FISC 安全対策基準対応ガイド設 1 設 2 設 3 設 4 FISC 安全対策基準一覧項番設備 Google の回答 Google は ISO27001 認証を受けていますこの基準では物理的および環境的セキュリティ (ISO 附属書 A.11) が規定されていますシ

Size: px

Start display at page:

Download "FISC 安全対策基準対応ガイド設 1 設 2 設 3 設 4 FISC 安全対策基準一覧項番設備 Google の回答 Google は ISO27001 認証を受けていますこの基準では物理的および環境的セキュリティ (ISO 附属書 A.11) が規定されていますシ"

まれあはかまや
5 years ago
Views:

1 FISC 安全対策基準対応ガイド設 1 設 2 設 3 設 4 FISC 安全対策基準一覧項番設備 Google の回答 Google は ISO27001 認証を受けていますこの基準では物理的および環境的セキュリティ (ISO 附属書 A.11) が規定されていますシステムの可用性に関する物理的な統制についても第三者機関による審査と検証を受け SOC 2 Type II の報告書を取得しています Google プラットフォームのコンポーネントは高度な冗長性を確保した設計になっています設 5 設 6 設 7 設 8 設 9 " セキュリティエリア ( データサーバーフロアなど ) に入るにはセキュリティ通路を通らなければなりませんこのセキュリティ通路ではセキュリティバッジと生体認証を利用した多元的なアクセス管理を実施しています立ち入りが許可されているのは特定の役割を持つ承認された社員のみですこうしたエリアへのアクセス管理をモニタリングとロギングの対象にしその妥当性を定期的に検証しています設 10 設 11 設 12 設 13 設 14 設 15 設 16 設 17 設 18 セキュリティエリア ( データサーバーフロアなど ) に入るにはセキュリティ通路を通らなければなりませんこのセキュリティ通路ではセキュリティバッジと生体認証を利用した多元的なアクセス管理を実施していますセキュリティエリアへの立ち入りが許可されているのは特定の役割を持つ承認された社員ですこうしたエリアへのアクセスは監視と記録の対象になっています環境の健全性と安全性の統制は Google の全データセンターにおいて徹底されています社員の安全を特に重視しており緊急時に全スタッフが安全に避難できるよう必要な標識を掲示したり訓練を実施したりしていますすべての施設には堅牢な防火設備が導入されており火災の防止と検知においても万全な対策を施しています火災検知器や消火設備を設置しハードウェアの損傷を防ぎます熱火煙の探知機は異常が発生しているゾーンセキュリティ操作コンソールリモートモニタリングデスクにおいて一斉に音声と視覚効果による警報を発する仕組みになっています

2 設 19 セキュリティエリア ( データサーバーフロアなど ) に入るにはセキュリティ通路を通らなければなりませんこのセキュリティ通路ではセキュリティバッジと生体認証を利用した多元的なアクセス管理を実施していますセキュリティエリアへの立ち入りが許可されているのは特定の役割を持つ承認された社員ですこうしたエリアへのアクセスは監視と記録の対象になっています設 20 環境の健全性と安全性の統制は Google の全データセンターにおいて徹底されていますすべての施設には堅牢な防火設備が導入されており火災の防止と検知においても万全な対策を施しています火災検知器や消火設備を設置しハードウェアの損傷を防ぎます熱火煙の探知機は異常が発生しているゾーンセキュリティ操作コンソールリモートモニタリングデスクにおいて一斉に音声と視覚効果による警報を発する仕組みになっています Google はデータセンターが所在する地域の建築要件をすべて遵守しています設 21 設 22 設 23 セキュリティエリア ( データサーバーフロアなど ) に入るにはセキュリティ通路を通らなければなりませんこのセキュリティ通路ではセキュリティバッジと生体認証を利用した多元的なアクセス管理を実施しています立ち入りが許可されているのは特定の役割を持つ承認された社員のみですこうしたエリアへのアクセスを監視記録しておりアクセス権限を定期的に見直しています設 24 設 25 環境の健全性と安全性の統制は Google の全データセンターにおいて徹底されています社員の安全を特に重視しており緊急時に全スタッフが安全に避難できるよう必要な標識を掲示したり訓練を実施したりしていますすべての施設には堅牢な防火設備が導入されており火災の防止と検知においても万全な対策を施しています火災検知器や消火設備を設置しハードウェアの損傷を防ぎます熱火煙の探知機は異常が発生しているゾーンセキュリティ操作コンソールリモートモニタリングデスクにおいて一斉に音声と視覚効果による警報を発する仕組みになっています Google はデータセンターが所在するリージョンの建築要件をすべて遵守しています設 26 設 27 環境の健全性と安全性の統制は Google の全データセンターにおいて徹底されています社員の安全を特に重視しており緊急時に全スタッフが安全に避難できるよう必要な標識を掲示したり訓練を実施したりしていますすべての施設には堅牢な防火設備が導入されており火災の防止と検知においても万全な対策を施しています火災検知器や消火設備を設置しハードウェアの損傷を防ぎます熱火煙の探知機は異常が発生しているゾーンセキュリティ操作コンソールリモートモニタリングデスクにおいて一斉に音声と視覚効果による警報を発する仕組みになっています設 28 設 29 設 30 環境の健全性と安全性の統制は Google の全データセンターにおいて徹底されています社員の安全を特に重視しており緊急時に全スタッフが安全に避難できるよう必要な標識を掲示したり訓練を実施したりしていますすべての施設には堅牢な防火設備が導入されており火災の防止と検知においても万全な対策を施しています火災検知器や消火設備を設置しハードウェアの損傷を防ぎます熱火煙の探知機は異常が発生しているゾーンセキュリティ操作コンソールリモートモニタリングデスクにおいて一斉に音声と視覚効果による警報を発する仕組みになっています設 31 環境の健全性と安全性の統制は Google の全データセンターにおいて徹底されていますすべての施設には堅牢な防火設備が導入されており火災の防止と検知においても万全な対策を施しています火災検知器や消火設備を設置しハードウェアの損傷を防ぎます熱火煙の探知機は異常が発生しているゾーンセキュリティ操作コンソールリモートモニタリングデスクにおいて一斉に音声と視覚効果による警報を発する仕組みになっています Google はデータセンターが所在する地域の建築要件をすべて遵守しています設 32 設 33 環境の健全性と安全性の統制は Google の全データセンターにおいて徹底されています適用基準に関するトレーニングだけでなくデータセンター全体での ESD の防止を含めた ESD プログラムに継続的に取り組んでいます設 34 設 35 Google はデータセンターが所在するリージョンの建築要件をすべて遵守し自然災害による損害を最小限に抑えるベストプラクティスに従って設備を運用しています設 36 設 37

3 設 38 設 39 設 40 設 41 設 42 設 43 設 44 Google ではデータセンターが所在する地域に関連したリスクなどリスクに基づいた管理体制をデータセンターに適用しています該当する場合は自然災害や環境災害の監視管理を行い現地の事象に対応できるよう人材のトレーニングも実施するなど適切な対策を講じています設 45 セキュリティエリア ( データサーバーフロアなど ) に入るにはセキュリティ通路を通らなければなりませんこのセキュリティ通路ではセキュリティバッジと生体認証を利用した多元的なアクセス管理を実施しています立ち入りが許可されているのは特定の役割を持つ承認された社員のみですこうしたエリアへのアクセスは監視記録されアクセス権原を定期的に見直しています設 46 すべての施設には堅牢な防火設備が導入されており火災の防止と検知においても万全な対策を施しています火災検知器や消火設備を設置しハードウェアの損傷を防ぎます熱火煙水の探知機は異常が発生しているゾーンセキュリティ操作コンソールリモートモニタリングデスクにおいて一斉に音声と視覚効果による警報を発する仕組みになっています Google はデータセンターが所在するリージョンの建築要件をすべて遵守しています設 47 Google ではデータセンターが所在する地域に関連したリスクなどリスクに基づいた管理体制をデータセンターに適用しています該当する場合は自然災害や環境災害の監視管理を行い現地の事象に対応できるよう人材のトレーニングも実施するなど適切な対策を講じています設 48 設 49 環境の健全性と安全性の統制は Google の全データセンターにおいて徹底されています適用基準に関するトレーニングだけでなくデータセンター全体での ESD の防止を含めた ESD プログラムに継続的に取り組んでいます設 50 設 51 設 52 設 53 環境の健全性と安全性の統制は Google の全データセンターにおいて徹底されています社員の安全を特に重視しており緊急時に全スタッフが安全に避難できるよう必要な標識を掲示したり訓練を実施したりしていますすべての施設には堅牢な防火設備が導入されており火災の防止と検知においても万全な対策を施しています火災検知器や消火設備を設置しハードウェアの損傷を防ぎます熱火煙の探知機は異常が発生しているゾーンセキュリティ操作コンソールリモートモニタリングデスクにおいて一斉に音声と視覚効果による警報を発する仕組みになっています設 54 設 55 設 56 設 57

4 設 58 設 59 設 60 設 61 設 62 設 63 設 64 設 65 Google ではデータセンターが所在するリージョンに関連したリスクなどリスクに基づいた管理体制をデータセンターに適用しています該当する場合は自然災害や環境災害の監視管理を行い現地の事象に対応できるよう人材のトレーニングも実施するなど適切な対策を講じています設 66 設 67 設 68 設 69 設 70 設 71 設 72 Google は業界が推奨する運用手順に従って冷却システムを導入し維持していますサーバーなどのハードウェアの動作温度を一定に保つことでサービス停止のリスクを軽減します設 73 Google は業界が推奨する運用手順に従って冷却システムを導入し維持していますサーバーなどのハードウェアの動作温度を一定に保つことでサービス停止のリスクを軽減します設 74 Google は業界が推奨する運用手順に従って冷却システムを導入し維持していますサーバーなどのハードウェアの動作温度を一定に保つことでサービス停止のリスクを軽減します設 75 Google のデータセンターは自然災害や局地的な停電といった地域的な障害の影響を最小限に抑えるために地理的に分散していますハードウェアソフトウェアネットワークの障害が発生しても自動的にデータが別の施設に切り替えられるため G Su te のお客様の業務が中断されることはありません設 76 Google は業界が推奨する運用手順に従って冷却システムを導入し維持していますサーバーなどのハードウェアの動作温度を一定に保つことでサービス停止のリスクを軽減します設 77 設 78

5 設 79 Google は業界が推奨する運用手順に従って冷却システムを導入し維持していますサーバーなどのハードウェアの動作温度を一定に保つことでサービス停止のリスクを軽減します設 80 設 81 セキュリティとデータ保護を重視する方針は Google の設計基準の根幹をなしています Google のデータセンターはカスタム設計された電子アクセスカード警報車両セキュリティゲート外周フェンス金属探知機生体認証などの安全保護対策を施した多層セキュリティモデルによって物理的なセキュリティを確保していますまたデータセンターのフロアにはレーザー光線による侵入検知システムが導入されていますデータセンターには棟の内外に 24 時間体制で稼働する高解像度の監視カメラを設置し侵入者を検知追跡していますインシデントが発生した際はアクセスログアクティビティ記録カメラ映像による確認ができますまた厳格な身元調査とトレーニングを受けた経験豊富な警備員が定期的にパトロールしています設 82 設 83 設 83-1 設 84 設 85 設 86 設 87 設 88 設 89 設 90 設 91 設 92 設 93 設 94 設 95 設 96 設 97 設 98 設 99 設 100 設 101 設 102 設 103 設 104 設 105 設 106 設 107 設 108 設 109 設 110 設 111 設 112 設 113 設 114 設 115 設 116 設 117 設 118 設 119 設 120 設 121 設 122 設 123 設 124 設 125 設 126 設 127 設 128 設 129 設 130 設 131 設 132 設 133 設 134 設 135 設 136 設 137 運 1 運 2 運 3 運 4 運 5 運 6 運 7 運 8 項番対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外対象外運用 Google の回答 Google プラットフォームのコンポーネントは高度な冗長性を確保した設計になっています Google は ISO27001 認証を受けていますこの基準では人的資源のセキュリティ (ISO 附属書 A.7) が規定されています人的資源の管理に関する統制についても第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています全社員は Google の行動規範 (https //abc.xyz/investor/other/google-code-of-conduct.html) に同意し倫理とコンプライアンスに関する研修を受けています Google Cloud Platform のお客様は運用ガイドの作成などお使いの環境を設定管理するすべての権利と責任を保有します

6 運 9 Google は ISO27001 認証を受けていますこの基準では人的資源のセキュリティ (ISO 附属書 A.7) が規定されています人的資源の管理に関する統制についても第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています全社員は Google の行動規範 (https //abc.xyz/investor/other/google-code-of-conduct.html) に同意し倫理とコンプライアンスに関する研修を受けています Google Cloud Platform のお客様は運用ガイドの作成などお使いの環境を設定管理するすべての権利と責任を保有します運 10 Google は ISO27001 認証を受けていますこの基準では情報セキュリティのための方針群 (ISO 附属書 A.5) 情報セキュリティのための組織 (ISO 附属書 A.6) 運用の手順および責任 (ISO 附属書 A.12.1) が規定されています運 10-1 Google Cloud Platform のお客様は運用ガイドの作成などお使いの環境を設定管理するすべての権利と責任を保有します Google は ISO27001 認証を受けていますこの基準では情報セキュリティの意識向上教育および訓練 (ISO 附属書 A.7.2.2) が規定されています Google の全社員は入社時研修に組み込まれたセキュリティ研修に加え在籍期間中も継続的にセキュリティ研修を受けています新入社員は入社時研修で Google の行動規範に同意しますこの行動規範では Google が顧客情報を安全に保護する責務を負うことが定められています職務に応じて専門的なセキュリティ研修が追加で義務付けられている場合もありますたとえば情報セキュリティチームに配属されたエンジニアは安全なコーディング方法プロダクト設計脆弱性自動テストツールなどについて指導を受けますエンジニアはこの他にもセキュリティ関連の技術プレゼンテーションへの出席や新規の脅威攻撃パターン防御技術などを紹介するセキュリティ関連ニュースレターの購読などを職務の一環として行っています運 11 Google Cloud Platform のお客様は運用ガイドの作成などお使いの環境を設定管理するすべての権利と責任を保有しますセキュリティエリア ( データサーバーフロアなど ) に入るにはセキュリティ通路を通らなければなりませんこのセキュリティ通路ではセキュリティバッジと生体認証を利用した多元的なアクセス管理を実施していますセキュリティエリアへの立ち入りが許可されているのは特定の役割を持つ承認された社員ですこうしたエリアへのアクセス管理はモニタリングとロギングの対象になっています運 12 " セキュリティエリア ( データサーバーフロアなど ) に入るにはセキュリティ通路を通らなければなりませんこのセキュリティ通路ではセキュリティバッジと生体認証を利用した多元的なアクセス管理を実施していますセキュリティエリアへの立ち入りが許可されているのは特定の役割を持つ承認された社員ですこうしたエリアへのアクセス管理はモニタリングとロギングの対象になっています運 13 " セキュリティエリア ( データサーバーフロアなど ) に入るにはセキュリティ通路を通らなければなりませんこのセキュリティ通路ではセキュリティバッジと生体認証を利用した多元的なアクセス管理を実施していますセキュリティエリアへの立ち入りが許可されているのは特定の役割を持つ承認された社員ですこうしたエリアへのアクセス管理はモニタリングとロギングの対象になっています運 14 " Google は ISO27001 認証を受けていますこの基準では操作手順書 ( 附属書 A ) が規定されています Google では内部ドキュメンテーションを盤石に維持し ISO27001 の要件に従って ISMS を運用しています文書はすべて複製とバックアップの対象になるシステムに保存されます Google Cloud Platform のお客様は運用ガイドの作成などお使いの環境を設定管理するすべての権利と責任を保有します運 15 Google は ISO27001 認証を受けていますこの基準では記録の保護 ( 附属書 A ) と事業継続マネジメントにおける情報セキュリティの側面 ( 附属書 A.17) が規定されています Google ではシステム復旧を円滑に進めるための作業手順書を作成しています文書はすべて複製とバックアップの対象になるシステムに保存されます Google Cloud Platform のお客様は運用ガイドの作成などお使いの環境を設定管理するすべての権利と責任を保有します運 16 データのプライバシーとセキュリティを確保するため Google はそれぞれのお客様のデータを他のお客様やユーザーから論理的に分離しています実際には同じ物理サーバーに保存されている場合も同様ですお客様のデータにアクセスできるのはごく限られた Google 社員のみです運 17 Google は多元的なログイン方法を採用していますユーザーはセキュリティトレーニングの一環としてパスワードの正しい作成方法や管理方法について指導を受けますさらにパスワード管理システムを導入し社内ポリシーの徹底した遵守に努めています運 18 Google ではアクセスの妥当性を確認するために全システムへの論理的アクセスの審査を定期的に実施していますさらに Google 社員によるアクセスはセキュリティプライバシー内部監査を担当する社内の専任チームによってモニタリング監査されます運 19 情報セキュリティの監督管理体制は論理的なアクセス制御など第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています運 20 運 21 運 22 運 23 運 24 運 25 運 26 運 27 Google は ISO27001 認証を受けていますこの基準ではシステムの取得開発および保守 (ISO 附属書 A.14) が規定されています情報セキュリティの監督管理体制はソフトウェアの開発管理など第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google Cloud Platform のお客様は入力管理をサポートするプロセスの開発などお使いの環境を設定管理するすべて権利と責任を保有します Google は ISO27001 認証を受けていますこの基準ではシステムの取得開発および保守 (ISO 附属書 A.14) が規定されています情報セキュリティの監督管理体制はソフトウェアの開発管理など第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google Cloud Platform のお客様は入力管理をサポートするプロセスの開発などお使いの環境を設定管理するすべて権利と責任を保有します Google は ISO27001 認証を受けていますこの基準ではシステムの取得開発および保守 (ISO 附属書 A.14) が規定されています情報セキュリティの監督管理体制はソフトウェアの開発管理など第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google Cloud Platform のお客様は入力管理をサポートするプロセスの開発などお使いの環境を設定管理するすべて権利と責任を保有します Google Cloud Platform のお客様はデータファイル管理をサポートするプロセスの開発などお使いの環境を設定管理するすべての権利と責任を保有します運 28 Google は ISO27001 認証を受けていますこの基準ではシステムの取得開発および保守 (ISO 附属書 A.14) が規定されています情報セキュリティの監督管理体制はソフトウェアの開発管理など第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google Cloud Platform のお客様はプログラムファイル管理をサポートするプロセスの開発などお使いの環境を設定管理するすべての権利と責任を保有します

7 運 29 Google Cloud Platform のお客様はプログラムファイル管理をサポートするプロセスの開発などお使いの環境を設定管理するすべての権利と責任を保有します運 30 Google は ISO27001 認証を受けていますこの基準ではマルウェアからの保護 ( 附属書 A.12.2) が規定されています脆弱性管理に関する統制についても第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google はセキュリティ上の脅威を積極的に探索する脆弱性管理プロセスを実施していますこの管理プロセスは一般に流通しているツールと独自の社内ツール自動および手動による集中的な侵入試行品質保証プロセスソフトウェアセキュリティ審査外部監査などで構成されています脆弱性の追跡と対処は脆弱性管理チームが担当しています改善が必要な脆弱性が見つかるとその内容が記録され重大度に応じて優先順位が設定されオーナーが割り当てられます脆弱性管理チームはこのような問題を追跡して問題が解決したことが確認されるまで対応作業を続けますまた Google はセキュリティ研究コミュニティのメンバーと連携して Google のサービスやオープンソースツールについて報告されている問題を追跡していますセキュリティ問題の報告について詳しくはをご覧ください Google Cloud Platform のお客様は適切なウィルス対策の設定などお使いの環境を設定管理するすべての権利と責任を保有します運 31 Google は ISO27001 認証を受けていますこの基準では運用の手順および責任 (ISO 附属書 A.12.1) とネットワークセキュリティ管理 (ISO 附属書 A.13.1) が規定されています運 32 運 33 運 34 Google は ISO27001 認証を受けていますこの基準では記録の保護 (ISO 附属書 A ) が規定されています Google Cloud Platform のお客様はストレージ管理をサポートするプロセスの開発などお使いの環境を設定管理するすべての権利と責任を保有します Google Cloud Platform のお客様はフォーム管理をサポートするプロセスの開発などお使いの環境を設定管理するすべての権利と責任を保有します運 35 運 36 運 37 運 38 運 39 運 40 運 41 運 42 運 43 フォーム管理をサポートするプロセスの開発はお客様側で対応していただく必要がありますフォーム管理をサポートするプロセスの開発はお客様側で対応していただく必要があります出力情報をサポートするプロセスの開発はお客様側で対応していただく必要がありますトランザクション管理はお客様側で対応していただく必要がありますトランザクション管理はお客様側で対応していただく必要がありますトランザクション管理はお客様側で対応していただく必要がありますトランザクション管理はお客様側で対応していただく必要がありますトランザクション管理はお客様側で対応していただく必要があります Google は ISO27001 認証を受けていますこの基準では暗号 (ISO 附属書 A.10) が規定されています Google は Google Cloud プロダクトと G Suite プロダクトの暗号化と鍵管理に関する詳細を公開しています鍵管理と暗号化について詳しくは次を参照してください https //cloud.google.com/security/encryption-at-rest/ https //storage.googleapis.com/gfw-touched-accounts-pdfs/google-encryption-whitepaper-gsuite.pdf 運 44 運 44-1 運 45 運 46 運 47 運 48 運 49 運 50 運 51 運 51-1 運 52 運 53 Google Cloud Platform のお客様は暗号鍵管理プロセスの開発などお使いの環境を設定管理するすべての権利と責任を保有します ID 確認はお客様側で対応していただく必要があります CD や ATM での現金取引の確認はお客様側で対応していただく必要があります携帯端末についてはお客様側で対応していただく必要がありますまた自社のデータを保護し保護対策におけるすべての責任を負います運 53-1 運 54 運 55 お客様はユーザーの生体認証データを使用する場合そのデータを安全に保護する必要があります Google は ISO27001 認証を受けていますこの基準では容量能力の管理 (ISO 附属書 A ) が規定されています Google Cloud Platform のお客様はリソース管理などお使いの環境を設定管理するすべての権利と責任を保有します Google は ISO27001 認証を受けていますこの基準では通信のセキュリティ (ISO 附属書 A.13) と公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮 (ISO 附属書 A ) が規定されています Google Cloud Platform のお客様は外部接続の管理などお使いの環境を設定管理するすべての権利と責任を保有します運 56 Google は ISO27001 認証を受けていますこの基準では通信のセキュリティ (ISO 附属書 A.13) と公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮 (ISO 附属書 A ) が規定されています Google Cloud Platform のお客様は外部接続の管理などお使いの環境を設定管理するすべての権利と責任を保有します運 57 Google は ISO27001 認証を受けていますこの基準では装置 (ISO 附属書 A.11.2) が規定されています運 58 Google セキュリティホワイトペーパー https //cloud.google.com/security/whitepaper#state-of-the-art data centers Google は ISO27001 認証を受けていますこの基準では装置 (ISO 附属書 A.11.2) が規定されています運 59 Google セキュリティホワイトペーパー https //cloud.google.com/security/whitepaper#state-of-the-art data centers Google は ISO27001 認証を受けていますこの基準では装置 (ISO 附属書 A ) が規定されています運 60 運 61 運 62 Google Cloud Platform のお客様はお使いの環境を設定管理モニタリングするすべての権利と責任を保有しますセキュリティエリア ( データサーバーフロアなど ) に入るにはセキュリティ通路を通らなければなりませんこのセキュリティ通路ではセキュリティバッジと生体認証を利用した多元的なアクセス管理を実施しています立ち入りが許可されているのは特定の役割を持つ承認された社員のみですこうしたエリアへのアクセス管理をモニタリングとロギングの対象にしその妥当性を定期的に検証していますアクセス権を持つ社員はセキュリティエリアへの立ち入りに関する方針と手続きに従う義務があります運 63 運 64

8 運 65 Google は ISO27001 認証を受けていますこの基準では情報セキュリティ継続 (ISO 附属書 A.17.1) が規定されていますまた不測の事態への対応などしっかりとした社内 DR プログラムを確立しています Google Cloud Platform のお客様は危機管理計画の作成などお使いの環境を設定管理するすべての権利と責任を保有します運 66 Google は ISO27001 認証を受けていますこの基準では資産に対する責任 ( 附属書 A.8.1) 媒体の処分 ( 附属書 A.8.3.2) 装置のセキュリティを保った処分または再利用 ( 附属書 A ) 運用ソフトウェアの管理 ( 附属書 A. 12.5) が規定されています Google はデータセンターにあるすべての機器のロケーションと状態を購入設置から廃棄破壊にいたるまでバーコードやアセットタグを使用して細心の注意を払いながら追跡していますデータセンターのフロアから承認なしで機器が持ちだされることがないように金属探知機や映像監視システムを導入していますライフサイクル中のいかなる時点においても性能試験に合格しなかったコンポーネントはインベントリから除外され廃棄されますハードドライブを破棄する際には所定の権限を持つ人がディスクのデータをゼロ書き込みで消去してから複数段階の検証ステップによりドライブのデータが消去されていることを確認しますなんらかの理由でドライブのデータを消去することができない場合物理的に破壊できる状況になるまで厳重に保管されますディスクの物理的な破壊は複数の段階で行われます最初に破砕機でドライブを変形させ次にシュレッダーでドライブを細かく砕きますその破片は安全な施設でリサイクルされます各データセンターでは処分に関する厳格な方針を遵守しておりなんらかの違反があった場合にはすぐに対処します運 67 運 68 運 69 Google は ISO27001 認証を受けていますこの基準では開発環境試験環境および運用環境の分離 (ISO 附属書 A ) と開発およびサポートプロセスにおけるセキュリティ (ISO 附属書 A.14.2) が規定されています Google は ISO27001 認証を受けていますこの基準では開発環境試験環境および運用環境の分離 (ISO 附属書 A ) と開発およびサポートプロセスにおけるセキュリティ (ISO 附属書 A.14.2) が規定されています Google は ISO27001 認証を受けていますこの基準では開発環境試験環境および運用環境の分離 (ISO 附属書 A ) と開発およびサポートプロセスにおけるセキュリティ (ISO 附属書 A.14.2) が規定されています運 70 Google は ISO27001 認証を受けていますこの基準では情報セキュリティのための方針群 (ISO 附属書 A.5) 情報セキュリティのための組織 (ISO 附属書 A.6) 運用の手順および責任 (ISO 附属書 A.12.1) が規定されています Google Cloud Platform のお客様はシステム文書の管理などお使いの環境を設定管理するすべての権利と責任を保有します運 71 Google は ISO27001 認証を受けていますこの基準では情報セキュリティのための方針群 (ISO 附属書 A.5) 情報セキュリティのための組織 (ISO 附属書 A.6) 運用の手順および責任 (ISO 附属書 A.12.1) が規定されています運 72 Google Cloud Platform のお客様はストレージ管理の手順などお使いの環境を設定管理するすべての権利と責任を保有します運 73 運 74 Google は ISO27001 認証を受けていますこの基準では媒体の処分 (ISO 附属書 A.8.3.2) と装置のセキュリティを保った処分または再利用 (ISO 附属書 A ) が規定されています運 75 Google はデータセンターにあるすべての機器のロケーションと状態を購入設置から廃棄破壊にいたるまでバーコードやアセットタグを使用して細心の注意を払いながら追跡していますデータセンターのフロアから承認なしで機器が持ちだされることがないように金属探知機や映像監視システムを導入していますライフサイクル中のいかなる時点においても性能試験に合格しなかったコンポーネントはインベントリから除外され廃棄されますハードドライブを破棄する際には所定の権限を持つ人がディスクのデータをゼロ書き込みで消去してから複数段階の検証ステップによりドライブのデータが消去されていることを確認しますなんらかの理由でドライブのデータを消去することができない場合物理的に破壊できる状況になるまで厳重に保管されますディスクの物理的な破壊は複数の段階で行われます最初に破砕機でドライブを変形させ次にシュレッダーでドライブを細かく砕きますその破片は安全な施設でリサイクルされます各データセンターでは処分に関する厳格な方針を遵守しておりなんらかの違反があった場合にはすぐに対処します Google は ISO27001 認証を受けていますこの基準では媒体の処分 (ISO 附属書 A.8.3.2) と装置のセキュリティを保った処分または再利用 (ISO 附属書 A ) が規定されています運 76 Google はデータセンターにあるすべての機器のロケーションと状態を購入設置から廃棄破壊にいたるまでバーコードやアセットタグを使用して細心の注意を払いながら追跡していますデータセンターのフロアから承認なしで機器が持ちだされることがないように金属探知機や映像監視システムを導入していますライフサイクル中のいかなる時点においても性能試験に合格しなかったコンポーネントはインベントリから除外され廃棄されますハードドライブを破棄する際には所定の権限を持つ人がディスクのデータをゼロ書き込みで消去してから複数段階の検証ステップによりドライブのデータが消去されていることを確認しますなんらかの理由でドライブのデータを消去することができない場合物理的に破壊できる状況になるまで厳重に保管されますディスクの物理的な破壊は複数の段階で行われます最初に破砕機でドライブを変形させ次にシュレッダーでドライブを細かく砕きますその破片は安全な施設でリサイクルされます各データセンターでは処分に関する厳格な方針を遵守しておりなんらかの違反があった場合にはすぐに対処します運 77 運 78 Google は ISO27001 認証を受けていますこの基準では容量能力の管理 (ISO 附属書 A ) が規定されています Google は世界中で容量をモニタリングし必要に応じて調整する強固なネットワークを確立しています運 79 運 80 運 81 Google の全委託業者は初期研修に組み込まれたセキュリティ研修に加え在籍期間中も継続的にセキュリティ研修を受けています新規の委託業者は初期研修で Google の行動規範に同意しますこの行動規範では Google が顧客情報を安全に保護する責務を負うことが定められています職務に応じて専門的なセキュリティ研修が追加で義務付けられている場合もありますたとえば情報セキュリティチームに配属されたエンジニアは安全なコーディング方法プロダクト設計脆弱性自動テストツールなどについて指導を受けますエンジニアはこの他にもセキュリティ関連の技術プレゼンテーションへの出席や新規の脅威攻撃パターン防御技術などを紹介するセキュリティ関連ニュースレターの購読などを職務の一環として行っています運 82 Google の全委託業者は初期研修に組み込まれたセキュリティ研修に加え在籍期間中も継続的にセキュリティ研修を受けています新規の委託業者は初期研修で Google の行動規範に同意しますこの行動規範では Google が顧客情報を安全に保護する責務を負うことが定められています職務に応じて専門的なセキュリティ研修が追加で義務付けられている場合もありますたとえば情報セキュリティチームに配属されたエンジニアは安全なコーディング方法プロダクト設計脆弱性自動テストツールなどについて指導を受けますエンジニアはこの他にもセキュリティ関連の技術プレゼンテーションへの出席や新規の脅威攻撃パターン防御技術などを紹介するセキュリティ関連ニュースレターの購読などを職務の一環として行っています運 83 Google の全委託業者は初期研修に組み込まれたセキュリティ研修に加え在籍期間中も継続的にセキュリティ研修を受けています新規の委託業者は初期研修で Google の行動規範に同意しますこの行動規範では Google が顧客情報を安全に保護する責務を負うことが定められています職務に応じて専門的なセキュリティ研修が追加で義務付けられている場合もありますたとえば情報セキュリティチームに配属されたエンジニアは安全なコーディング方法プロダクト設計脆弱性自動テストツールなどについて指導を受けますエンジニアはこの他にもセキュリティ関連の技術プレゼンテーションへの出席や新規の脅威攻撃パターン防御技術などを紹介するセキュリティ関連ニュースレターの購読などを職務の一環として行っています運 84 Google の全委託業者は初期研修に組み込まれたセキュリティ研修に加え在籍期間中も継続的にセキュリティ研修を受けています新規の委託業者は初期研修で Google の行動規範に同意しますこの行動規範では Google が顧客情報を安全に保護する責務を負うことが定められています職務に応じて専門的なセキュリティ研修が追加で義務付けられている場合もありますたとえば情報セキュリティチームは新しいエンジニアに安全なコーディング方法プロダクト設計脆弱性自動テストツールなどについて指導しますエンジニアはこの他にもセキュリティ関連の技術プレゼンテーションへの出席や新規の脅威攻撃パターン防御技術などを紹介するセキュリティ関連ニュースレターの購読などを職務の一環として行っています運 85 Google の全委託業者は初期研修に組み込まれたセキュリティ研修に加え在籍期間中も継続的にセキュリティ研修を受けています新規の委託業者は初期研修で Google の行動規範に同意しますこの行動規範では Google が顧客情報を安全に保護する責務を負うことが定められています職務に応じて専門的なセキュリティ研修が追加で義務付けられている場合もありますたとえば情報セキュリティチームに配属されたエンジニアは安全なコーディング方法プロダクト設計脆弱性自動テストツールなどについて指導を受けますエンジニアはこの他にもセキュリティ関連の技術プレゼンテーションへの出席や新規の脅威攻撃パターン防御技術などを紹介するセキュリティ関連ニュースレターの購読などを職務の一環として行っています Google は ISO27001 認証を受けていますこの基準では人的資源のセキュリティ (ISO 附属書 A.7) が規定されています人的資源の管理に関する統制についても第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google Cloud Platform のお客様は人的資源の管理などお使いの環境を設定管理するすべての権利と責任を保有します運 86 Google は ISO27001 認証を受けていますこの基準では人的資源のセキュリティ (ISO 附属書 A.7) が規定されています人的資源の管理に関する統制についても第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google Cloud Platform のお客様は人的資源の管理などお使いの環境を設定管理するすべての権利と責任を保有します運 87 Google は ISO27001 認証を受けていますこの基準では供給者関係 (ISO 附属書 A.15) が規定されています情報セキュリティの監督管理体制はセキュリティに対するベンダーの取り組みなど第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google ではサービス実施のためのほぼすべてのデータ処理を直接行っていますただし Google は顧客サポートやテクニカルサポートなどのサービスを提供するためにサードパーティサプライヤーを利用することがありますサードパーティサプライヤーと提携する前に Google はサードパーティサプライヤーのセキュリティおよびプライバシー対策について評価を行いますこれによりデータへのアクセスや担当するサービスの範囲に適した水準のセキュリティやプライバシーが確保されていることを確認します Google はサードパーティサプライヤーに付随するリスクを評価した上で所定のセキュリティ機密保持プライバシーの各契約を締結することをサプライヤーに義務付けています運 87-1 https //cloud.google.com/terms/subprocessors https //gsuite.google.com/terms/subprocessors.html Google は ISO27001 認証を受けていますこの基準では供給者関係 (ISO 附属書 A.15) が規定されています情報セキュリティの監督管理体制はセキュリティに対するベンダーの取り組みなど第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google ではサービス実施のためのほぼすべてのデータ処理を直接行っていますただし Google は顧客サポートやテクニカルサポートなどのサービスを提供するためにサードパーティサプライヤーを利用することがありますサードパーティサプライヤーと提携する前に Google はサードパーティサプライヤーのセキュリティおよびプライバシー対策について評価を行いますこれによりデータへのアクセスや担当するサービスの範囲に適した水準のセキュリティやプライバシーが確保されていることを確認します Google はサードパーティサプライヤーに付随するリスクを評価した上で所定のセキュリティ機密保持プライバシーの各契約を締結することをサプライヤーに義務付けています運 88 https //cloud.google.com/terms/subprocessors https //gsuite.google.com/terms/subprocessors.html Google は ISO27001 認証を受けていますこの基準では供給者関係 (ISO 附属書 A.15) が規定されています情報セキュリティの監督管理体制はセキュリティに対するベンダーの取り組みなど第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google ではサービス実施のためのほぼすべてのデータ処理を直接行っていますただし Google は顧客サポートやテクニカルサポートなどのサービスを提供するためにサードパーティサプライヤーを利用することがありますサードパーティサプライヤーと提携する前に Google はサードパーティサプライヤーのセキュリティおよびプライバシー対策について評価を行いますこれによりデータへのアクセスや担当するサービスの範囲に適した水準のセキュリティやプライバシーが確保されていることを確認します Google はサードパーティサプライヤーに付随するリスクを評価した上で所定のセキュリティ機密保持プライバシーの各契約を締結することをサプライヤーに義務付けています運 89 https //cloud.google.com/terms/subprocessors https //gsuite.google.com/terms/subprocessors.html 運 90 Google の全委託業者は初期研修に組み込まれたセキュリティ研修に加え在籍期間中も継続的にセキュリティ研修を受けています新規の委託業者は初期研修で Google の行動規範に同意しますこの行動規範では Google が顧客情報を安全に保護する責務を負うことが定められています職務に応じて専門的なセキュリティ研修が追加で義務付けられている場合もありますたとえば情報セキュリティチームに配属されたエンジニアは安全なコーディング方法プロダクト設計脆弱性自動テストツールなどについて指導を受けますエンジニアはこの他にもセキュリティ関連の技術プレゼンテーションへの出席や新規の脅威攻撃パターン防御技術などを紹介するセキュリティ関連ニュースレターの購読などを職務の一環として行っています Google は ISO27001 認証を受けていますこの基準では供給者関係 (ISO 附属書 A.15) が規定されています情報セキュリティの監督管理体制はセキュリティに対するベンダーの取り組みなど第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています運 90-1 運 91 運 92 運 93 運 94 Google ではサービス実施のためのほぼすべてのデータ処理を直接行っていますただし Google は顧客サポートやテクニカルサポートなど Cloud Platform に関連するサービスを提供するためサードパーティサプライヤーを利用することがありますサードパーティサプライヤーと提携する前に Google はサードパーティサプライヤーのセキュリティおよびプライバシー対策について評価を行いますこれによりデータへのアクセスや担当するサービスの範囲に適した水準のセキュリティやプライバシーが確保されていることを確認します Google はサードパーティサプライヤーに付随するリスクを評価した上で所定のセキュリティ機密保持プライバシーの各契約を締結することをサプライヤーに義務付けています Google はお客様に代わって金融取引ソフトウェアを運用しません CD や ATM のネットワーク保守はお客様側で対応していただく必要があります Google は ISO27001 認証を受けていますこの基準では情報システムの監査に対する考慮事項 (ISO 附属書 A.12.7) が規定されています情報セキュリティの監督管理体制は社内監査の監督など第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得していますインストアブランチについてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですコンビニの ATM についてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですコンビニの ATM についてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外です

9 運 95 運 96 運 97 運 98 運 99 運 100 運 101 運 102 運 103 運 104 運 105 運運 106 運 107 運 108 運 109 コンビニの ATM についてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですコンビニの ATM についてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですコンビニの ATM についてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですコンビニの ATM についてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですデビットカードについてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですデビットカードについてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですデビットカードについてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですデビットカードについてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですオープンネットワークを利用した金融サービスについてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですオープンネットワークを利用した金融サービスについてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですオープンネットワークを利用した金融サービスについてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですオープンネットワークを利用した金融サービスについてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですオープンネットワークを利用した金融サービスについてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですオープンネットワークを利用した金融サービスについてはお客様側で対応していただく必要がありますこれは Google プラットフォームの範囲外ですクラウドプロバイダを選定する際の適正評価はエンドユーザーの責任となっています Google は見込み顧客が特定のプロダクトを評価できるよう公開済みの情報を提供します Google Cloud と G Suite はクラウドプロバイダのための ISO27017 認証を受けています詳しくは契約上の義務や契約内容をまとめた Google の利用規約と SLA をご覧ください利用規約 https //cloud.google.com/terms/ https //gsuite.google.com/terms/2013/1/premier_terms.html SLA 運 110 https //gsuite.google.com/terms/sla.html https //cloud.google.com/terms/sla/ Google は ISO27001 認証を受けていますこの基準では暗号 (ISO 附属書 A.10) が規定されています Google は Google Cloud プロダクトと G Suite プロダクトの暗号化と鍵管理に関する詳細を公開しています鍵管理と暗号化について詳しくは次を参照してください https //cloud.google.com/security/encryption-at-rest/ https //storage.googleapis.com/gfw-touched-accounts-pdfs/google-encryption-whitepaper-gsuite.pdf 運 111 運 112 Google Cloud Platform のお客様は適切な暗号化対策の開発などお使いの環境を設定管理するすべての権利と責任を保有します Cloud Platform のお客様のデータは Google ではなくお客様が所有していますお客様が Google のシステムに入力したデータはお客様のものであり Google が広告のためにスキャンしたりサードパーティに売却したりすることはありません Google ではお客様にデータ処理の詳細な修正条項を提示していますこの条項はお客様のデータの保護に対する Google の取り組みを示すものですこの条項では Google が契約上の義務を履行する場合以外ではいかなる目的でもデータを処理しないことが明記されていますさらにお客様がデータを削除した場合 Google は 180 日以内にそのデータをシステムから削除します Google はお客様が Google のサービスの使用を中止することにした場合にデータを簡単に取得するためのツールを提供していますこのとき Google が罰金や追加料金を課すことはありません Google Cloud Platform のお客様は適切な暗号化対策の開発などお使いの環境を設定管理するすべての権利と責任を保有します Google は ISO27001 認証を受けていますこの基準では情報セキュリティの独立したレビュー (ISO 附属書 A ) が規定されていますさらに Google Cloud と G Suite はクラウドプロバイダのための ISO27017 認証を受けています Google では各種監査を実施して Google の統制環境について第三者機関による検証を受けており必要に応じてお客様に監査証明書を提供しています第三者機関によるコンプライアンス監査をまとめた最新リストは以下のページで確認できます運 113 https //cloud.google.com/security/compliance https //gsuite.google.com/learn-more/compliance-google-apps.html Google は ISO27001 認証を受けていますこの基準ではマルウェアからの保護 (ISO 附属書 A.12.2) が規定されています脆弱性管理に関する統制についても第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google はセキュリティ上の脅威を積極的に探索する脆弱性管理プロセスを実施していますこの管理プロセスは一般に流通しているツールと独自の社内ツール自動および手動による集中的な侵入試行品質保証プロセスソフトウェアセキュリティ審査外部監査などで構成されています脆弱性の追跡と対処は脆弱性管理チームが担当しています改善が必要な脆弱性が見つかるとその内容が記録され重大度に応じて優先順位が設定されオーナーが割り当てられます脆弱性管理チームはこのような問題を追跡して問題が解決したことが確認されるまで対応作業を続けますまた Google はセキュリティ研究コミュニティのメンバーと連携して Google のサービスやオープンソースツールについて報告されている問題を追跡していますセキュリティ問題の報告について詳しくはをご覧ください技 1 技 2 技 3 技 4 技 5 技 6 技 7 技 8 技 9 技 10 技 11 技 12 技 13 技 14 技 15 技 16 技 17 技 18 技 19 技 20 技 21 技 22 技 23 項番技術 Google の回答 Google は ISO27001 認証を受けていますこの基準では装置の保守 ( 附属書 A ) が規定されています Google のインフラストラクチャはコンテナテクノロジーを採用し機器の障害を柔軟かつシームレスに処理します機器の不具合を継続的にモニタリングし問題が見つかった場合はデータを他の機器に転送してサービスの停止を回避します Google は ISO27001 認証を受けていますこの基準では変更管理 (ISO 附属書 A ) とシステムの取得開発および保守 (ISO 附属書 A.14.2) が規定されています詳しくは Google インフラストラクチャのセキュリティ設計の概要 (https //cloud. Google Cloud Platform のお客様は変更管理手順やシステム開発手順などお使いの環境を設定管理するすべての権利と責任を保有します Google は ISO27001 認証を受けていますこの基準では変更管理 (ISO 附属書 A ) とシステムの取得開発および保守 (ISO 附属書 A.14.2) が規定されています詳しくは Google インフラストラクチャのセキュリティ設計の概要 (https //cloud. Google Cloud Platform のお客様は変更管理手順やシステム開発手順などお使いの環境を設定管理するすべての権利と責任を保有します CD や ATM の遠隔制御機能の確認はお客様側で対応していただく必要がありますアカウントレベルでエラーを最小限に抑える対策はお客様側で対応していただく必要があります

10 技 24 技 25 技 26 技 27 Google 社員のアクセス権とアクセスレベルは職務上の役割に基づいており権限を最小限にし知る必要がある人物にだけ知らせるという考え方に基づいてアクセス権を定義済みの職務に対応付けています Google 社員に付与される既定のアクセス権限は社員用メールや Google 社員用の社内ポータルといった会社のリソースのみにアクセスが制限されています既定以上のアクセス権を要求する場合は Google のセキュリティポリシーの規定に従いデータまたはシステムのオーナーマネージャーまたはその他の上級管理職者に要請して承認を得るといった公式の手順を経る必要がありますこの承認はワークフローツールによって管理されすべての変更の監査記録が維持されますこうしたツールで認可設定の変更と承認プロセスの両方を管理することで一貫性のある承認ポリシーの適用が保証されます社員の承認設定は Google Cloud や G Suite に関連したデータやシステムを含むすべてのリソースへのアクセス制御に使用されますサポートサービスは複数の方法による本人確認を経た上で正式に承認されたお客様の管理者に対してのみ提供されます Google 社員によるアクセスはセキュリティプライバシー内部監査を担当する社内の専任チームによってモニタリング監査されます技 28 Google は ISO27001 認証を受けていますこの基準では暗号 (ISO 附属書 A.10) が規定されています Google は Google Cloud プロダクトと G Suite プロダクトの暗号化と鍵管理に関する詳細を公開しています鍵管理と暗号化について詳しくは次を参照してください https //cloud.google.com/security/encryption-at-rest/ https //storage.googleapis.com/gfw-touched-accounts-pdfs/google-encryption-whitepaper-gsuite.pdf 技 29 Google Cloud Platform のお客様は適切な暗号化対策の開発などお使いの環境を設定管理するすべての権利と責任を保有します Google は ISO27001 認証を受けていますこの基準では暗号 (ISO 附属書 A.10) が規定されています Google は Google Cloud プロダクトと G Suite プロダクトの暗号化と鍵管理に関する詳細を公開しています鍵管理と暗号化について詳しくは次を参照してください https //cloud.google.com/security/encryption-at-rest/ https //storage.googleapis.com/gfw-touched-accounts-pdfs/google-encryption-whitepaper-gsuite.pdf 技 30 Google Cloud Platform のお客様は適切な暗号化対策の開発などお使いの環境を設定管理するすべての権利と責任を保有します技 31 技 32 技 33 Google Cloud Platform のお客様は不正データや未確認データを検出するためのモニタリング設定などお使いの環境を設定管理するすべての権利と責任を保有します技 34 Google Cloud Platform のお客様は不正データや未確認データを検出するためのモニタリング設定などお使いの環境を設定管理するすべての権利と責任を保有します技 35 技 35-1 技 36 技 37 技 38 技 39 技 40 技 41 技 42 不正使用の防止についてはお客様側で対応していただく必要があります不正使用の防止についてはお客様側で対応していただく必要がありますお客様は偽造カードの使用について適切な予防策を講じる必要がありますお客様は偽造カードの使用について適切な予防策を講じる必要があります Google は ISO27001 認証を受けていますこの基準では暗号 (ISO 附属書 A.10) が規定されています Google は Google Cloud プロダクトと G Suite プロダクトの暗号化と鍵管理に関する詳細を公開しています鍵管理と暗号化について詳しくは次を参照してください https //cloud.google.com/security/encryption-at-rest/ https //storage.googleapis.com/gfw-touched-accounts-pdfs/google-encryption-whitepaper-gsuite.pdf 技 42-1 技 43 Google Cloud Platform のお客様は適切な暗号化対策の開発などお使いの環境を設定管理するすべての権利と責任を保有しますお客様は不正な閲覧について適切な予防策を講じる必要があります Google は ISO27001 認証を受けていますこの基準ではネットワークおよびネットワークサービスへのアクセス (ISO 附属書 A.9.1.2) とネットワークセキュリティ管理 (ISO 附属書 A.13.1) が規定されています Google では厳格なインシデント管理プロセスによりシステムやデータの機密性完全性または可用性に影響を与える可能性があるセキュリティイベントに対応していますインシデントが発生した場合セキュリティチームはインシデントを記録して重大度に応じて優先順位を設定します直接お客様に影響を与えるイベントには特に高い優先順位が設定されますこのプロセスでは行動方針や通知エスカレーション対処および文書化のための手順が指定されています Google のセキュリティインシデント管理プログラムはインシデントの処理に関する NIST ガイダンス (NIST SP ) に基づいています中心となるスタッフはイベント発生に備えてサードパーティツールや独自ツールの使用など法科学や証拠取り扱いの訓練を受けていますお客様の機密情報を保存するシステムなどの重要な領域ではインシデント対応計画のテストを実施していますこうしたテストでは内部関係者による脅威やソフトウェアの脆弱性などさまざまなシナリオが考慮されていますセキュリティ上のインシデントを早期解決するため Google のセキュリティチームは 24 時間体制で全社員からの問い合わせに対応していますインシデントでお客様のデータが影響を受ける場合 Google またはそのパートナーはお客様にその旨を通知し Google のサポートチームを通じて調査活動に協力します Google Cloud Platform のお客様はお使いの環境を設定管理するほか不正アクセスを検知レビューするすべての権利と責任を保有します技 44 Google は ISO27001 認証を受けていますこの基準ではネットワークおよびネットワークサービスへのアクセス (ISO 附属書 A.9.1.2) とネットワークセキュリティ管理 (ISO 附属書 A.13.1) が規定されています Google では厳格なインシデント管理プロセスによりシステムやデータの機密性完全性または可用性に影響を与える可能性があるセキュリティイベントに対応していますインシデントが発生した場合セキュリティチームはインシデントを記録して重大度に応じて優先順位を設定します直接お客様に影響を与えるイベントには特に高い優先順位が設定されますこのプロセスでは行動方針や通知エスカレーション対処および文書化のための手順が指定されています Google のセキュリティインシデント管理プログラムはインシデントの処理に関する NIST ガイダンス (NIST SP ) に基づいています中心となるスタッフはイベント発生に備えてサードパーティツールや独自ツールの使用など法科学や証拠取り扱いの訓練を受けていますお客様の機密情報を保存するシステムなどの重要な領域ではインシデント対応計画のテストを実施していますこうしたテストでは内部関係者による脅威やソフトウェアの脆弱性などさまざまなシナリオが考慮されていますセキュリティ上のインシデントを早期解決するため Google のセキュリティチームは 24 時間体制で全社員からの問い合わせに対応していますインシデントでお客様のデータが影響を受ける場合 Google またはそのパートナーはお客様にその旨を通知し Google のサポートチームを通じて調査活動に協力します Google Cloud Platform のお客様はお使いの環境を設定管理するほか不正アクセスを検知レビューするすべての権利と責任を保有します技 45 Google は ISO27001 認証を受けていますこの基準ではネットワークおよびネットワークサービスへのアクセス (ISO 附属書 A.9.1.2) とネットワーク管理策 (ISO 附属書 A ) が規定されています Google では厳格なインシデント管理プロセスによりシステムやデータの機密性完全性または可用性に影響を与える可能性があるセキュリティイベントに対応していますインシデントが発生した場合セキュリティチームはインシデントを記録して重大度に応じて優先順位を設定します直接お客様に影響を与えるイベントには特に高い優先順位が設定されますこのプロセスでは行動方針や通知エスカレーション対処および文書化のための手順が指定されています Google のセキュリティインシデント管理プログラムはインシデントの処理に関する NIST ガイダンス (NIST SP ) に基づいています中心となるスタッフはイベント発生に備えてサードパーティツールや独自ツールの使用など法科学や証拠取り扱いの訓練を受けていますお客様の機密情報を保存するシステムなどの重要な領域ではインシデント対応計画のテストを実施していますこうしたテストでは内部関係者による脅威やソフトウェアの脆弱性などさまざまなシナリオが考慮されていますセキュリティ上のインシデントを早期解決するため Google のセキュリティチームは 24 時間体制で全社員からの問い合わせに対応していますインシデントでお客様のデータが影響を受ける場合 Google またはそのパートナーはお客様にその旨を通知し Google のサポートチームを通じて調査活動に協力します Google Cloud Platform のお客様はお使いの環境を設定管理するほか不正アクセスを検知レビューするすべての権利と責任を保有します技 46 技 47 技 48 お客様は疑わしいトランザクションを識別するためのパラメータを設定する必要がありますお客様は疑わしいトランザクションを識別するためのパラメータを設定する必要があります Google は ISO27001 認証を受けていますこの基準ではネットワークおよびネットワークサービスへのアクセス (ISO 附属書 A.9.1.2) とネットワーク管理策 (ISO 附属書 A ) が規定されています Google では厳格なインシデント管理プロセスによりシステムやデータの機密性完全性または可用性に影響を与える可能性があるセキュリティイベントに対応していますインシデントが発生した場合セキュリティチームはインシデントを記録して重大度に応じて優先順位を設定します直接お客様に影響を与えるイベントには特に高い優先順位が設定されますこのプロセスでは行動方針や通知エスカレーション対処および文書化のための手順が指定されています Google のセキュリティインシデント管理プログラムはインシデントの処理に関する NIST ガイダンス (NIST SP ) に基づいています中心となるスタッフはイベント発生に備えてサードパーティツールや独自ツールの使用など法科学や証拠取り扱いの訓練を受けていますお客様の機密情報を保存するシステムなどの重要な領域ではインシデント対応計画のテストを実施していますこうしたテストでは内部関係者による脅威やソフトウェアの脆弱性などさまざまなシナリオが考慮されていますセキュリティ上のインシデントを早期解決するため Google のセキュリティチームは 24 時間体制で全社員からの問い合わせに対応していますインシデントでお客様のデータが影響を受ける場合 Google またはそのパートナーはお客様にその旨を通知し Google のサポートチームを通じて調査活動に協力します Google Cloud Platform のお客様はお使いの環境を設定管理するほか不正アクセスを検知レビューするすべての権利と責任を保有します技 49 Google は ISO27001 認証を受けていますこの基準ではマルウェアからの保護 ( 附属書 A.12.2) が規定されています脆弱性管理に関する統制についても第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google はセキュリティ上の脅威を積極的に探索する脆弱性管理プロセスを実施していますこの管理プロセスは一般に流通しているツールと独自の社内ツール自動および手動による集中的な侵入試行品質保証プロセスソフトウェアセキュリティ審査外部監査などで構成されています脆弱性の追跡と対処は脆弱性管理チームが担当しています改善が必要な脆弱性が見つかるとその内容が記録され重大度に応じて優先順位が設定されオーナーが割り当てられます脆弱性管理チームはこのような問題を追跡して問題が解決したことが確認されるまで対応作業を続けますまた Google はセキュリティ研究コミュニティのメンバーと連携して Google のサービスやオープンソースツールについて報告されている問題を追跡していますセキュリティ問題の報告について詳しくはをご覧ください

11 技 50 Google は ISO27001 認証を受けていますこの基準ではマルウェアからの保護 ( 附属書 A.12.2) が規定されています脆弱性管理に関する統制についても第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google はセキュリティ上の脅威を積極的に探索する脆弱性管理プロセスを実施していますこの管理プロセスは一般に流通しているツールと独自の社内ツール自動および手動による集中的な侵入試行品質保証プロセスソフトウェアセキュリティ審査外部監査などで構成されています脆弱性の追跡と対処は脆弱性管理チームが担当しています改善が必要な脆弱性が見つかるとその内容が記録され重大度に応じて優先順位が設定されオーナーが割り当てられます脆弱性管理チームはこのような問題を追跡して問題が解決したことが確認されるまで対応作業を続けますまた Google はセキュリティ研究コミュニティのメンバーと連携して Google のサービスやオープンソースツールについて報告されている問題を追跡していますセキュリティ問題の報告について詳しくはをご覧ください技 51 Google は ISO27001 認証を受けていますこの基準ではマルウェアからの保護 ( 附属書 A.12.2) が規定されています脆弱性管理に関する統制についても第三者機関によるレビューと検証を受け SOC 2 Type II の報告書を取得しています Google はセキュリティ上の脅威を積極的に探索する脆弱性管理プロセスを実施していますこの管理プロセスは一般に流通しているツールと独自の社内ツール自動および手動による集中的な侵入試行品質保証プロセスソフトウェアセキュリティ審査外部監査などで構成されています脆弱性の追跡と対処は脆弱性管理チームが担当しています改善が必要な脆弱性が見つかるとその内容が記録され重大度に応じて優先順位が設定されオーナーが割り当てられます脆弱性管理チームはこのような問題を追跡して問題が解決したことが確認されるまで対応作業を続けますまた Google はセキュリティ研究コミュニティのメンバーと連携して Google のサービスやオープンソースツールについて報告されている問題を追跡していますセキュリティ問題の報告について詳しくはをご覧ください

Data Security and Privacy Principles

Data Security and Privacy Principles データのセキュリティーおよびプライバシーの原則 IBM クラウドサービス 2 データのセキュリティーおよびプライバシーの原則 : IBM クラウドサービス目次 2 概要 2 ガバナンス 3 セキュリティーポリシー 3 アクセス介入転送および分離の管理 3 サービスの完全性および可用性管理 4 アクティビティーのロギングおよび入力管理 4 物理的セキュリティーおよび入場管理 4 指示の管理

FISC 安全対策基準対応ガイド 設 1 設 2 設 3 設 4 FISC 安全対策基準一覧項番 設備 Google の回答 Google は ISO27001 認証を受けています この基準では 物理的および環境的セキュリティ (ISO 附属書 A.11) が規定されています シ

FISC 安全対策基準対応ガイド設 1 設 2 設 3 設 4 FISC 安全対策基準一覧項番設備 Google の回答 Google は ISO27001 認証を受けていますこの基準では物理的および環境的セキュリティ (ISO 附属書 A.11) が規定されていますシ