はじめに
ISO/IEC 27017:2015では、サービスを提供するクラウドサービスプロバイダが実施する情報セキュリティの管理策の内容を、サービスを利用されるお客様に向けて情報を提供するよう求めています。
ISO/IEC 27017:2015は、クラウドセキュリティ活動に対するガイドライン規格です。
このホワイトペーパー(以下、本書といいます。)は、上記の規格に基づき、株式会社Quollio Technologies(以下、「当社」といいます。)が提供するSaaSサービス(以下、「本サービス」といいます。)が実施している管理策の内容をお客様に明示して情報提供することを目的としています。
なお、当社は事前の予告無く本書を改定する場合があります。
1. 利用者との責任分解点(6.1.1)
当社の責任
当社は、本サービスのご提供にあたり、以下の事項を実施いたします。
- 本サービスのセキュリティ対策(本サービスの提供に利⽤するミドルウェア、OS、その他インフラのセキュリティ対策含む)
- 本サービスに保管されたお客様データの保護
なお、本サービスはAmazon Web Services, Inc. が提供するクラウドサービスプラットフォーム(以下、AWSといいます。)を中心とした構成で提供されます。Amazon Web Services, Incの責任については、以下のサイトに公開されています。
https://aws.amazon.com/jp/compliance/shared-responsibility-model/
お客様の責任
お客様は、以下のセキュリティ対策を実施する必要があります。
- 本サービスの利⽤者として登録されたアカウントに付与されたパスワードの適切な管理
- 本サービスのアカウントの適切な管理(登録、削除、管理者権限の付与など)
- 本サービスを利用してお客様が行う作業(各アセットのメタデータ登録など)
- 本サービスが提供する機能を用いて登録したコンテンツおよびデータのバックアップの取得
- 本サービスの利用者として登録したアカウント名、IDおよびアカウント情報のバックアップの取得
2. 関係当局との連絡(6.1.3)
- 当社の本社所在地は、当社コーポレートサイトをご参照ください。
- 本サービスを利用するにあたり、お客様が本サービスの機能から登録したデータは、AWS東京リージョンと大阪リージョンに保管されます。
3. 情報のラベル付け(8.2.2)
- 本サービスは、お客様に対して、情報資産の分類するためのタグ付け機能を提供しています。詳しくはユーザーガイド(https://docs.quollio.com/)を参照してください。
4. 利用者登録及び登録削除(9.2.1)
- 本サービスの利用者として登録されたアカウントによる本サービスへのアクセスをお客様が管理するため、当社は、お客様にアカウントの登録及び削除する機能を提供しています。
- お客様は、本サービス上のユーザー管理画面からアカウントの登録を行うことができます。また、お客様は、本サービス上のユーザー管理画面からアカウントの停止・削除を行うことができます。詳しくはユーザーガイド(https://docs.quollio.com/)を参照してください。
5. 利用者アクセスの提供(9.2.2)
- お客様は、登録したアカウント(ユーザー)の権限を、⾃由に切り替えることが出来ます。また、アカウントに適切な権限グループを設定することで、閲覧・編集を制御することが可能です。詳しくはユーザーガイド(https://docs.quollio.com/)を参照してください。
6. 特権的アクセス権の管理(9.2.3)
- 当社は、お客様がアクセスする際、ID/パスワード認証の他、ワンタイムパスワードの機能やシングルサインオンの機能を提供しています。また、本サービスは、お客様の端末に付与されたIPアドレスによるアクセス制御の機能も提供しています。
7. 利用者の秘密認証情報の管理(9.2.4)
- 本サービスに登録されたお客様の管理者アカウントが、新規アカウントを追加したと同時に、新規アカウントのメールアドレスに、初期パスワードを登録するための、⼀意のURLを含むメールが送信されます。新規アカウントは、そのURLにアクセスし、パスワードを⼊⼒・設定することで、サービスの利⽤を開始できます。
8. 暗号による管理策の利用方針(10.1.1)
- お客様が本サービスの機能を用いて登録したデータは、AWSの標準機能により、ディスクレベルでの暗号化が⾏われます。また、パスワードは、不可逆的暗号化ハッシュ化)された状態で、データベースに保管されます。
- お客様の端末と、本サービスがを実現するシステム間のインターネット通信は、TLS/SSLで保護されたネットワークを介します。本サービス内の通信は、AWSのプライベートネットワーク上を介し、物理レイヤーで自動的に暗号化されます。
- お客様がプロパティ機能を用いて本サービスにアップロードされたファイルは、AWSの標準機能により、ディスクレベルでの暗号化が行われます。プロパティ機能の詳細はユーザーガイド(https://docs.quollio.com/)を参照してください。
9. 装置のセキュリティを保った処分又は再利用(11.2.7)
- 本サービスの利用契約が終了する場合、利用終了日以降に当社は本サービスに作成したお客様のテナント、お客様が本サービスに登録した利用者情報、お客様が作成したコンテンツおよびデータ、および当社が保持していたお客様が作成したコンテンツおよびデータのバックアップを破棄します。
- 本サービスで扱うデータは、全てAWSのリソース上で保管されており、その中で用いられる記憶媒体を内蔵した装置・メディアの破棄方法については、Amazon Web Services, Inc.のポリシーに従います。https://aws.amazon.com/jp/blogs/news/data_disposal/
- 上記理由により、当社は記憶媒体を内蔵した装置・メディアがいつ破棄されたのかについてはわかりかねますが、当社が管理するAWSリソースから上記のデータを削除した記録をお客様に提出することは可能です。
10. 変更管理(12.1.2)
- 本サービスの内容について、お客様に影響のある変更を行う場合は、当社所定のウェブサイトに掲載することにより、変更の内容をお客様に通知いたします。通知する変更は当社が必要と判断したものに限ります。
11. 容量・能力の管理(12.1.3)
- 本サービスは当社により常時監視されており、必要に応じて自動的にリソースが増強されます。
12. 情報のバックアップ(12.3.1)
- お客様が本サービスが提供する機能を用いて登録したコンテンツおよびデータのバックアップは、AWSが提供する機能を用いて当社が取得しています。バックアップは、AWS東京リージョンで35日間保持されています。また、AWS大阪リージョンで7日間のバックアップが保持されています。
- お客様は、本サービスの機能を用いて、当社サービスに登録したコンテンツおよびデータをバックアップとしてダウンロードすることができます。
13. イベントログ取得(12.4.1)
- 当社は、当社の責任範囲において、本サービスの維持管理に必要となる適切なログを取得しています。このログが必要な場合は、当社サポートポータル(https://support.quollio.com/)からお問い合わせください。
14. クロックの同期(12.4.4)
- 本サービスは、AWSが提供する時刻同期サービスを用いて協定世界時(UTC)で同期しています。
15. 技術的ぜい弱性の管理(12.6.1)
- 本サービスを開発している当社の製品開発部は、本サービスで利⽤しているOS、ミドルウェア等に関するぜい弱性情報を、定期的に収集しています。
- システムで利⽤しているコンポーネントに対するぜい弱性を修正する更新プログラムが公開された場合は、当社の製品開発部による検証環境での検証を経た後、速やかに適⽤されます。
- お客様側で対応が必要となるようなぜい弱性情報があった場合には、当社サポートポータル(https://support.quollio.com/)に情報を掲載することで、お客様に通知いたします。当社が必要と判断した重大なぜい弱性に関する情報は、サポートポータルに登録されているお客様の技術連絡先に個別にメールによる通知もいたします。
16. ネットワークの分離(13.1.3)
- 本サービスを契約している各利用者のテナントは論理的に分離しており、このため他のテナントとの内部通信は、実現できない仕組みになっています。
17. 情報セキュリティ要求事項の分析および仕様化(14.1.1)
- 当社の情報セキュリティ基本方針(https://quollio.com/jp/security)、および本書に記載しています。
18. セキュリティに考慮した開発のための方針(14.2.1)
- 本サービスの環境は、開発・検証・本番の3環境に分かれており、当社は、開発したシステムの本番環境へのリリースまでのプロセス(ソフトウェア開発ライフサイクル)を定めて本サービスの開発・運営を実施しています。
19. 供給者との合意におけるセキュリティの取り扱い(15.1.2)
- 当社は、本書「1.利用者との責任分解点」に記載する本サービスの提供範囲において必要なセキュリティ対策を実施しています。
- 本サービスは、SaaS(Software as a Service)型のクラウドサービスであり、その責任分解点に関しては、本書「1. 利用者との責任分解点」を参照してください。
20. 責任及び手順(16.1.1)
- 当社が確認したセキュリティインシデント事象に関しては、情報セキュリティ方針に則り、適切に対応いたします。
- 当社が確認したセキュリティインシデント事象が、お客様に重大な影響を及ぼす事が判明した場合、商業的に合理的な努力の範囲で速やかに、当社所定の方法により、お客様に通知いたします。
21. 情報セキュリティ事象の報告(16.1.2)
- お客様がセキュリティインシデント事象を発見された場合は、当社サポートポータル(https://support.quollio.com/)より問い合わせを登録することで、お客様は当社に事象の発生を通知できます。
22. 証拠の収集(16.1.7)
- 当社は、本サービスの機能を用いてお客様が登録したデータを適切に保護しています。ログデータを含むお客様のデータに対する不正なアクセスおよび改ざんを防ぐため、当社のテナント保守管理部の従業員だけがお客様のデータにアクセスするよう、アクセス権を限定しています。
- 但し、裁判所からの証拠提出命令など、法令に基づき情報の開示を要請された場合、当社は、お客様の同意無く、必要最⼩限の範囲においてお客様情報およびお客様のデータを外部に提供することがあります。
23. 適用法令および契約上の要求事項の特定(18.1.1)
- お客様と当社との間の契約は、⽇本法に基づいて解釈されるものとします。
24. 知的財産権(18.1.2)
- 本サービスをご利用いただく上で知的財産権に関わるお問い合わせは、当社サポートポータル(https://support.quollio.com/)からお問い合わせください。
25. 記録の保護(18.1.3)
- 当社は、当社の責任範囲において、お客様のアカウントによる本サービスへのアクセスログを取得しています。必要な場合は、当社サポートポータル(https://support.quollio.com/)からお問い合わせください。
- アクセスログの保存期間は12ヵ月間です。
26. 暗号化機能に対する規制(18.1.5)
- 本書「8.暗号による管理策の利用方針」をご参照ください。
- 本サービスは、輸出規制の対象となる暗号化を利用していません。
27. 情報セキュリティの独立したレビュー(18.2.1)
- 当社は、社内内部監査、マネジメントレビュー、年度リスクアセスメントの実施に加え、ISO/IEC 27001、ISO/IEC 27017 のISMS認証取得において第3者による審査を受け、情報セキュリティに対する取り組みを行うことで、常に安全なセキュリティレベルを確保しています。
28. クラウドコンピューティング環境における役割及び責任の共有及び分担(CLD.6.3.1)
- 本書「1. 利用者との責任分解点」を参照してください。
29. クラウドサービスカスタマの資産の除去(CLD.8.1.5)
- 本書「9. 装置のセキュリティを保った処分又は再利用」を参照してください。
30. 仮想コンピューティング環境における分離(CLD.9.5.1)
本サービスではテナントIDによる資源の分離を実施し、別テナントへの不正アクセスを抑止しています。
31. 実務管理者の運用のセキュリティ(CLD.12.1.5)
- 本サービスの使用および操作方法に関しては、ユーザーガイド(https://docs.quollio.com)を参照してください。
32. クラウドサービスの監視(CLD.12.4.5)
- 本サービスのシステムリソース監視は、当社がAWSのサービスを利用し実施しています。
改定履歴
| 版 | 改定日 | 改定内容 |
| 1.0 | 2024/1/05 | 初版発行 |
| 1.1 | 2025/04/01 |
11.2.7 データ削除に関する記載の修正 12.1.2, 12.6.1, 16.1.1, 16.1.2 通知方法に関する記載の修正 |