Data Security and Privacy Principles

Size: px

Start display at page:

Download "Data Security and Privacy Principles"

けいしょうおおかわち
5 years ago
Views:

1 データのセキュリティーおよびプライバシーの原則 IBM クラウドサービス

2 2 データのセキュリティーおよびプライバシーの原則 : IBM クラウドサービス目次 2 概要 2 ガバナンス 3 セキュリティーポリシー 3 アクセス介入転送および分離の管理 3 サービスの完全性および可用性管理 4 アクティビティーのロギングおよび入力管理 4 物理的セキュリティーおよび入場管理 4 指示の管理 4 遵守 4 第三者のサブプロセッサー概要 IBM のクラウドサービスにはインフラストラクチャープラットフォームおよびソフトウェアの各オファリングが含まれています各クラウドサービスにはそのアーキテクチャー使用目的および提供されるサービスの種類に応じた IBM のポリシーに準拠した技術的および組織的なセキュリティーとプライバシーの対策が実装されています図 1 は各種サービスの一般的な責任の分担を図示しています IaaS IBM PaaS SaaS IBM 図 1: IBM クラウドサービスのオファリング種別 IBM の Infrastructure as a Service (IaaS) オファリングでは計算リソースが提供されますお客様はそのリソース上でオペレーティングシステムランタイムミドルウェアおよび自ら選択したアプリケーションなどのソフトウェアを展開して実行できます IaaS のお客様はお客様が IaaS ソリューション上に展開するアプリケーションコンテンツランタイムミドルウェアおよびオペレーティングシステムについて責任を負いますこれには物理的ではないデータのセキュリティーおよびプライバシーに関する対策の実装ならびに管理が含まれます IBM の Platform as a Service (PaaS) オファリングによりお客様はサービスの一部として含まれる場合があるシステムネットワーク記憶装置ランタイムフレームワークライブラリーならびに統合ツールおよび管理ツールを使用してクラウドアプリケーションの作成展開管理ができます PaaS のお客様は自身が PaaS ソリューション上に展開するアプリケーションおよびコンテンツを管理しますこれにはお客様のアプリケーションおよびデータを対象としたデータのセキュリティーおよびプライバシーに関する対策を実装し管理することが含まれます IBM の Software as a Service (SaaS) オファリングは標準化アプリケーションをクラウド環境から提供しますがこのクラウド環境のために IBM はアプリケーション ( 基盤となるミドルウェアプラットフォームおよびインフラストラクチャーを含みます ) の展開管理実行保守およびセキュリティーを管理します SaaS のお客様はクラウドサービス契約の条件に従ってエンドユーザーのアカウント IBM SaaS オファリングの適切な使用および自身が処理するデータの管理を引き続き行います独自の要件がある場合 SaaS のお客様は IBM が実装している標準的なデータのセキュリティーおよびプライバシーに関する対策の適合性を評価する責任を負います種類を問わず各クラウドサービスに対する IBM の詳細な管理責任は関連するオファリング契約に定められていますとりわけお客様のデータの偶発的な損失不正アクセスおよび不正使用などのリスクから IBM クラウドサービスを防御するように設計されたデータのセキュリティーおよびプライバシーに関する対策 ( 利用できる構成可能なオプションおよびサービスを含みます ) が各サービス記述書に定められるかまたは盛り込まれていますこのデータのセキュリティーおよびプライバシーの原則文書には参照により各サービス記述書に組み込まれる IBM の包括的なポリシーおよびプラクティスが記載されていますガバナンス IBM の IT セキュリティーポリシーは特別なコーポレートインストラクションを根拠としており IBM の CIO 組織によって制定および管理され IBM

3 データのセキュリティーおよびプライバシーの原則 : IBM クラウドサービス 3 の事業の不可欠の部分となっています社内の IT ポリシーを遵守することは必須であり監査の対象となっていますセキュリティーポリシー IBM の情報セキュリティーポリシーは少なくとも年 1 回見直され最新の脅威に対応し広く受け入れられた国際標準 (ISO/IEC およびなど ) の更新に合致させるために必要な改良が加えられます IBM は随時採用する追加の従業員を含む新規採用者全員について一連の雇用認証必須要件に従いますこれらの標準は完全所有子会社および合弁会社にも適用されますこの必須要件には犯罪歴の照合身元確認の証明および応募者が以前に政府機関に勤めていた場合はその他の確認が含まれますがこれらに限定されませんまたこれらは変更される場合があります IBM の各法人は現地の法律に基づいて許容されかつ適用可能な範囲で適宜その採用プロセスに上記の要件を組み込む責任を負います IBM の従業員は毎年セキュリティーとプライバシーに関する教育を修了し IBM のビジネスコンダクトガイドラインに規定された倫理的な行動基準守秘義務およびセキュリティーの要件の遵守について毎年宣誓することが求められていますセキュリティーに関する事故は適用法に基づくデータ侵害の通知要件を考慮に入れて IBM の事故の管理および対応ポリシーに従って処理されます IBM のグローバルサイバーセキュリティー事故管理プラクティスの中核機能は IBM の Computer Security Incident Response Team (CSIRT) によって実施されます CSIRT は IBM の Chief Information Security Office によって管理されグローバル事故管理者およびフォレンジックアナリストが配属されていますアメリカ合衆国商務省の国立標準技術研究所 (NIST) のコンピューターのセキュリティー事故対応に関するガイドラインはその進展を報告しており常に IBM のグローバル事故管理手順の基礎となっています CSIRT は IBM 内のその他の職務部門と連携して疑わしい事故を調査し必要な場合には適切な対応計画を策定して実行しますセキュリティー事故が発生したことが確認されれば IBM は必要に応じて速やかに影響を受けるクラウドサービスのお客様に通知しますアクセス介入転送および分離の管理 IBM クラウドサービスのアーキテクチャーはお客様データの論理的分離を保持します社内の規則および手段によりデータの挿入修正削除および転送などのデータの処理を契約された目的に従って分離しますお客様データ ( 個人データを含みます ) に対するアクセスは職務分離の原則に従って権限のある要員のみに許可され ID およびアクセス管理ポリシーに基づいて厳正に管理され IBM 社内の特権ユーザーの監視および監査プログラムに従って監視が行われます IBM の特権的アクセスの承認は個人用の役割ベースのもので定期的に確認が行われますお客様データに対するアクセスはお客様にサービスやサポートを提供するために必要な程度に制限されます ( 最小限の特権 ) IBM のネットワーク内でのデータ転送は無線ネットワークを使用せずファイアウォール内の有線のインフラストラクチャー上で実行されます要求に応じてまたはクラウドサービス契約の条件に従ったサービスの解約によりお客様データはメディアサニタイズに関する NIST のガイドラインに従って復旧が不可能な状態にされますサービスの完全性および可用性管理 IBM クラウドサービスは実稼働リリースの前に侵入テストおよび脆弱性スキャンを受けますさらに IBM および認定された独立的な第三者により侵入テスト脆弱性スキャンおよび倫理的ハッキングが定期的に実施されますオペレーティングシステムリソースおよびアプリケーションソフトウェアの変更には IBM の変更管理ポリシーが適用されますまたネットワーク機器およびファイアウォールの規則の変更についても変更管理ポリシーが適用され実装前にセキュリティースタッフが個別に審査します IBM のデータセンターサービスは HTTPS SFTP および FTPS などの公共ネットワーク上のデータ伝送に関するさまざまな情報伝送プロトコルをサポートします IBM は実稼働データセンターのリソースを 1 日 24 時間週 7 日系統的に監視し

4 4 データのセキュリティーおよびプライバシーの原則 : IBM クラウドサービスます潜在的な危険度の検出および解決を支援するために内部および外部の脆弱性スキャニングを権限のある管理者が定期的に実施します IBM の各クラウドサービスには ISO Code of Practice for Information Security Controls に準拠して展開され維持管理され検証されテストされた事業継続計画および災害復旧計画が備えられています各クラウドサービスの復元のポイントおよび目標時間はそれぞれのアーキテクチャーおよび使用目的に従って制定されサービス記述書またはその他の取引文書に規定されていますオフサイトで保管されるバックアップデータがある場合は転送前に暗号化されますセキュリティー構成およびパッチ管理のアクティビティーが実行され定期的に審査されます IBM のインフラストラクチャーには災害復旧ソリッドディスクミラーリングなどの緊急計画のコンセプトが適用されます IBM のインフラストラクチャーに関する事業継続計画が文書化され定期的に再確認されますアクティビティーのロギングおよび入力管理 IBM のポリシーはクラウドサービスのコンピューティング環境に対する管理を目的としたアクセスおよびこの環境内のアクティビティーについて記録および監視することならびに IBM の世界的な記録管理計画に従ってログをアーカイブに保存および保持することを義務付けています実稼働のクラウドサービスに対する変更は IBM の変更管理ポリシーに従って記録および管理されます物理的セキュリティーおよび入場管理 IBM はデータセンターリソースに対する許可されていない物理的アクセスを制限するように設計された物理的セキュリティー基準を保持します IBM のデータセンターへの入口は制限されアクセスリーダーによって管理され監視カメラによって監視されていますアクセスは権限のある要員のみに許可されます雇用が終了した従業員はアクセスリストから削除されアクセスバッジの返却を求められますアクセスバッジの使用については記録されます指示の管理データの処理はオファリングの契約に従って実行されますがこの契約に IBM はクラウドサービスオファリングの条件機能サポートおよび保守ならびにお客様データの機密性完全性可用性を維持するためにとられる手段を記載します遵守 IBM のクラウドサービスに関する情報セキュリティーの標準および管理プラクティスは情報セキュリティーの管理に関する ISO/IEC 標準に合致し ISO/IEC Code of Practice for Information Security Controls に準拠しています情報セキュリティー標準の遵守を追跡するために IBM は評価および監査を定期的に実施しますさらに IBM のすべての実稼働データセンターでは毎年独立的な第三者による業界標準の監査が行われます第三者のサブプロセッサー IBM のクラウドサービスでは第三者のサブプロセッサーが契約上の義務の通常の履行においてお客様データにアクセスすることが必要になる場合がありますかかる第三者のサブプロセッサーがクラウドサービスの提供に関与する場合は要求に応じて当該サブプロセッサーおよびその役割を通知します IBM はすべてのかかるサブプロセッサーが IBM が提供するセキュリティーおよびプライバシーの全体的なレベルが保たれた標準プラクティスおよびポリシーを維持することを義務付けています権限のない個人が施設に入場できる搬入搬出場所については厳格に管理されます搬入搬出は事前に計画され権限を有する担当者の承認が必要です運用スタッフ施設スタッフおよびセキュリティースタッフ以外の人は施設に入場する際に登録され施設内にいる間は権限のある要員が同行します

5 データのセキュリティーおよびプライバシーの原則 : IBM クラウドサービス 5 Copyright IBM Corporation 2016 日本アイビーエム株式会社東京都中央区日本橋箱崎町 Produced in Japan 2016 年 4 月 IBM IBM ロゴおよび ibm.com は世界の多くの国で登録された International Business Machines Corporation の商標です他の製品名およびサービス名等はそれぞれ IBM または各社の商標である場合があります現時点での IBM の商標リストについては Web サイト "Copyright and trademark information" (ibm.com/legal/copytrade.shtml) をご覧ください本書の情報は最初の発行日の時点で得られるものであり予告なしに変更される場合があります IBM 製品は IBM 所定の契約書の条項に基づき保証されます Please Recycle

Style Sample for C&N Word Style Sheet

Style Sample for C&N Word Style Sheet サービス記述書 IBM Sales Performance Management Sales Planning 本サービス記述書は IBM がお客様に提供するクラウドサービスについて規定するものですお客様とは会社その許可ユーザーおよびクラウドサービスの受領者をいいます適用される見積書および証書 (PoE) は別個の取引文書として提供されます 1. クラウドサービス