1 はじめに
1.1 目的
「本サービスの管理について」(以下本書と記載)は、弊社がクラウドサービス提供者として実施する管理策をご確認いただくことを目的としています。
1.2 本書の適用範囲
本書の適用範囲は、弊社のDialogPlayサービスとなります。本サービスで提供する機能の詳細につきましては、DialogPlayサービスのポータルサイトおよびガイドページを参照ください。
2 DialogPlayサービスについて
2.1 DialogPlayサービスとは
TISが提供するDialogPlayサービスは、TISが契約するクラウドサービスプロバイダーのクラウドサービス上に、お客様のデータを蓄積し、チャットボットおよび種々の管理を行う機能を提供します。
2.2 責任分界点について
DialogPlayサービスの責任文界点は以下になります。
3 DialogPlayサービスの管理策
3.1 情報セキュリティの方針
DialogPlayサービスは弊社の情報セキュリティ方針に従いサービスを運用しています。弊社の情報セキュリティ方針はDialogPlayサービスのポータルサイトに公開しています。
3.2 情報セキュリティの役割および方針
DialogPlayサービスは、DialogPlayサービス利用約款およびDialogPlayエンドユーザー向け利用条件に基づいて提供します。
3.3 関係当局との連絡
弊社の運用拠点の所在地は、東京都江東区豊洲2-2-1となります。DialogPlayサービスで保存いただくデータの所在は、日本国内となります。
3.4 クラウドコンピューティング環境における役割および責任の共有および分担
「2.2 責任分界点について」の記載に基づき、弊社が利用しているクラウドサービスプロバイダー、クラウドサービス提供者としての弊社、および弊社のクラウドサービスを利用するお客様の間で、情報セキュリティの役割と責任を分担します。
3.5 情報セキュリティの意識向上、教育および訓練
情報セキュリティ要件の周知徹底とクラウドサービスの運営ルール徹底を目的として、サービスに従事する要員を対象とした教育・訓練および意識向上策を実施しています。
3.6 資産目録
お客様の情報資産(保存データ)と弊社がクラウドサービスを提供するための情報資産は明確に分離しています。お客様がDialogPlayサービス上に作成・保存する情報資産は、お客様の管理範囲となります。
3.7 クラウドサービス利用者の資産の除去
お客様がサービス契約を解約された場合、お客様がクラウドサービス上の作成・保存した情報資産(保存データ)は、サービス解約後1年以内にデータを破棄します。お客様が情報資産のバックアップなどを必要とされる場合は、お客様にてデータをエクスポートしてください。
3.8 情報のラベル付け
DialogPlayサービスは、チャットボット、アプリケーションに任意の名前をつけることができます。お客様の情報資産の分類にご利用ください。
3.9 利用者登録および登録削除
お客様に提供する管理画面から、お客様の管理者はDialogPlayサービスを利用するユーザーの登録、登録削除ができます。
3.10 利用者アクセスの提供
お客様に提供する管理画面から、お客様の管理者は DialogPlay サービスを利用するユーザーに対するアクセス権を管理することができます
3.11 特権的アクセス権の管理
管理画面はログイン ID とパスワードによる認証に加えて IP アドレス制限を行うことができます。
3.12 利用者の秘密認証情報の管理
お客様は管理画面から、DialogPlay サービスを利用するユーザー自身の秘密認証情報の変更ができます。パスワードを忘れた場合にパスワードをリセットすることができます。
3.13 情報へのアクセス制限
お客様の管理者は管理画面からお客様ユーザーのアクセス権の設定ができます。
3.14 特権的なユーティリティプログラムの使用
お客様は特権的なユーティリティプログラムを利用することができません。
3.15 仮想コンピューティング環境における分離
マルチテナント環境で動作しますが、ユーザーID によるアクセス資源の分離を実施し、別テナントへの不正アクセスを抑止しています。
3.16 仮想マシンの要塞化
仮想マシンを設定する際に、適切な側面からの要塞化(必要なポート、プロトコルおよびサービスだけを有効にする、など)および利用する各仮想マシンへの適切な技術手段(マルウェア対策、ログ取得など)の実施を行っています。
3.17 暗号による管理策の利用方針
業界標準の AES-256 暗号化アルゴリズムを使用して、データベースインスタンスが保持しているデータをサーバーで暗号化します。データが暗号化されると、データベースはパフォーマンスの影響を最小に抑えながら、データへのアクセスと復号の認証を透過的に処理します。また、お客様のパスワードは暗号化して保持しています。お客様と提供する DialogPlay サービス間の通信は SSL/TLS 通信による暗号化を行っています。
3.18 装置のセキュリティを保った処分または再利用
DialogPlay サービスは、弊社が契約するクラウドサービスプロバイダーが構築する仮想環境上で提供しており、弊社が直接に処分または再利用を行う資源(装置、データストレージ、メモリ、ファイル)は保有しておりません。弊社が契約するクラウドサービスプロバイダーが、契約に基づき資源の処分または再利用を適切に実施していることを確認しています。
3.19 変更管理
お客様に通知する必要のある弊社が提供する DialogPlay サービスの仕様変更や使用追加などについて、メールやお客様ポータルサイトなどで連絡します。その際に実施するメンテナンスについても同様に連絡します。
3.20 容量・能力の管理
弊社が契約している(弊社のクラウドサービスを提供する基盤となる)クラウドサービスプロバイダー提供のクラウド環境上の資源について、容量・能力(ディスク使用率、メモリ使用率、CPU 使用率)を監視し、逼迫する際は資源を拡張し、サービスの提供に影響を与えません。
3.21 実務管理者の運用セキュリティ
お客様の管理者向けに提供する管理画面のガイドと共に、QA サポートも提供し、運用セキュリティを確保いただきます。
3.22 情報のバックアップ
システムおよびお客様情報資産のバックアップは日々の運用プロセスとして実施しております。バックアップは 14 世代(14 日)分のデータを保持し、万が一の障害によりクラウド上のデータが失われた場合は、バックアップデータから復旧することができます。クラウドサービス上に作成しているお客様のチャットボット、対話ログはお客様自身でエクスポートすることができます。
3.23 イベントログ取得
クラウドサービスの維持管理に必要となる適切なログを取得しています。お客様が必要とされる場合は、弊社問い合わせ窓口までご相談ください。
3.24 クロックの同期
システム内はクラウドサービスプロバイダー提供の NTP サーバーを用いた手法で時刻同期されています。
3.25 クラウドサービスの監視
弊社は、お客様が利用される DialogPlay サービスが正常に提供され、不正に利用されていないことを常時監視しています。お客様がサービス運輸状況の詳細を確認されたい場合は、弊社問い合わせ窓口までご相談ください。
3.26 技術的脆弱性の管理
弊社は技術的脆弱性の情報を常時収集しています。お客様の対応が必要となる脆弱性情報を入手した際は、お客様向けポータルサイトなどで必要な対応事項を連絡させていただきます。クラウドサービス側の対応が必要な場合は、弊社が定期または緊急メンテナンスを実施しセキュリティを確保します。
3.27 ネットワークの分離
弊社はネットワーク間の領域の分離を適切に行なっています。システムを提供するネットワークとデータを保管するネットワークは仮想化技術により分離されています。
3.28 情報セキュリティ要求事項の分析および仕様化
弊社は、情報セキュリティ方針の下で、お客様が要求される情報セキュリティを維持、提供しています。主にお客様が検討される情報セキュリティ機能の仕様として、本書は以下の項目を記載しています。
・アクセス制限機能(3.9 利用者登録および登録削除)
お客様管理者によるお客様の利用者登録などの機能
・アクセス制限機能(3.10 利用者アクセスの提供)
お客様管理者によるお客様の利用者に対する設定確認などの機能
・アクセス制限機能(3.13 情報へのアクセス制限)
お客様管理者によるお客様の利用者のアクセス権設定などの機能
・暗号化機能(3.17 暗号による管理策の利用方針)
万一の情報漏洩などを想定したリスク評価のための情報
・バックアップ機能(3.22 情報のバックアップ)
万一のデータ消失などを想定したリカバリーのための情報
・ログ取得機能(3.23 イベントログ取得)
情報セキュリティ事象に際して原因特定などに必要なログが得られることの情報
3.29 セキュリティに配慮した開発のための方針
弊社は、セキュリティに配慮した開発方針として、開発時点からのセキュリティに関するリスクアセスメントや、脆弱性への対策を含む設計指針を策定してクラウドサービスの設計と製作を行い、社内部門であるセキュアワンセンターの審査を経てクラウドサービスを提供しています。
3.30 供給者との合意におけるセキュリティの取扱い
弊社は、お客様向けに提供するクラウドサービスの情報セキュリティ対策について、本書に記載しています。
3.31 ICT サプライチェーン
弊社が利用するクラウドサービスプロバイダーの情報セキュリティ水準を把握し、弊社が提供するクラウドサービスの情報セキュリティとの整合性が取れていることを確認しています。
3.32 責任および手順
弊社が利用するクラウドサービスプロバイダーとの責任分界点は、本書「2.2 責任分界点について」に記載しています。情報セキュリティインシデントは、弊社の情報セキュリティインシデント管理手順に則り、以下のように適切に管理しています。
・弊社がお客様に報告する情報セキュリティインシデントの範囲
お客様の業務になんらかの影響を及ぼす事象を範囲とします。
・情報セキュリティインシデントの検出およびそれに伴う対応の開示レベル
弊社に起因する情報セキュリティインシデントでお客様に影響を及ぼすものは、内容に関わらず、すべて同等のレベルで対処します。
・情報セキュリティインシデントの通知を行う目標時間
弊社に起因する情報セキュリティインシデントでお客様に影響を及ぼすものは、1営業日以内にお客様へ通知します。
・情報セキュリティインシデントの通知手順
弊社に起因する情報セキュリティインシデントでお客様に影響を及ぼすものは、お客様向けポータルサイトなどで通知します。(状況に応じて電話などの手段を使用する場合もございます)
・情報セキュリティインシデントに関する事項の取扱いのための窓口の情報
情報セキュリティインシデントに関する窓口は、本サービスの障害・お問い合わせを受け付ける窓口と同様です。
・特定の情報セキュリティインシデントが発生した場合に適用可能なあらゆる対処
弊社に起因する情報セキュリティインシデントでお客様に影響を及ぼすものは、あらゆる手段を用いて解決するための対処を行います。
3.33 情報セキュリティ事象の報告
弊社、または弊社の利用するクラウドサービスプロバイダーに起因する情報セキュリティ事象については、お客様向けポータルサイトなどで報告します。
3.34 証拠の収集
裁判所からの開示請求など、法律に基づいた正当な開示請求が行われた場合、クラウドコンピューティング環境内で生成されるデジタル証拠となり得る情報およびその他の情報について、お客様の同意を得ずにこれらの情報を提供する場合があります。
3.35 適用法令および契約上の要求事項の特定
本クラウドサービスに関して、適用される準拠法は日本法となります。
3.36 知的財産権
知的財産権に関するお客様の問い合わせは、本クラウドサービスの問い合わせ窓口までご連絡ください。
3.37 記録の保護
本クラウドサービスは、クラウドサービスの維持管理に必要となる適切なお客様のアクセス履歴、およびお客様の閲覧履歴を収集、保持しています。お客様が必要とされる場合は、弊社問い合わせ窓口までご連絡ください。
3.38 暗号化機能に対する規制
暗号の利用は、「3.17 暗号による管理策の利用方針」に記載しています。輸出規制の対象となる暗号化の利用はありません。
3.39 情報セキュリティの独立したレビュー
弊社は、内部監査、マネジメントレビュー、ISMS リスクアセスメントと管理計画を通じて情報セキュリティの維持、向上を行なっています。