SECURITY WHITE PAPER

セキュリティホワイトペーパー

第1章 はじめに
1. 目的

このホワイトペーパーは、ISO/IEC 27017:2015(情報-セキュリティ技術-ISO27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範)に準拠したISMS(情報セキュリティマネジメントシステム)で求められている要求事項の実現のために、当社がお客様に対し提供しているセキュリティ仕様について明確にするものです。

2. 当社が提供しているクラウドサービスについて

当社では、Sotas工程管理、Sotasデータベース、Sotas化学調査の3つを提供しており、全てSaaS(Software as a Service)です。 本サービスのシステム概要についてはそれぞれ当社WEBサイトをご確認下さい。

3. 適用範囲

適用範囲は、上記3サービスとなります。

4. 本文書の位置付け

本文書は、当社のセキュリティ文書として管理されているものであり、当社が公開すべきと判断した一部の技術情報についてのみ外部公開されます。 利用規約の記述について本書との差異がある場合は、利用規約の内容が優先されます。

5. 用語と表記
  1. 本書の本文中に登場する人格などについては、利用規約(用語の定義)に記載の通りとします。
  2. データ種別については、下記のように表記いたします。
    ・登録データ:契約者が本サービス上に登録・保存したデータ
    ・派生データ:当社が、登録データを加⼯、分析、編集、統合その他⼀切の利⽤(統計情報の作成を含むが、これに限られない。)をすることによって新たに⽣じたデータ
    ・クラウドサービスカスタマデータ:登録データと同義
    ・クラウドサービス派生データ:サービスカスタマ,利用時間,作業内容,関係したデータの型などの記録が入ったログデータなど
  3. 本サービスでは、契約者様向けにヘルプページを公開しております。
    ヘルプページには、重要な操作及び手順を文書化してWeb公開する形で提供しています。
6. 認証

当社は、情報マネジメントシステム認定センター(ISMS-AC)が運営する、ISMS適合性評価制度における下記認証を取得しています。
・ISMS認証:JIS Q 270001:2014(ISO/IEC27001:2022)
・ISMSクラウドセキュリティ認証:JIP-ISMS517-1.0(ISO/IEC27017:2015)

第2章 本サービスの管理策への取り組みについて
1. 情報セキュリティのための方針群(5.1.1)

本サービスは、当社の定めた情報セキュリティ基本方針に従いサービス運営を行います。詳細は、クラウドサービス提供のためのセキュリティ方針をご覧下さい。

2. 情報セキュリティの役割および責任(6.1.1)

本サービスの利用においては、お客様と当社との間で責任範囲がございます。 詳細は、利用規約をご覧下さい。

3. 関係当局との連絡(6.1.3)
  1. 当社の所在地は、当社WEBサイトにてご確認ください。
  2. クラウドサービス上にアップロードされたお客様情報は、日本国内にて保管しています。
4. クラウドコンピューティング環境における役割および責任の共有および分担(CLD.6.3.1)

責任分界点の詳細に関しては「2.2.1. 情報セキュリティの役割および責任」をご参照ください。

5. 情報セキュリティの意識向上、教育及び訓練(7.2.2)

情報セキュリティの確保と重要性を認識する為に、当社従業員に対し、必要な教育・訓練を定期的に実施しています。
また、実施結果に基づき理解度を評価し、必要に応じて再教育・再訓練を行い、情報セキュリティに関する更なる理解向上に努めております。

6. 資産目録(8.1.1)

クラウドサービス上にアップロードされたお客様情報と、当社がサービスを運営する為の情報は、明確に分離しています。

7. クラウドサービスカスタマの資産の除去(CLD.8.1.5)
  1. 本サービスの利用契約が終了した日の翌日から2ヶ月間を経過した時点以降、利用者に権利が帰属する登録データについては、速やかに廃棄します。
  2. 但し、ユーザーの情報資産を含まない、ログなどの当社が本サービス運営に必要であると判断した情報は対象外といたします。
  3. お客様が作成・保存したデータをエクスポートできる機能については、サービスによって異なります。 詳細は、各サービスごとのヘルプページをご覧下さい。
8. 情報のラベル付け(8.2.2)
  1. 本サービスでは、項目毎の備考欄もしくは属性情報によって、ユーザーの情報資産を分類することを可能としています。
  2. 本サービスは、権限によりアクセス制御を行うことが可能です。 詳細は、各サービスごとのヘルプページをご覧下さい。
9. 利用ユーザー登録及び登録削除(9.2.1)
  1. 利用ユーザーの追加登録及び削除は、サービス毎に下記の案内となります。
    ■Sotas工程管理
     管理者が、メンバーを追加及び削除が可能です。
    ■Sotasデータベース
     管理者が、招待メールを送る形で、メンバーを追加及び削除が可能です。
    ■Sotas化学調査
     追加及び削除いずれもSotas担当者までご連絡下さい。当社にて対応します。
  2. 追加登録した利用ユーザーの初期パスワードについては、サービス毎に下記の案内となります。
    ■Sotas工程管理
     管理者が、追加したユーザに、追加時に設定した初期パスワードをお伝え頂きます。
    ■Sotasデータベース
     アカウントの登録時に届くメールに記載されたリンクをクリックすることで、招待されたユーザー自らが設定頂けます。
    ■Sotas化学調査
     登録時に指定頂いたメールアドレス宛に、仮パスワードをお送りさせて頂いております。
  3. その他、提供機能の利用にあたっては、各サービスごとのヘルプページをご覧下さい。
10. 利用者アクセスの提供(9.2.2)
  1. ユーザーは、サービス毎に下記の権限に分類することが可能です。
    ■Sotas工程管理
     ・管理者
     ・メンバー
    ■Sotasデータベース
     ・管理者
     ・編集権限
     ・閲覧権限
    ■Sotas化学調査
     ・組織管理者
     ・組織レビュワー
     ・組織メンバー
      各権限における機能は、ヘルプページに記載しています。
  2. その他、提供機能の利用にあたっては、各サービスごとのヘルプページをご覧下さい。
11. 特権的アクセス権の管理(9.2.3)
  1. 本サービスを利用する際には、ご登録頂いたメールアドレスとパスワードを入力し認証頂く必要があります。
  2. 本サービスのパスワードの設定基準は、下記の通りとなります。
    ・10文字以上31文字以下
    ・半角英数字と記号(!#$%&*+-=?@_)のみ
    ・大文字・小文字・数字・記号をそれぞれ1文字以上含む
  3. 本サービスでは、ご要望がある場合には多要素認証によるログイン機能を提供しています。
12. 利用者の秘密認証情報の管理(9.2.4)
  1. 本サービス利用開始時に、代表となるお客様へ初回ログイン手順をメールにて提供します。
  2. 本サービスでは、パスワードの変更やリセットが可能です。
  3. その他、提供機能の利用にあたっては、各サービスごとのヘルプページをご覧下さい。
13. 情報へのアクセス制限(9.4.1)
  1. 情報へのアクセス範囲は、ユーザー権限の分類によって異なります。
    ユーザー権限の変更は、下記のように実施することが可能です。
    ■Sotas工程管理
     ・管理者権限を有するユーザーによって、ユーザー権限の変更を行うことが出来ます。
    ■Sotasデータベース
     ・管理者権限を有するユーザーによって、ユーザー権限の変更を行うことが出来ます。
    ■Sotas化学調査
     ・ユーザー権限の変更は、Sotas担当者までご連絡下さい。当社にて対応します。
  2. その他、提供機能の利用にあたっては、各サービスごとのヘルプページをご覧下さい。
14. 特権的なユーティリティプログラムの使用(9.4.4)

本サービスにおいて、通常の操作手順またはセキュリティ手順を回避することのできるユーティリティプログラムの使用や提供はございません。

15. 仮想コンピューティング環境における分離(CLD.9.5.1)

本サービスでは、データベースおよびストレージをお客様ごとに論理的に分離しています。

16. 仮想マシンの要塞化(CLD.9.5.2)

お客様が利用する環境は、サービス提供に必要なポート、プロトコルのみを提供しており要塞化を行なっています。

17. 暗号による管理策の利用方針(10.1.1)
  1. 登録データを保存するためのデータベースとして利用しているAmazon RDS上、ログや画像ファイルを保存するストレージとして利用しているAmazon S3で、データを暗号化しています。
  2. 本サービスにおける通信は全てSSL/TLSで暗号化されています。
18. 装置のセキュリティを保った処分または再利用(11.2.7)

当社で保持している物理装置資産に登録データは含まれていません。
ピアクラウドサービスとして採用しているAmazon Web Services上のストレージデバイスなどの装置の処分に関しては、廃棄プロセスであるNIST 800-88に詳細が説明されている方法を使用して安全な手法で破棄されていることを確認しております。

19. 変更管理(12.1.2)

本サービスに影響のある変更およびメンテナンスを実施する場合には、事前にメールにて通知を行います。

20. 容量・能力の管理(12.1.3)

本サービスでは、利用しているリソースに対して監視項目を定め、容量全体を日々監視しています。

21. 実務管理者の運用のセキュリティー(CLD.12.1.5)

本サービスの利用に必要な操作マニュアルを各サービスごとのヘルプページにて提供しています。

22. 情報のバックアップ(12.3.1)
  1. 本サービスでは、全ての利用ユーザーのデータを5分ごとに取得し、バックアップデータは30日間保管されます。
  2. バックアップは、サービスのシステム障害や大規模災害発生時を想定し取得しています。原則、個別の復旧依頼には応じられません旨ご了承下さい。
23. イベントログ取得(12.4.1)

本サービスの提供や運用に必要となるイベントログを取得しています。

24. 実務管理者及び運用担当者の作業ログ(12.4.3)

本サービスでは、サービス提供に関わる作業及び結果を記録しています。

25. クロックの同期(12.4.4)

ログの時刻は、AWSが提供するNTPサーバー(Amazon Time Sync Service)を参照し、時刻の同期を行なっています。

26. クラウドサービスの監視(CLD.12.4.5)

当社側で監視項目を定め、各種リソース(ネットワーク、データベース、コンテナ等)の監視を行なっています。

27. 技術的脆弱性の管理(12.6.1)
  1. 本サービスでは、サービスの提供に用いるアプリケーションの脆弱性情報を収集し、収集した情報を元にサービスへの影響を評価し、影響がある場合には速やかに対応します。
  2. 本サービスでは、サービスの提供に用いるプラットフォーム(ミドルウェア、OS)、仮想環境、サーバ、ストレージ、ネットワークの脆弱性情報を収集し、収集した情報を元にサービスへの影響を評価し、影響がある場合には速やかに対応します。
  3. 本サービスでは、第三者による脆弱性診断(アプリケーション、プラットフォーム)を年に1回以上の頻度で実施しており、安全性を確認しています。
28. ネットワークの分離(13.1.3)
  1. ネットワークについては他のお客様との分離を適切に行なっています。データベース内のデータについてはお客様会社単位でユーザーテーブルを分けて管理し、他のお客様との分離を適切に行なっています。
  2. また当社サービス運営担当者がユーザーのデータを必要な場合を除き閲覧する事が出来ない様に適切に分離しております。
29. 仮想および物理ネットワークのセキュリティ管理の整合(CLD.13.1.4)
  1. 本サービスでピアクラウドサービスとして採用している下記サービスは、第三者機関の認証取得等により、当社の求めるセキュリティ水準が確保された高い信頼性を持つサービスであることを確認しております。
    ・Amazon Web Services Inc.が提供するAmazon Web Services(以下、AWSと表記)
    ・Googleが提供するGoogle Cloud Platform(以下、GCPと表記)
  2. 当社の物理ネットワークとピアクラウドサービス上での仮想ネットワークは、その整合性がとれるように設計、構築、管理を徹底しています。
30. 情報セキュリティ要求事項の分析および仕様化(14.1.1)

当社のクラウドサービスにおけるセキュリティ要求事項及び仕様は、本書へ記載するとともに、各サービスごとのヘルプページに仕様詳細を記載しております。

31. セキュリティに配慮した開発のための方針(14.2.1)
  1. 本サービスは、当社の情報セキュリティ規則、およびコーディング・コードレビュー水準に則った開発を実施しています。また、開発を外部に委託する際も、これに準じた基準のもと開発が行われます。
  2. 本サービスにアップデートがあった場合は、公開前にステージング環境で網羅的なテストを実施し、品質を担保します。
32. 供給者との合意におけるセキュリティの取扱い(15.1.2)
  1. 本サービスでは、サービスの提供環境における役割及び責任について利用規約に定め、サービスを提供いたします。 また、当社サービスの提供範囲において必要なセキュリティ対策を実施しています。
  2. 本サービスに関係する全ての供給者に対しては、契約のもと当社の情報セキュリティ規則に従う合意を得ています。また、当社は定期的に供給者のリスクアセスメントおよびセキュリティチェックを実施しています。
33. ICTサプライチェーン(15.1.3)

当社は、本サービスの提供に際し、ピアクラウドサービスとしてAWSとGCPを採用しています。
本ピアクラウドサービスが、当社の情報セキュリティ方針を満たしていることを確認するとともに、サービス利用にあたって都度必要なリスクマネジメントを実施しています。

34. 責任および手順(16.1.1)
  1. 当社が確認したセキュリティインシデントに関しては、インシデント対応マニュアルに則り適切に対処します。
  2. 当社が確認したセキュリティインシデントがお客様のサービス利用に影響を及ぼす場合、下記の通りご契約企業様ごとに利用契約時に記載いただきましたシステムメンテナンス等連絡先メールアドレスへ通知を行います。
    ・標準営業時間内の場合:発生から6時間以内
    ・標準営業時間外の場合:翌営業日の開始時間までか発生から6時間後の遅い方まで
    ※標準営業時間:土日および国民の祝日を除く日本時間の9時-18時
35. 情報セキュリティ事象の報告(16.1.2)

情報セキュリティインシデントの相談・報告窓口として、以下の連絡先を提供しています。
・連絡先:security@sotas.co.jp

36. 証拠の収集(16.1.7)
  1. 当社責任範囲内に保管されているイベントログ等の証跡が必要な場合は、お客様の要望に対して可能な範囲で個別に対応させて頂きます。都度、お問い合わせ下さい。
  2. 本サービスの利用規約に同意いただく際、裁判所、警察等の公的機関から、法令に基づく正式な要請を受けたときや、法令の⼿続上必要とされる場合については、契約者の承諾なく、全部⼜は⼀部の登録データを開⽰・公開することがあります。なお、当社は上記判断に関する理由を開⽰する義務は負いません。
37. 適用法令および契約上の要求事項の特定(18.1.1)

本サービスの利用に関しまして、ユーザーデータは国内に保管されまたサービス運用作業は国内で実施しております為、適用される準拠法は日本法となります。

38. 知的財産権(18.1.2)

知的財産権に関するお問い合わせは、下記窓口へ問い合わせ下さい。
・窓口メールアドレス:corp@sotas.co.jp

39. 記録の保護(18.1.3)

当社は、法定保管期間年数が決まっている情報やログを保存期間を定め取得・保護しています。

40. 暗号化機能に対する規制(18.1.5)

本サービスでは、輸出規制の対象となる暗号化の利用はございません。

41. 情報セキュリティの独立したレビュー(18.2.1)

当社は、ISO/IEC27001とISO/IEC27017について第三者による審査を受けるとともに、それらに関する独立した内部監査を実施しています。

附則
制定⽇:2024年9⽉1⽇