SIEM)システムは、運用中のシステムから膨大なログを収集しています。 SIEMは、調査と対応のために運用チームに警告を行っています。
    侵入検知と防御 iDoperation Series Cloudは、構成システム内の変則的挙動を監視・検知します。 インシデントと値が所定のしきい値を超えたときに、運用チームに警告を行っています。
    脅威インテリジェンスプログラム NTTテクノクロスは、様々な脅威インテリジェンス共有プログラムに参加しています。 脅威インテリジェンスネットワークに投稿された脅威を監視し、リスクに基づいて対応しています。
    DDoS攻撃の緩和策 iDoperation Series Cloudは、多層アプローチを構築し、DDoS攻撃を軽減しています。 AWSのスケーリングと保護ツール、AWS DDoS特定サービスを併せて使用することにより、強靭な保護を提供しています。
    論理アクセス iDoperation Series Cloudの本番ネットワークへのアクセスは、運用チームに制限されており、最小限の特権の原則で運用されています。 また、本番環境へのアクセスは監査、監視されており、iDoperation Series Cloudの運用責任者が管理しています。 iDoperation Series Cloudの本番ネットワークにアクセスする従業員は、多要素認証を実行する必要があります。
    3.5.(サードパーティベンダーセキュリティ)
    リスク分析 iDoperation Series Cloudは、サービスデータに任意のレベルのアクセス権を持つすべてのベンダーに対し、 セキュリティレビューを実行することにより、サードパーティベンダーに関連するリスクを最小化しています。
    3.6.(ホストのセキュリティ)
    セキュリティパッチの適用 セキュリティパッチの適用は、標準で月1回の周期で実施しています。加えて、緊急度が高い脆弱性や重要なセキュリティアップデートについては、随時実施します。 これにより、最新のセキュリティ状態を維持し、脆弱性からシステムを保護します。
    アクセス制御の実施 強固なパスワードによる認証と最小権限の原則に基づくアクセス制御を実施します。
    ポート、プロトコル、サービスの制限 ホスト上での通信は、必要なポートとプロトコルのみを有効にし、不要なポートやサービスは無効にしています。これにより、攻撃の対象面を最小限に抑えています。
    セキュリティソフトウェアの導入 アンチウイルスソフトウェアを使用してホストを保護します。これにより、ウイルスやマルウェアの検知と防止を行います。
    ログの取得と監視 ホストの認証ログや操作ログなどの監査ログを取得し、定期的に点検しています。これにより、不正アクセスを早期に検知します。
    ホストの処分 ホストの処分については、予め定められたデータ保持期間終了後に、復元できない形で削除します。
    3.7.(クロック同期)
    クロック同期 システムの安定性と正確なデータ処理を確保するために、iDoperation Series Cloudでは、 信頼性の高いNTPサービス(Amazon Time Sync Service)を使用してクロック同期を実施しています。
    3.8.(暗号化)
    転送時の暗号化 iDoperation Series CloudのUIとAPIにおける通信はすべて、パブリックネットワークを介した業界標準のHTTPS/TLS(TLS 1.2以上)で暗号化されます。これにより、お客様とiDoperation Series Cloudとの間に発生するすべてのトラフィックは、転送時も安全に保護されます。またメールについては、TLSによる暗号化を採用しています。 Transport Layer Security(TLS)は、メールを暗号化して安全に配信するプロトコルです。同等のサービスによってこのプロトコルがサポートされているメールサーバ間において、盗聴を軽減しています。
    保管時の暗号化 お客様データは、AWSへの保存時に、AES-256暗号鍵を使用して暗号化しています。
    3.9.(可用性と継続性)
    アップタイム iDoperation Series Cloudのアップタイムは、サービスレベルアグリーメントに掲載しています。
    冗長性 iDoperation Series Cloudは、AWSの各種サービスによって、冗長化しています。また、インスタンスの冗長化オプションによって、可用性をさらに高める事が出来ます。
    バックアップ iDoperation Series Cloudは、機密性、完全性、可用性の保持および維持のために、バックアップおよび復旧サービスを提供します。バックアップおよび復旧サービスの信頼性を確保するために、定期的なテストを実施しており、バックアップデータが確実に復元できることを確認しています。
      ・ 目標復旧時点:24時間 ・ 目標復旧時間:4時間 ・ バックアップ範囲:すべてのお客様データ ・ バックアップスケジュール:日次バックアップ ・ バックアップデータ保持期間:1世代

4. (アプリケーションセキュリティ)

    4.1. (安全な開発)
    品質保証 開発チームでコードをレビューし、テストしています。 NTTテクノクロスの品質保証部門を含む担当者による出荷判定をクリアした機能がリリースされます。
    環境の分離 テスト環境およびステージング環境は、論理的に本番環境と分離されています。サービスデータは、開発環境やテスト環境では一切使用しません。
    4.2. (開発端末のセキュリティ)
    開発端末のセキュリティ 開発端末のセキュリティに関しては、NTTテクノクロスの標準セキュリティ対策に準拠しています。
    開発端末の処分 開発端末の処分については、NTTテクノクロスの標準手順に従い、安全かつ適切に行っています。
    4.3. (脆弱性の管理)
    動的な脆弱性スキャン iDoperation Series Cloudは、サードパーティ製のセキュリティツールを導入し、OWASPのセキュリティリスクに対し、主要アプリケーションの動的スキャンを継続的に行っています。 NTTテクノクロス内の専任の脆弱性診断チームによるテストを実施し、開発チームと協力して、検知された問題の修正を行っています。
    ソフトウェア構成分析 iDoperation Series Cloudで使用されるライブラリをスキャンして脆弱性を特定し、検出された脆弱性に対応しています。
    サードパーティによる侵入テスト NTTテクノクロスで実施する脆弱性スキャンに加えて、毎年サードパーティのセキュリティ専門家に依頼し、iDoperation Series Cloudに対する侵入テストを実施して対応しています。
    お客様による侵入テスト お客様によるお客様環境に対する侵入テストは、以下の条件を満たす場合、原則として実施を許可しています。
      1. 事前通知と承認
        侵入テストを実施する前に、当社に対して以下の情報を含む詳細なテスト計画を提出し、書面での承認を受ける必要があります。 ・ テストの目的と範囲 ・ 使用するツールや手法 ・ テストの実施予定日と時間帯 ・ テストを実施する対象システムやネットワークの範囲
      2. 法令および契約の遵守
        侵入テストの実施にあたっては、関連する法律および契約条件を遵守する必要があります。
      3. テストの結果と報告
        テストの結果は、テスト終了後速やかにNTTテクノクロスに報告し、必要に応じて改善策を協議するものとします。

5. (製品のセキュリティ)

    5.1. (認証セキュリティ)
    認証オプション iDoperation Series Cloudにはいくつかの認証オプションがあり、iDoperationネイティブ認証、多要素認証(MFA)、外部IdP認証(SAML、OpenID)を利用できます。
    設定可能なパスワードポリシー iDoperation Series Cloudは、ユーザのパスワードポリシーを設定することが出来ます。また、管理する特権アカウントのパスワードポリシーをカスタマイズすることが出来ます。パスワードポリシーを変更できるのは管理者のみです。
    サービス資格情報の保管 iDoperation Series Cloudは、認証情報の安全な保管に関するベストプラクティスにしたがい、人間が読める形式で認証情報を格納することはありません。認証情報は、すべて暗号化されて格納されます。
    5.2. (追加の製品セキュリティ機能)
    ロールベースアクセスコントロール iDoperation Series Cloud内のデータへのアクセスは、ロールベースアクセスコントロール(RBAC)で管理され、きめ細かなアクセス権を定義する事ができます。 iDoperation Series Cloudには管理者、承認者、利用者などのユーザのタイプごとに、様々な権限レベルが用意されています。
    IP制限 iDoperation Series Cloudへのアクセスを、特定の範囲のIPアドレスのユーザに制限することができます。 許可されたIPアドレスのユーザだけが、iDoperation Series Cloudにサインインできます。
    監査ログ 以下のログを記録し、1年間保存しています。監査ログの取得をご希望の場合は、テクニカルサポートまでご連絡ください。
      ・ 認証ログ: ユーザのログイン履歴 ・ 操作ログ: システム内での各種操作やイベントの履歴
    監査レポート iDoperation Series Cloudは、監査用に各種レポートを提供しています。これらのレポートでは、アカウントの変更、ユーザの変更、特権IDの利用等を閲覧する事が可能です。
    アダプティブ認証 iDoperation Series Cloudは、疑わしいログインを自動的にブロックするアダプティブ認証を行うことができます。
    iDoperation Series Gateways iDoperation Series Cloudとお客様環境をセキュアに接続する、接続インターフェイスを提供します。接続先に応じた3つのインターフェイスが用意されています。
      ・ Internet Gateway:お客様環境とインターネット経由で接続を提供します。 ・ VPN Gateways:お客様環境のVPNルーターとセキュアな接続を提供します。 ・ AWS Gateways:お客様環境のAmazon VPCとセキュアな接続を提供します。

6. (運用のセキュリティ)

    6.1. (運用端末のセキュリティ)
    運用端末のセキュリティ 運用端末のセキュリティに関しては、NTTテクノクロスの標準セキュリティ対策に準拠しています。
    運用端末の処分 運用端末の処分については、NTTテクノクロスの標準手順に従い、安全かつ適切に行っています。
    6.2. (セキュリティ意識の向上)
    運用チームへの追加のセキュリティトレーニング 全従業員が入社時から毎年受講するセキュリティ意識向上トレーニングに加えて、運用チームのすべてのメンバーは、追加のセキュリティトレーニングを受講しています。
    6.3. (インシデント管理)
    報告対象のインシデント iDoperation Series Cloudでは、以下のインシデント発生時にお客様に報告します。
      ・ データ漏洩: お客様データが外部に漏洩した場合 ・ 不正アクセス: 未承認の不正アクセスが確認された場合 ・ マルウェア感染: マルウェアの感染が確認された場合 ・ サービスの中断: お客様の利用に影響を与える障害や中断が発生した場合
    インシデント検出後の情報開示内容 インシデントの検出後、以下の情報をお客様に開示します。
      ・ インシデントの種類と影響範囲 ・ インシデントの進捗状況 ・ 対応策および修正状況 ・ 将来の対策計画
    インシデント検出後の通知の目標時間 インシデントの検出後、以下の時間を目標にお客様に通知します。
      ・ 重大度1または、重大度2: インシデント検出から4時間以内に通知します。 ・ 重大度3: インシデント検出から12時間以内に通知します。
    インシデント検出後の通知方法 インシデントの検出後、以下のいずれかの通知方法でお客様に通知します。
      ・ お客様アカウントに紐づくメールアドレス宛にEメールで送付 ・ 本サービスのポータルまたは通知機能 ・ カスタマーポータルへの掲載 ・ その他NTTテクノクロスが適当と判断する方法
    インシデント検出後の対応窓口 インシデントの検出後の対応窓口は、あらかじめ定められたテクニカルサポート窓口を通じて提供されます。
    インシデント検出後の対応 インシデントの検出後、迅速かつ効果的に対応するため、以下の対応を実施します。これにより、被害の拡大を防ぎ、システムの安全性を確保します。
      ・ 初動対応(インシデント検出、初期評価、影響範囲の特定、隔離) ・ 詳細調査(原因究明、被害箇所の確認) ・ 修復と回復(問題の修正、データの回復、システム再稼働) ・ 連絡と報告(内部報告、外部報告、お客様への通知) ・ 再発防止策(セキュリティ強化、教育と訓練、監視とレビュー)
    インシデント対応状況の確認方法 インシデントの通知後、お客様が対応状況を継続的に把握できるよう、定期的な進捗報告の通知を実施します。 これにより、お客様はインシデント対応の進捗状況や対応策について最新の情報を把握することができます。

7. (人事部門のセキュリティ)

    7.1. (セキュリティ意識の向上)
    トレーニング 全従業員が入社時から毎年、セキュリティ意識向上トレーニングに参加しています。
    7.2. (機密保持契約)
    機密保持契約 NTTテクノクロスは、全従業員に機密保持契約への署名を求めています。また、請負業者との契約時に機密保持契約を締結しています。

以上