情報セキュリティポリシー
1. はじめに
このホワイトペーパーでは、株式会社Sound Oneが提供するWebサービス「Sound One」のセキュリティ対策とその仕組みについて、概要を説明します。
2. Sound Oneについて
「Sound One」は、アマゾンウェブサービス(AWS)を使った、音の収録・音の編集・データの管理・オーディオテスト・主観量と物理量の結び付けができるWebアプリケーションです。評価したい音をWeb配信することで、音を聴いた印象を幅広いモニターから集めることができます。集められた音の印象は、音圧レベルなどのパラメータとの相関により、感性と物理の紐づけが可能です。音の収録はスマートフォン等を使い、音の収録・編集・オーディオテスト・結果の保存、分析までをOSを問わず、お持ちのデバイスのWebブラウザからご利用いただけます。
3. この文章の目的
このホワイトペーパーは、「Sound One」の利用を検討されている方、すでに利用いただいている方に向けて、「Sound One」のサービス基盤におけるセキュリティへの取り組みを確認いただくとともに、提供サービスをセキュアに利用いただくための留意事項を確認いただくことを目的としています。
4. 利用者との責任分界点
4.1 Sound Oneの責任
Sound Oneは以下のセキュリティ対策を実施します。
Sound One Webアプリケーションのセキュリティ対策。
Sound One を使用して保存されたお客様の情報保護。
Sound One Webアプリケーションの提供に利用するミドルウェア、その他インフラのセキュリティ対策。
4.2 お客様の責任
お客様は、セキュリティポリシー及びプライバシーポリシーに基づき、お客様のセキュリィ対策を実施する必要があります。
各利用者に付与されたパスワードの適切な管理。
Sound Oneアカウントの適切な管理(登録、削除、組織管理者権限の付与など)サービス内に登録・保管する各種情報・データのバックアップ。
サービス内で接触できる情報・データの管理。
利用する端末等の適切な管理(携帯端末、インターネット回線、OS・ブラウザ等の最新版利用など)。
5. 情報セキュリティへの取り組み
Sound Oneは利用者の皆様に安心して本サービスをご利用いただくために、高いセキュリティ施策と第三者機関による認証を実施し、情報セキュリティに対して万全の体制で取り組んでいます。
5.1 情報セキュリティマネジメントシステム(ISO/IEC 27001:2013)
2022年10月に情報セキュリティマネジメントシステム(ISMS: Information Security Management System)の認証を取得。国際規格 ISO/IEC27001:2013/日本工業規格 JISQ27001:2014「情報セキュリティマネジメントシステム-要求事項」を基準として、情報資産を情報セキュリティの3要素(機密性、完全性、可用性)の観点から維持改善を行い、継続的に運用、監視、見直しを行っています。
5.2 不正アクセス対策
http / httpsのアクセスは、サービス提供URLに限定して許可されます。Sound One利用者向けsshのアクセスは、踏み台サーバへのアクセスに限定して許可されます。Sound One管理者および開発者向けsshのアクセスは、IPアドレス制限を掛け、ONOネットワークおよびFPTネットワークからのアクセスに限定されます。http / https / ssh 以外のアクセスは、外部ネットワークからは受け入れません。
5.3 マルウェア/ウイルス対策
マルウェア、ウイルス感染の脅威を利用者に適切に認識させることと併せて検出、予防及び回復のための管理策を実施します。当社の標準ウイルス対策ソフトウエアの機能設定では「常駐」設定にしています。ウイルス・ワームの検知もしくは感染した場合、ウイルス感染を発見した場合は、被害を最小限に抑えるために感染した情報機器を直ちにネットワークから切り離します。感染しているもしくは感染の疑いがある機器もネットワークから切離の処置を行います。
5.4 脆弱性対策
当社では、利用中の情報システムの技術的脆弱性に関する情報は、OSやソフトウエアの開発元の情報に従って時機を失せずに獲得すること。また、そのような脆弱性に組織がさらされている状況を評価し、それと関連するリスクに対処するために、適切な手段を講じます。重要なセキュリティ情報、緊急情報などが公表された時には、速やかに株式会社小野測器の情報管理委員、及び情報管理最高責任者へ報告し、電子メールで対策を通知致します。
・株式会社小野測器 情報管理委員
・独立行政法人情報処理推進機構(略称:IPA)
・JVN (Japan Vulnerability Notes 脆弱性対策情報ポータルサイト)
・一般社団法人 JPCERT コーディネーションセンター
5.5 暗号化
お客様がブラウザを通して入力された固有情報は、httpsでの暗号化された通信でやり取りされ、httpsでの通信には、認証局で発行されたSSL証明書が設定され、AWSサーバへは暗号化されて保管がされます。管理用ログインには、公開鍵認証方式のsshのみを許可とします。
5.6 セキュリティ
物理的なセキュリティ境界を定め、関係する施設/設備について要求事項を満たされるような物理的に頑丈な建物、無人時のフロアの施錠、防犯警備、防犯カメラを設置して、外部からの侵入を防ぐ環境を整備しています。
5.6.1 オフィス・執務室
建物の入退出は、社員証カードによる施錠・開錠、及び監視カメラ(警備会社による有人での監視)でのセキュリティが実施されています。一時的な入館者に貸与される入退室カードは入室可能なフロアが制限されており、通常業務エリア及び機密性の高いフロアのある階でエレベーターが停止しません。
通常業務を行うエリアおよび機密性の高い資産を扱うフロアは社員証カードにより入退出の管理が実施され、物理的なアクセスを制限しています。
フロアの退出は、最終退出者にて施錠し、翌営業日に警備員により解錠されます。夜間休日の無人時間帯は建物、フロアの出入口の施錠の他、警備会社との契約による遠隔監視および駆け付け警備が実施されます。
5.7 パスワードポリシー
5.7.1 Sound Oneシステムの利用者の秘密認証情報の管理
・ログインに使用するパスワードは、アカウント登録時に利用者自身が決定し、登録とします。
・パスワード入力時は*表示とし、第三者には判らない様にします。
・パスワードは暗号化し管理者を含む誰にも内容が判らない様に保存します。
利用者がパスワードをリセットできる様、手段を提供します。
5.7.2 AWSサーバの秘密認証情報の管理
・踏み台サーバのログイン用鍵のパスフレーズは、利用者がログイン用鍵作成時に設定します。
・踏み台サーバのログイン用鍵のパスフレーズが分からなくなった場合は、鍵を再作成し、サーバ
側の公開鍵を含め、新しいものに入れ替えて対応します。
・内部サーバのログインパスワードは、初回ログイン時に初期パスワードを変更する形で、利用者
自身で登録します。
・内部サーバのログインパスワードは暗号化し、管理者を含む誰にも内容が判らない様に保存しま
す。
・内部サーバのログインパスワードを忘れた場合は、管理者が初期パスワードに変更します。次回
ログイン時に利用者自身でパスワードを変更する。
5.8 特権的アクセス権限について
Sound Oneの関係責任者が管理者に特権的アクセス権限を与え、通常業務用とは違う専用IDを割り当てます。専用IDは通常業務で使用されません。また特権的アクセス権を与えられたIDはそのアクセスのログを収集し監視対象とされます。管理者の職務分掌変更や異動・退社など雇用や契約または合意終了時、特権的アクセス権は削除または失効します。
5.9 障害対策
Sound Oneでは、ユーザがアップロードしたオリジナルのデータファイルや編集したデータファイルをAWSのオブジェクトストレージへ格納しています。これはスケーラビリティに設計をされており、ユーザ数の増大や長期利用により、膨大なデータを取り扱う可能性がある場合でも、安全に継続的に使える99.9% の可用性が保障されています。さらに、データは複数の地理的に異なるデータセンター内に自動的に冗長化して保存されるため、洪水等の自然災害が発生してもデータは失われず、99.999999999%の高い耐久性を備えています。
5.10 データバックアップ
ユーザ情報やAudio Testの結果などは、AWSのリレーショナルデータベースに格納されます。地理的に異なる3つのデータセンター(アベイラビリティーゾーン)にデータを6個レプリケーションし、それらを継続的にブジェクトストレージにバックアップすることで、高い可用性を実現している。物理ストレージの障害は透過的に復旧され、インスタンスのフェイルオーバーは30秒未満で完了することができます。
5.11 秘密保持
利用規約第14条(秘密保持)において、秘密情報の取り扱いについて定義しています。利用規約第15条(登録情報の取扱い)にて利用者の登録情報を当社プライバシーポリシーの定めによるものとし、秘密に取扱うものとします。
6. 準拠法
お客様と株式会社Sound Oneとの契約は、日本法に基づいて解釈されるものとします。
7. 改訂履歴
| 版数 | 日付 | 改定内容 |
| 初版 | 2022/11/01 | 初版発行 |
PDFダウンロードはこちら