32
ADAPTIVE SUITE SECURITY セキュリティ/データマネジメント及びデータ処理

Adaptive Insightsセキュリティ1215_2014

Embed Size (px)

Citation preview

ADAPTIVE SUITE SECURITY セキュリティ/データマネジメント及びデータ処理

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 2

目次

導入 ......................................................................................................................... 5

コンプライアンスと認証 ...................................................................................................... 6

SSAE16 (SOC 1 ) 監査 ................................................................................................ 6

EU・米国間のセーフハーバー協定 ......................................................................................... 6

TRUSTe認証 ............................................................................................................. 7

構造 ......................................................................................................................... 8

データセンターセキュリティコントロール ...................................................................................... 9

データセンターへの外部アクセス ............................................................................................ 9

データセンターオペレーションズセキュリティコントロール ................................................................... 10

冗長性保護プログラム:ハードウェア/バックアップ ....................................................................... 11

ハードウェア ................................................................................................................ 11

バックアップ/冗長性 ....................................................................................................... 12

データセキュリティ .......................................................................................................... 13

顧客データセキュア送信 .................................................................................................. 13

別の顧客または第三者による顧客データのアクセスの防止 ............................................................ 14

ユーザセキュリティ ......................................................................................................... 14

ユーザ ID とパスワード .................................................................................................... 14

ユーザアクセス管理 ....................................................................................................... 15

分類されたデータの取り扱い ............................................................................................. 16

物理的セキュリティ ........................................................................................................ 16

システムの有効性とパフォーマンス ........................................................................................ 17

有効性 .................................................................................................................... 17

パフォーマンス ............................................................................................................. 17

大規模に実現可能なシステム ........................................................................................... 18

セキュリティのニーズや質問をサポート .................................................................................... 18

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 3

付録:詳細なセキュリティポリシーと措置 ............................................................................... 18

1. 人的セキュリティ ................................................................................................... 18

1.1. データセンターの担当 .............................................................................................. 19

1.2. プロフェッショナルサービス、テクニカルサポートおよび注文管理の担当 .......................................... 19

1.3. 第三者 ............................................................................................................. 20

2. 物理的セキュリティ ................................................................................................. 20

2.1. データセンターにおける物理的セキュリティ ........................................................................ 20

3. ネットワークセキュリティ ............................................................................................. 21

3.1. 周辺部セキュリティ ................................................................................................. 21

3.2. データセンターへの論理アクセス(仮想プライベートネットワーク) .............................................. 21

3.3. ワイヤレスアクセス ................................................................................................. 22

3.4. ネットワーク脆弱性評価 .......................................................................................... 22

4. オペレーティングシステムセキュリティ ............................................................................... 22

4.1. 遠隔アクセス ....................................................................................................... 22

4.2. パスワードの複雑さ:非単純または難読性 ..................................................................... 23

4.3. 特権のあるアカウント .............................................................................................. 23

5. データベースセキュリティ ............................................................................................ 23

5.1. データベース管理者アクセス....................................................................................... 23

5.2. アプリケーション/データベース構造 ................................................................................ 24

6. アプリケーションセキュリティ及びデータ統合 ....................................................................... 24

6.1. SSL (アプリケーションデータセキュリティ) ......................................................................... 24

6.2. プロダクトアクセス及びパスワードコントロール ..................................................................... 24

6.3. IP制限(選択式) .............................................................................................. 25

6.4. データ統合/有効化 ............................................................................................... 25

6.5. ログ集合体 ........................................................................................................ 25

7.1. ソフトウェア開発ライフサイクル .................................................................................... 25

7.2. ソース管理 ......................................................................................................... 26

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 4

7.3. 変更管理 .......................................................................................................... 26

7.4. オープンソース ...................................................................................................... 27

8. 顧客情報保管・バックアップ・保存 ............................................................................... 28

8.1. 保管と複製 ........................................................................................................ 28

8.2. バックアップ ......................................................................................................... 28

8.3. 保存 ............................................................................................................... 29

8.4. デストラクション ..................................................................................................... 30

9. サービス継続性および災害復旧 ................................................................................. 30

10. データ秘匿性と取扱い ............................................................................................ 30

10.1. 顧客情報 ........................................................................................................ 30

10.2. 本番テスト環境 ................................................................................................. 30

10.3. オフサイト構造とデータ破壊 .................................................................................... 31

11. インシデント反応と通知 .......................................................................................... 31

11.1. 探知と通知 ...................................................................................................... 31

11.2. エスカレーション .................................................................................................. 31

12. ウイルス検出/マルウェア検出/パッチマネジメント .............................................................. 31

12.1. ウイルス検出とマルウェア検出 ................................................................................... 31

12.2. パッチマネジメント ................................................................................................ 31

12.3. Adaptive Insights の顧客環境へのアクセス ............................................................... 32

13. 暗号化ポリシー .................................................................................................... 32

14. HIPAA コンプライアンス ........................................................................................... 32

15. PCI コンプライアンス .............................................................................................. 32

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 5

導入 Adaptive Insightsはセキュリティ、データ管理、可用性の最高水準を満たすこと、そして、絶えず変化す

る環境下において常に最高水準を維持することに努めています。

Adaptive Insightsは、クラウド型 CPM とビジネス分析の世界 No1 プロバイダーです。 そして、世界最

大規模の企業を含む約 100 カ国、2000以上の顧客を抱える当社にとって、顧客情報の機密性・統合

性・可用性をしっかり管理することは最重要事項です。これは、我々の顧客の事業活動と我々自身の成功

の双方にとって、大変重要なことであります。そのため、最先端の安全なデータセンター、厳しい内部ポリシー

や手順、適切なデータ暗号化を利用しており、全ての潜在的脅威から当社の顧客のデータを保護している

ということを保障するために第三者監査とも提携しています。

この文書では、コンプライアンスと認証、物理的・論理的セキュリティ・データバックアップ、災害復旧プロセス、

そして我々がどのようにシステムの可用性と継続性パフォーマンスを運営しているかなどといった包括的な概

要を説明しています。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 6

コンプライアンスと認証 Adaptive Insights と顧客の双方にとっての最重要事項は、産業監査、第三者監査、そして国際監査

の要求事項を上回ることであると考えています。当社では定期的に監査を実施し、基幹産業の基準で認

証を継続取得しています。

SSAE16 (SOC 1 ) 監査

SSAE 16 とは、サービスプロバイダーにとって新たな国際的監査基準である、

International Standards for Assurance Engagements (ISAE) 3402(国際

保証業務基準 3402)から採用され、ISAE3402 とよく適合されてできたものです。両者

(AICPA と ISAE)は、さらに国際的に成長し、地球規模で受け入れられている会計基準に追いつこうと

している個々の基準を統合しています。SSAE 16 と ISAE 3402は現在、サービス組織においてコントロ

ールを報告する際に使われている有力な基準に、実質的になることでしょう。それゆえに、顧客は、これらの

基準に準拠する各企業にビジネスを委ねることで、世界レベルでの競争力を有します。

Adaptive Insightsは、SSAE16審査を一年単位でデロイト・トウシュ・トーマツとともに実施しています。

当社の SOC 1,Type 2報告書は請求次第利用できます。Adaptive Insights は、SSAE16審査を

一年単位でデロイト・トウシュ・トーマツとともに実施しています。当社の SOC 1,Type 2報告書は請求次

第利用できます。当報告書は、監査法人の視点で、データセンター運営における管理法、システム、またサ

ービスの設計に対する的確さと完遂度を、12 ヶ月間以上の有効性も含めて、まとめられています。

EU・米国間のセーフハーバー協定

欧州委員会のデータ保護方針は、1998年 10月に施行され、EU の個人情報

保護方針に適合しない、非加盟国への個人情報の移動を禁止しました。米国企

業が Safe Harbor privacy framework に準拠することへの支援によって、EU加盟国およびスイスから

米国への個人情報の移動は統制されています。

当社のデータ保護方針が、欧州委員会の方針に準拠いていることを証明するために、 当社では、Harbor

privacy framework を毎年自己査定しています。さらに、TRUSTe による、適格性査定を実施してい

ます。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 7

TRUSTe認証

TRUSTe認証は、当社システムが、ウェブサイト、アプリ上での個人情報収集お

よび利用に関して、最善の措置が取られていることと、TRUSTe が定める包括的

な基準を満たしていることを証明しています。

以下のオンラインプロパティで個人情報保護実施内容が遵守されているかは、TRUSTe によって評価され

ています。

1. EU Safe Harbor Framework

2. Privacy Certification

3. Trusted Cloud

詳細は、こちらよりご確認ください。 http://privacy.truste.com/privacy-seal/Adaptive-

Insights/validation?rid=11c977e1-209f-4442-9230-4e1815113576

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 8

構造 当社のクラウドサービスは、SaaS モデルに最適化され、下図にあるマルチテナントアーキテクチャを利用して、

提供されています。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 9

データセンターセキュリティコントロール この項では、当社のクラウドサービスのパートナーであるセンチュリーテクノロジー・ソリューションズの、顧客デー

タ保護に関する技術、手順、管理法について説明します。詳細については、「詳細情報:セキュリティポリシ

ーと施策」の項を参照してください。

これらのセキュリティ管理法は SSAE16監査の一環として、デロイト・トウシュ・トーマツによってレビューされ、

承認されています。

データセンターへの外部アクセス

この項では、インターネットアクセスとデータトランスミッションの情報保護について記載します。

潜在的リスク:

Adaptive Suite システム(アプリケーションやデータベースサーバ)への許可無き直接的かつ物理

的なアクセス

インターネットを経由した Adaptive Suite システムへの許可無きリモートアクセス

管理目的:

内部管理基準は、WEB アプリケーション及び関連するアプリケーションデータへのアクセスに対して、正式に

承認された担当者のみに限定、および、インターネットを経由した不正アクセスからの保護を目的としていま

す。

管理技術:

予防策

本番環境への顧客のアクセスは、ブラウザ/ユーザインターフェースに制限されており、各ユーザのアク

セス権限は、ID とパスワードによって管理されます。パスワード管理は、認定管理者によって管理さ

れます。

公開ポートは、443(SSL)のみであり、IDとパスワードの認証を必要とします。データベースサーバ

は、公衆網に面していません。

データ伝送は、2048 ビットの公開鍵と HTTPS経由で 256 ビットの暗号化をした SSL によって暗

号化されます。SSL認証局は、GeoCerts です。SSL 3.0/TLS 1.0 が適用されます。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 10

パスワードはデータベースに保管されて、PBKDF2-HMAC-SHA1 を用いた暗号化保護されていま

す。

AdaptiveSuite は、特定の機能を提供するために Java アプレットを利用しています。これらのアプ

レットは、ベリサインのコードサイニング証明書を持っています。

本番環境のデータセンターのアクセスは、暗号化されたチャンネル(IPSEC)を通して確保されます。

本番環境のすべてのアップグレードや機能強化は、実施に先立ってテストされ、文書化されて、エン

ジニアリング担当責任者にリリースのために承認されます。

Adaptive Insights は、半年間ベースで周囲の脆弱性チェックを実行する第三者のセキュリティコ

ンサルティンググループと係合しています。

Adaptive Insightsは四半期ごとに独立した周辺部脆弱さ監査を実施しています。

シスコ侵入検知システムは、24 時間 365 日稼働し、継続的に潜在的な脅威を監視しています。

当社のデータセンター運用チームは、発見の後直ちに待機態勢を取ります。

データセンター担当チームと開発責任者は、定期的にログの審査、臨時のテストを行って、適宜手

順をアップデートします。

データセンターオペレーションズセキュリティコントロール

この項では、本番環境のアクセス保護について記載します。

潜在的リスク:

本番環境への不正アクセス

顧客の機密情報への不正アクセス

管理目標:

内部管理基準は、本番環境と関連したデータへのアクセスに対し、正規に承認された担当者のみに限定、

および、顧客情報の保護を目的としています。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 11

管理技術:

本番環境へのアクセスは、Adaptive Insights Domain から VPN アクセスに限られています。

SSL と IPSEC以外に公開ポートは存在しません。

本番環境へのアクセス権限は、セキュリティ・トレーニングを経た、当社社員に限定され、Linux環境

内に個別のユーザ ID によって管理されます。これらの社員は、開発責任者によって承認され、許可

証を有します。 また、認可にあたり、すべての社員は厳格な審査(身元調査)と、秘密保持契約

が必要となります。ローカルシステムアカウントによる本番環境へのログインはできないため、各社員は

個別のユーザ ID でログインする必要があり、その後システムアカウントに切り替えます。

ユーザパスワード管理は、すべての本番サーバ上のシステムによって実施されます。

検知/監視

データセンター担当チームと開発責任者は、定期的なログ調査、アドホックテストを実施し、本番環

境へのアクセス権限と作業手順をアップデートします。

冗長性保護プログラム:ハードウェア/バックアップ 当社のクラウドサービスパートナー、センチュリーリンク・テクノロジー・ソリューションズは、提供サービスの一貫と

して、完全な冗長性とバックアップサポートを提供します。この項では、下記のケースにおける

AdaptiveSuite の性能を記載します。

サービス中断となる重大な事象が、クラウドサービスプロバイダーに発生した場合。

顧客がアプリケーション内のバックアップからインストールを希望する場合。

当社の冗長化、および、バックアップ手順や管理法は、SSAE16監査の一環として、デロイト・トウシュ・トー

マツによってレビューされ、承認されています。

ハードウェア

冗長化は、機器障害、事故、または自然災害などによる影響で、重大な障害が発生した場合に不可欠で

す。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 12

我々が最高水準のサービスを提供するために、本番環境が稼働するすべての構成要素は、冗長保護プロ

グラムによってサポートされています。

冗長保護プログラムのハードウェア構成要素は、以下の通りです。

各本番環境のサーバは、ディスクドライブ、電源やネットワークアダプタなどの冗長コンポーネントを採

用しています。

すべての本番環境のデータベースサーバは、致命的な障害対策として、ウォームスタンバイサーバを

用意しています。

すべての本番環境のアプリケーションサーバは、致命的な障害対策として、ウォームスタンバイサーバ

を用意しています。

障害から復旧までの予定時間は、アプリケーションサーバに障害が発生した場合は 15分以内、データベー

スサーバに障害が発生した場合は 60分以内です。

顧客への情報公開の一環として、コーポレートサイトにて、毎月のクラウドサービスのアップタイムパフォーマン

スを公開しています。http://www.adaptiveinsights.com/learning-center/cloud-

technology-and-security/

バックアップ/冗長性

当社クラウドサービスのファシリティにおいて、Adaptive Suite の顧客情報は、複数台のデータベースサーバ

上や標準の Oracle データベース内に格納されています。当サービスの一部またはサブスクリプションのコスト

に含まれるものとして、お客様が安心してデータをご利用いただけるよう、完全なバックアップ保証をご用意し

ています。バックアップは冗長性保護プログラムの一環だけでなく、個々のお客様において Adaptive のアプ

リケーションを以前の状態からリストアしたい場合にも定期的に必要になります。

オンラインバックアップサーバは、ハードウェア障害時に容易にフェイルオーバーができるようオンサイトで

常時運用されています。

サーバ上のデータは、Oracle の標準ツールやプロトコル、バックアップ手順などにより保管し、リアルタ

イムにデータを保護します。

基本的に毎晩定期的にフルバックアップを行います。顧客データは全体のほか、企業独自の基準で

もバックアップを取得できます。これにより、データベースの完全復元だけでなく、指定したクライアント

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 13

のデータをリストアするといった選択的なデータ復元も可能になります。バックアップデータは全て暗号

化されます。バックアップはデジタルテープ方式です。

バックアップの保管とリカバリデータの取得については下記の通りです。

バックアップ

保存場所

バックアップ周期

リストア時間

リストア費用

リアルタイムフェ

イルオーバー

オンサイト、製品システム

/ケージ内

なし なし -

夜中実施 オンサイト、製品システム

/ケージ内

7日ごと リクエストから 120分以内 -

夜中実施 オンサイト、製品システム

/ケージ外部

28日ごと リクエストから 24時間以内 80,000円

夜中実施 オフサイト 90日ごと リクエストから 48時間以内 160,000円

注: 費用はお客様依頼によりバックアップ復元が行われた場合にのみ適用されます。システム障害や災害

復旧などの場合、費用は請求いたしません。

現在のデータセンターの立地は噴火や地震などの影響を受けにくい環境にあり、システムの完全回復は24

時間以内に行われます。

データセキュリティ

顧客データセキュア送信

当社は顧客のデータと通信を保護するために、最も強い暗号化の公開鍵長 2048 ビットを用いた 256 ビ

ットの暗号化で HTTPS通信を行います。

この規則の目的は、アプリケーションサーバとユーザのブラウザ間の通信を暗号化し、データのセキュリティを提

供することです。ブラウザ上の鍵アイコンは、転送中のデータは保護されていることを示しています。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 14

別の顧客または第三者による顧客データのアクセスの防止

当システムは、顧客が別の顧客のデータを閲覧できない構造で開発されています。アプリケーション内に保存

されたデータは、顧客の所有する機密情報です。当社では細心の注意と敬意を持って情報を扱い、以下の

技術や技法の採用により、最大限のセキュアな環境を提供します。

周辺部セキュリティ: 当社は、ファイアウォール技術を持つシスコと我々の社内テクニカル・スタッフで

連続的にモニターし、侵入監視機器でネットワーク周辺部を保護します。追加情報については、当

社のセキュリティコントロールファクトシートを参照してください。

アプリケーションセキュリティとデータベーステーブル: 当システムは、顧客が別の顧客のデータを閲

覧できないよう設計されています。一つのアプリケーションインスタンスと一つのデータベースインスタンス

を持つ、マルチテナントシステムですが、他の多くのオンデマンドのアプリケーションとは異なり、顧客デ

ータを混合しません。各顧客のアプリケーションはデータベース内の独自で独立したテーブルを利用し

ています。当該データは許可されたユーザ以外誰もアクセスできず、当社サポート・スタッフでさえ許

可がなければアクセスすることができません。

データベースセキュリティ: 当社の本番環境のデータベースは、オペレーティングシステムとデータベー

スの接続レベルを制限し、最小数のアクセスポイントしか許可しないことによって安全を保障します。

ユーザセキュリティ

ユーザ ID とパスワード

ユーザは認証情報を用いて Adaptive Suite にアクセスし、SSL によって暗号化されます。暗号化された

セッション ID クッキーは、一意の各ユーザを識別するために使用され、非アクティブの 60分後にセッションが

タイムアウトし、データにアクセスするためには新しいセッションを確立しなければなりません。実装時に各ユー

ザは、管理者から独自なユーザ ID とパスワードが割り当てられます。ログイン時に、各ユーザはパスワードを

変更することができます。パスワードは PBKDF2-HMAC-SHA1 によって暗号化され、データベースに保存

されます。この IDは、各ユーザと企業データをマップするのに使用されます。

Adaptive Suite のパスワード管理機能(推奨されるプロトコルのサポートを管理者が管理します):

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 15

最小長(文字数)

英字の最小数(文字数)

数字の最小数(文字数)

混合させる(チェックボックス)

最低 1文字は英数字以外が必要(チェックボックス)

2 つ以上の連続した同一の文字の使用の禁止

有効期限までの日数(日数)

パスワードの変更禁止期間(パスワード変更の間で必要とされる日)

期限切れ警告するまでの日数(日数)

許容される失敗試行回数(回数)

アカウントがロックされるまでのアクセス試行失敗回数(パスワード間違い)

最後に設定したパスワードの N回目の再利用防止(「N」には 1~5 の間の数字を設定でき

る。)

これに加えて顧客は、Adaptive Suite アプリケーションにアクセス可能な IP アドレスを設定することができ

ます。

顧客管理者は、自動タイムアウトする前に非アクティブなセッションの継続時間を指定することができます。

ユーザアクセス管理

当社は管理者にテンプレートとレポートの閲覧ができる権限を付与する機能を提供します。また全てのテンプ

レートは、ローレベルセキュリティを実現しています。(例えば、行を表示、非表示にすることができます)。シ

ートとレポートは、ユーザのセキュリティ権限内のデータのみを表示します。許可された管理者のみがシステム

内の情報および管理機能の範囲のすべてにアクセスすることができます。

当社は、顧客の管理者がロールに権限を割り当て、そのロールをユーザに割り当てるという RBAC のコンセプ

トを取り入れています。権限のリストは、ユーザの追加、権限の割り当て、予算の編集、計画の閲覧、テンプ

レートの閲覧、レポートにアクセスなどです。各ユーザには、1 つ以上のロールが割り当てられています。ロール

に与えられた機能は、ユーザが利用できます。ロールを与えられなかったユーザは、他の機能がシステムの中

に存在することを知りません。Adaptiveはまた、すべての相互作用を記録するための総合的な監査証跡を

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 16

提供します。監査証跡はさまざまな基準(例えば期間、規模、ユーザ、アカウント、など)に基づいて、検

索できます。

分類されたデータの取り扱い

当社はすべての顧客データを機密情報として扱います。そして、当社が管理するすべての規制はドキュメント

化されています(データの分離、移行中/停止時のデータのセキュリティなど)。

物理的セキュリティ

当社の最先端の本番環境は高度なセキュリティデータセンターに設置してあります。社内担当者がコンピュ

ータのバックアップ、リリース、アップグレードやデータベース管理などのシステムを管理します。センチュリーテクノ

ロジー・ソリューションズのデータセンターは物理的に安全で、改ざんや不正アクセスを回避します。以下のリス

トは当社の警備体制です。

サイト警備員が 24時間 365日守ります。カード・アクセス、ワイヤー・フェンシング、防弾仕様、

マントラップ、カメラ、警報などのような標準的な保安対策をしています。

訪問者/従業員のアクセス権限には多段階バイオメトリック認証を実施します。

Adaptive Suite独自のサーバ用施錠ケージがあります。

従業員は厳格に検査され、非開示/機密保持契約を締結します。暗号化されたバックアップ

データを除き、クラウドサービス内に放置される顧客データは皆無です。

当社のデータセンター担当者だけは、サイトへのアクセスを許可されています。許可書はエンジニアリング部門

とデータセンター部門の責任者によって管理され、執行委員会によって定期的にレビューされます。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 17

システムの有効性とパフォーマンス Adaptive Insights の製品は全て高い可用性とパフォーマンスを実現するよう設計されています。当社は

システムの可用性とパフォーマンスを継続して監視・測定しており、さらに、下記の当社WEB サイトにてサー

ビス提供やパフォーマンスに関する明快で詳細な情報を、リアルタイムで提供しています。

http://www.adaptiveinsights.com/products/cloud-technology-and-security/.

有効性

当社は、定期メンテナンス(例:アップグレード)を除き、クラウドサービスの稼働時間をパーセンテージで測

定します。

顧客との間における当社の SLA に基づき、当社の稼働時間が 99.5%を下回った場合は、顧客が購入し

た Adaptive Suite を無償で提供します。開示性と透明性が当社の中核です。この開示性を踏まえ、シ

ステムの月毎の可用性を下記ページで報告しています。

http://www.adaptiveinsights.com/products/cloud-technology-and-security/

パフォーマンス

当社は、一連のパフォーマンスベンチマークやテストを行い、当社クラウドサービスのレスポンス速度の計測に

利用し、サービスリリース毎に強化させています。各テストは通常 48時間、少なくとも 24時間は実行しま

す。実際の稼働システムの監視を通して、当社は必要に応じて積極的にアプリケーションサーバを追加し、

処理能力の向上を図っています。当社の実際のレスポンスタイム(全アプリケーションサーバの平均値)は

WEB ページで報告されています。

http://www.adaptiveinsights.com/products/cloud-technology-and-security/

当社はまた、もしレスポンスタイムに何らかの異常遅延が発生しているようであれば気軽に問い合わせるよ

う、顧客に勧めています。全ての事象に対しすぐに徹底的に調査し、その結果を顧客に提供します。パフォ

ーマンスの問題が検出された場合は、全ての潜在的な改善点を組み込むため、開発ロードマップを調整しま

す。システムのレスポンスタイムを継続的に監視することによって、新たな動当社はまた、もしレスポンスタイム

に何らかの異常遅延が発生しているようであれば気軽に問い合わせるよう、顧客に勧めています。全ての事

象に対しすぐに徹底的に調査し、その結果を顧客に提供します。パフォーマンスの問題が検出された場合

は、全ての潜在的な改善点を組み込むため、開発ロードマップを調整します。システムのレスポンスタイムを

継続的に監視することによって、新たな動向を確認したり、適切なインフラ投資をしたり、稼働中のシステム

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 18

のパフォーマンスを改善することが可能になります。向を確認したり、適切なインフラ投資をしたり、稼働中の

システムのパフォーマンスを改善することが可能になります。

大規模に実現可能なシステム

上記のように当社では、セキュリティ、パフォーマンス、およびサービス品質の最高水準を保証するために必要

なリソースを所有しています。また、変化する需要を満たすためにシステムと基盤を発達させる能力があ

ります。当社の顧客数が増加するにつれ、増加した使用率を管理するためにさらなるアプリケーションサーバ

を加えます。その一方で、最適のパフォーマンスと応答時間を維持します。

当社の製品はユーザが数千規模になり、スケーラブルであることが証明されました。当社は急速に顧客と利

用者を拡大し続けています。あらゆる顧客からの高品質なフィードバックが当社の技術革新を駆り立てま

す。すべての顧客に迅速かつ的確に対応し続けることができるように当社の世界クラスのサポートチームは、

顧客と共に成長しています。

セキュリティのニーズや質問をサポート 当社は要求に応じて SSAE16 の SOC 1,Type 2報告書を提供できます。当社にセキュリティアンケート

のフォーマットの作成依頼があれば、援助することができます。しかしアンケートの作成には 800 ドルのサービ

ス料金が発生するので注意してください。

付録:詳細なセキュリティポリシーと措置 当社のデータセンターのセキュリティポリシーと措置は、オペレーションやアクティビティの様々な分野で組織され

ています。

1. 人的セキュリティ

SSAE16 に基づいたポリシーと手順に則って、指名を受け文書に記載されたごく限られた担当者だけが顧

客データを含むシステムにアクセスすることができます。アクセス権付与の際には、全ての対象者が以下の基

準に従うものとします。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 19

1.1. データセンターの担当

データセンターの担当者は、当社のクラウドサービスと冗長環境、バックアップ、その他の実際のオペレーティン

グシステム環境に対して責任があります。アクセス権が付与される前に、顧客データを含むネットワークにアク

セス件を持つデータセンター部門の全てのメンバーは以下の基準に従います。

エンジニアリング部門とデータセンター部門の責任者による雇用の承認

信用調査/犯罪経歴調査

サインされた密保持契約だけでなく、当社とビジネスをする株式会社の証券の取引をしない協

顧客データの取り扱いに関する、企業のセキュリティポリシーや措置の研修

さらに、いわゆるルート権限と「オペレーティング・システムアダプティブユーザ ID」のパスワードは、暗号化され

た USB ドライブを通してデータセンターチームに管理されています。そして、執行経営陣は四半期ベースでク

ラウドサービスオペレーティングシステムへのアクセス人員と、関連する方針、措置を見直します。

1.2. プロフェッショナルサービス、テクニカルサポートおよび注文管理の担当

プロフェッショナルサービスとテクニカルサポート担当者は、実装サービスの提供、当社のヘルプデスクを通じて

サポートを必要とする顧客へのコンサルティング、およびサポートサービスを提供する責任者です。注文の管

理者は、当社のクラウドサービス提供の責任者となり、新規顧客のための初期設定や、既存顧客のための

環境コピーを行います。

アプリケーションの顧客データにアクセス権を持っているプロフェッショナルサービス、テクニカルサポートと注文管

理部門のメンバーが以下の基準に従います。

サインされた秘密保持契約だけでなく、当社とビジネスをする株式会社の証券の取引をしない協定。

プロフェッショナルサービスの発注時に、プロフェッショナルサービス担当者は、顧客のAdaptiveモデルに実装

者ログインパスワードを発行します。顧客はいつでもログインパスワードを削除するか、変更することができます。

プロジェクトがいったん完了すると、顧客にはすべてのログインパスワードを削除してもらいますが、正式なチェッ

クとして、当社の注文の管理者が、すべてのログインパスワードを削除します。

テクニカルサポート担当者は、顧客の要求に応じて迅速かつ効率的な技術サポートを提供するために、

AdaptiveモデルにアクセスするためのAdaptiveスーパーユーザのログインパスワードを所有しています。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 20

Adaptiveスーパーユーザのログインパスワードは、暗号化され、USBドライブに保存されます。USBドライブ

へのアクセスは、テクニカルサポート人員に制限されます。

ドライブの紛失や盗難によって、パスワードファイルに総当り攻撃がされた場合は、ドライブ上の情報が自動

的に消去されます。

すべての Adaptive ユーザのパスワードは 24 時間以内にテクニカルサポートや注文の管理者によって変更

されます。

四半期に 1回最高財務責任者は、Adaptive スーパーユーザパスワードが格納されている USB ドライブ

へのアクセス権を所有しているユーザのリストを承認します。

1.3. 第三者

コンサルタントなどの第三者が顧客データへアクセスするには当社のデータセンターの担当者が立ち会いま

す。第三者が顧客データに直接アクセスする必要があれば、標準的な従業員と同じ承認、トレーニングと身

元調査の全てを通過してもらいます。以下に限られていませんが、これらは含みます:

エンジニアリング部門とデータセンター部門の責任者による雇用の承認

信用調査/犯罪経歴調査

雇用時の秘密保持契約

顧客データの取り扱いのため、企業のセキュリティポリシーや措置のトレーニング

2. 物理的セキュリティ

この項は、当社の クラウドサービスのデータセンターの物理的なセキュリティを記載します。

2.1. データセンターにおける物理的セキュリティ

当社は、ホステッドアプリケーションが実行されている会社のサーバを動作させるために、センチュリーリンク・テ

クノロジーソリューションズのコロケーション施設を使用しています。

当社では、センチュリーリンク・テクノロジーソリューションズに物理的セキュリティコントロールに関連するSSAE-

16レポートを取得させ、当社のエンジニアリング部門の責任者の下、レビューされます。また、SSAE-16の例

外については研究及び、調査を実施しています。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 21

2.1.1. 物理的なセキュリティコントロールの説明

以下のリストはセンチュリーコントロールデータセンター施設によって採用された物理的なセキュリティ要素で

す。

アクセスリーダーとカード

バイオメトリクススキャナ

マントラップ

正門

ロックされたケージ

24時間365日のセキュリティオペレーション要員

24時間365日のビデオ監視

火災監視と消防策.

3. ネットワークセキュリティ

この項では、ネットワークの観点から当社のクラウドサービスの非物理的なセキュリティに関連したセキュリティ

ポリシーと措置を記載します。

3.1. 周辺部セキュリティ

当社はシステムやデータの保護を確実にするためにあらゆる努力を行い、事前予防と探知で情報漏洩を防

止します。例として、ファイアウォールによる周辺部保安、侵入検知、自社または第 3者による脆弱性スキャ

ンとログ・チェックを実施しています。この情報は、「インターネット接続とデータ伝送/ネットワークセキュリティ」の

SSAE 16 SOC 1,Type 2報告書に記述されています。

3.2. データセンターへの論理アクセス(仮想プライベートネットワーク)

データセンターへのアクセスは、サイトへのクライアントVPNによって承認されたデータセンターチームの担当者

に制限されます。データセンターの担当者は、独自なユーザIDでログインする必要があります。これは責任追

跡性とトレーサビリティが常に有効であることを保証します。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 22

3.3. ワイヤレスアクセス

顧客データが存在する本番環境のデータセンターで利用可能なワイヤレスアクセスは一切ありません。暗号

化されたローカルアクセスからのみネットワークアクセスが行えます。

3.4. ネットワーク脆弱性評価

3.4.1. ネットワーク脆弱性アセスメント

第三者によるネットワークの周辺部保安脆弱性監査は、原則半年ごとに公認のセキュリティコンサルティング

組織によって実施されます。指摘された脆弱性については改善計画を策定し、エグゼクティブ・マネジメントに

よって承認されます。

3.4.2. 当社の脆弱性の評価

データセンター担当者は原則四半期に1回ネットワーク周辺部保安脆弱性監査を行います。指摘された

脆弱性については改善計画を策定し、エグゼクティブ・マネジメントによって承認されます。

4. オペレーティングシステムセキュリティ

この項では、セキュリティポリシーとオペレーティングシステムの観点から、当社のクラウドサービスの非物理的な

セキュリティに関連する措置について説明します。

4.1. 遠隔アクセス

クラウドサービス本番環境への遠隔アクセスは、限られた SSH だけです。他のすべてのリモートアクセスメカニ

ズム(TELNET、VNCなど)は無効になっています。

4.2. 独自ユーザ ID及びパスワードのポリシー

データセンター担当者はログインするために独自なユーザ ID を使用します。ユーザ名、パスワードポリシーは

ローカル・ディレクトリ・サービス・サーバによって、行われます。ディレクトリ・サービスによって実施されるパスワー

ドポリシーは、以下の基準を厳守します:

最小文字数:8

パスワードの有効期限:90日

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 23

パスワードの複雑さ:非単純または難読性

4.3. 特権のあるアカウント

4.3.1. 特権アカウントのアクセス

当社のデータセンター担当者は、特定の管理の機能を実行するために、特権的な管理者アカウント

(OS-レベル・ユーザ ID)を利用します。

当社はこれらの管理者アカウントの誤用のリスクを軽減するための予防的管理を制定しています:

管理者アカウントへの直接リモートアクセスは無効になっています。

スタッフは最初に独自なユーザ ID でログインし、管理者の特権でユーザを一般的なアカウントに切り

替えてください。これにより、管理ログインを使用しているユーザの記録を保持します。

4.3.2. 特権のあるアカウントパスワードのセキュリティ

機密の管理者アカウントパスワードは、許可なく変更される恐れがない暗号化された、USB フラッシ

ュドライブに保存されます。セキュアな方法でマスタードライブからセカンダリドライブに複製されます。

4.3.3. 緩和のコントロール

さらに重要な権限を許諾されているアカウントへのアクセス権を持つといった重要な権限を持つ数少

ない人員に限られます。不正使用が発覚した場合この限られたグループ内で簡単に特定することが

できます。

5. データベースセキュリティ

この項では、セキュアな本番環境のデータベースへのアクセスとアーキテクチャに関連する当社の方針を説明

しています。

5.1. データベース管理者アクセス

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 24

データベース管理者がデータベースへアクセスする際はコマンドラインに制限されています。上記 OS セキュリ

ティで説明したように、DBAはまず、独自なユーザ ID とパスワードを使用し、データベースサーバにアクセス

する必要があります。そして、特権的なデータベース管理者のユーザ ID に切り替える必要があります。スタッ

フの非常に限られたメンバーだけがこれらのアカウントにアクセスできます。

5.2. アプリケーション/データベース構造

AdaptiveSuiteは、顧客データのセキュリティを提供します。

5.2.1. データベース・マルチ・テナント・スキーマ

当社の製品は顧客ごとにデータを独立した設計となっています。Oracleは、「ユーザ」の意向を反映

し、ユーザごとに独立した各自のテーブルを持っています。当社の顧客はオラクルユーザとしても独立

しており、それぞれのデータベーステーブルにそれぞれのデータを持っています。

5.2.2. アプリケーションセッションレベルの管理

AdaptiveSuite は、顧客別に一意のオラクルユーザを割り当て、当該データ以外アクセスできない

ように設計されています。

ユーザが当社のアプリケーションに認証情報を用いてログインする際、その承認プロセスにおいて、ユー

ザの所属企業を特定します。この企業情報は、そのユーザのセッション情報の一部として保存されま

すが、URL に表示されることがないため変更できません。つまり、データベースにアクセスするためには、

ログインユーザのセッションに含まれる当該情報の参照を必須条件としています。各ユーザがアクセス

できるのは所属する企業に割り当てられ、独立したオラクルデータベース内のデータのみとなっていま

す。

6. アプリケーションセキュリティ及びデータ統合

6.1. SSL (アプリケーションデータセキュリティ)

当社は周辺部ネットワークセキュリティのために業界標準ファイアウォール技術を採用しています。当社の

Apache ウェブサーバ・フロントエンドに接続可能な唯一の公開ポートは SSL (443)です。

6.2. プロダクトアクセス及びパスワードコントロール

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 25

全てのユーザはアプリケーションへのログイン時、ユーザ名とパスワードを要求され、そのアクセスは管理されて

います。これらのログイン情報は、セキュアな通信(SSL)を介してアプリケーションに送信されます。

ユーザパスワードは、アプリケーション・データベース内に暗号化された形式で保存されます。また当該情報の

暗号化にはPBKDF2-HMAC-SHA1を使用します。パスワードは、システム内には保存されません。

パスワード保護を目的に顧客の管理者はユーザパスワードの長さ、使用可能文字条件、有効期限、および

過去のパスワードの再利用など、各条件を設定することができます。

6.3. IP制限(選択式)

アクセス制限を目的に顧客の管理者はアプリケーションにアクセス可能なIPアドレスを設定することができま

す。

6.4. データ統合/有効化

HTML インジェクションやクロスサイトスクリプティングの予防策として、ユーザの入力データは HTML エンコー

ド処理されます。また SQL インジェクションの予防策としてタイプセーフ型のパラメータを使用します。ユーザは

コレクトタイプのデータの入力のみ許可されます。

6.5. ログ集合体

当社は、個々のアプリケーションサーバ上に含まれるローカルログの複製であるアプリケーションログ集計サーバ

の使用を採用しています。顧客はログを閲覧することはできないので注意してください。

上記OSセキュリティで説明したように、ログ集計サーバへアクセスできるのはデータセンターグループ内の限ら

れた人数に制限されていて、独自なユーザIDとパスワードでアクセスする必要があります。

7. アプリケーション・データベース開発とメンテナンス・本番環境変更管理

7.1. ソフトウェア開発ライフサイクル

業界のベスト・措置をソフトウェア開発ライフサイクルに採用しています。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 26

開発措置は HTML インジェクション、SQL インジェクション、クロスサイトスクリプティングを防げる環境にありま

す。

ユーザが入力したデータは、HTML インジェクションやクロスサイトスクリプティングを防ぐために HTML

エンコード処理されます。

SQL インジェクションを防ぐために、バインドパラメーターのタイプセーフのみ使用します。

ユーザはコレクトタイプのデータの入力のみ許可されます。

当社のスキーマは、データの一貫性を確実にするために大規模な参照整合性制約で設計され、デ

ータの変更を発見しログに記録します。

本番環境の外部から当社のサーバに送受信されたすべてのメッセージは、業界標準の SSL を使用

し、暗号化されます。

連続自動化テストを含む・厳格な品質保証テスト手順は、ソフトウェアの品質管理を確保するため

に整備されています。

当社は、出力確認のために、広範囲なテストを実施します。たとえば、新しいバージョンのソフトウェア

をリリースする前に、データエントリーシートにおけるレポートと顧客が入力及び計算値に相違がないこ

とを確認します。当社によって使用されるすべてのテストタイプのリストは、リクエストに応じて入手可

能です。

7.2. ソース管理

当社は、業界標準のソースコード管理システムを使用しています。すべての製品ソースコード、組み込まれた

第三者のライブラリはこのシステムに保存されます。システムへのアクセスは、開発者、QA、データセンターチ

ームの公認のユーザに制限されます。

7.3. 変更管理

本番環境の変更は、当社の変更管理手順によって管理されます。この手順には、変更要求の発信、試験

結果の補足、および変更要求を実施した結果を取得するステップが含まれています。これらの各手順は経

営陣によって確認、承認されます。すべての変更要求は、第三者の変更要求追跡システムで追跡されま

す。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 27

7.4. オープンソース

あらゆるソフトウェア会社のように、当社はクラウドアプリケーション内でいくつかのオープンソース技術を使用し

ます。当社のクラウドベースの配信はソフトウェア開発ライフサイクルの一環として、オープンソース技術の管理

に加えて以下の規制と管理を含んでいます。

セキュリティと監視: Adaptive Suite はウェブベースのクラウド型ソリューションです。そのため、当

社が使用するオープンソース技術は当社のセキュリティコミットメントの対象となり、侵入検知システ

ム及びモニタリングを行うファイアウォール配下に実装されます。

常時更新: オンプレミスのソフトウェアとは異なり、インストールして維持する必要があるソフトウェア

はありません。当社は年に 2~3回アプリケーションを更新し、継続的にマイナーアップデートを適用

します。標準のサービスとして行うので、顧客は新しいソフトウェアやパッチをインストールする必要は

ありません。当社は全ての顧客が同じバージョンである一つのコードベースを管理しているので、アプ

リケーションをアップデートするとき、顧客は最新のコードを実行しています。

監視と管理: 当社は最善の措置に準拠して、SSAE-16(SOC1 Type II)、EU-米国セーフ

ハーバーと TRUSTe のコンプライアンスを中心に監査を受けます。さらに、当社はサービスの要とし

て定期的な脆弱性監査を行います。我々は四半期周辺で脆弱性捜査(侵入テスト)を行いま

す。これらの脆弱性監査に応じて計画を作成します。時には Apache の更新など、オープンソース

プロジェクトへの更新を伴います。

当社がオープンソース技術を使用する主なエリアでは、当社のミドルウェア・スタックは、アパッチとクライアントが

アプリケーションを使用するための Java Runtime を使用しています。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 28

8. 顧客情報保管・バックアップ・保存

本項では、Adaptive アプリケーション顧客データの記憶、バックアップ、保持、破壊の当社の方針を記述し

ます。

特定のバックアップの料金情報を含む追加情報は、ファクトシートに記載されています:冗長保護プログラム

(ハードウェアとバックアップ)参照。

8.1. 保管と複製

当社は、バックアップの運用を内部データセンター・サーバで行っています。SSAE 16 SOC 1,Type 2報

告書には、バックアップとリカバリーと物理的なセキュリティの方針と措置を記述してあります。

当社の顧客データは、弊社のセキュアな本番環境のデータベースサーバに保存されます。顧客データは、一

次本番環境のデータベースの万一の障害の場合、いくつかの地理的に離れたミラーサーバに複製されます。

サービス継続性および災害復旧は下記を参照してください。データは5分以内にすべてのミラーサーバに模写

されます。 災害復旧システムにおけるトランザクション再生は4時間かかります。

データ複製は、すべてのデータ変更を含みます。

エンドユーザのデータ入力

AdaptiveSuiteAPIに従ってユーザインターフェースを介してデータのインポート

全ての顧客インスタンスの削除

8.2. バックアップ

8.2.1. バックアップの種類

当社は、2 種類の本番環境のデータのバックアップを取ります:フルバックアップとエクスポートバックア

ップ

フルバックアップは、データベース内のすべてのデータをバックアップし、完全に回復します。フルバックア

ップ中に生成されるトランザクションレベルのアーカイブログは任意の時点への復元を可能にします。そ

して、そのバックアップ後に生成されるフルバックアップにアーカイブログが追加されます。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 29

エクスポートバックアップは、一つの顧客のインスタンスのデータのバックアップです。個々のバックアップ

のエクスポートは、他のインスタンスに影響を与えずに復元することができます。

8.2.2. バックアップ頻度

フルバックアップは 1 週間に 1 回行われます。ユーザの活動がシステム上に残るようにアーカイブログ

が連続して使用されます。

特定の顧客インスタンスのエクスポートバックアップは、そのインスタンス内でアクティビティがあったものを

毎日取得します。

8.2.3. バックアップセキュリティ

テープ上の暗号化されたフルバックアップのオフサイトボールト以外、バックアップはセキュアな環境から

決して消えません。

8.3. 保存

フルバックアップと前週のアーカイブログは、データベースサーバとバックアップを行っているサーバの両方のセキュ

アな本番環境で保持されます。毎週、前週のアーカイブログの転送に加えて最新のフルバックアップを暗号

化し、テープに書き込みます。

毎週の暗号化されたテープは当社のスタッフによって巻き取られて、オフサイトに安全なクーリエを通して送ら

れます。90日以上経過したテープはオフサイトボールトから当社に戻され、破棄するか、一週間以内に再利

用されます。再利用する際は、テープ上の既存のデータをすべて削除します。このようにフルバックアップは、最

高およそ100日間テープ上に保存されます。

エクスポートバックアップは、セキュアな本番環境のミラーサーバで1ヶ月間保持されます。顧客インスタンスの

最後のエクスポートバックアップが削除されない限り、1ヵ月前の古いエクスポートバックアップは毎日削除され

ます。最新のエクスポートバックアップは常に保存されます。エクスポートバックアップはテープバックアップに書き

込まれることも、セキュアな環境から消えることもありません。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 30

8.4. デストラクション

顧客が利用を解約し、顧客のインスタンスが削除されると、以下のようにデータが削除されます。

本番環境のデータベース内のすべての顧客データはインスタンス削除後24時間以内に削除され、4

時間以内にミラーサーバでも削除されます。

削除された顧客インスタンスのデータを含むフルバックアップは、1ヵ月以内に削除されます。

削除された顧客インスタンスのデータを含む暗号化されたフルバックアップは、最高90日の間オフサイ

トボールトで保持されます。そして、当社に返却される1週間以内に上書きされるか、破壊されます。

エクスポートバックアップは、顧客インスタンスの削除の 1 ヵ月以内に削除されます。

9. サービス継続性および災害復旧

セキュアな本番環境で万一大規模障害が発生した場合にも、サービスの継続性を確保するため、当社は

セカンダリのディザスタリカバリサイトを構築しています。この災害回復環境は、プライマリ環境と地理的に異な

っています。本番環境のデータは、ディザスタリカバリ環境に複製されます。このレプリケートされたデータの保

持と破棄の詳細については「顧客データストレージ、バックアップ、保存、オフサイトボールト、暗号化、および

破壊」を参照してください。このデータの複製は5分以内に発生します。トランザクションの再生は4時間だけ

遅れます。したがって、我々の目標復旧ポイント(RPO)は5分です。目標復旧時間(RTO)は、1営

業日です。

10. データ秘匿性と取扱い

10.1. 顧客情報

顧客データはオフサイトの膨大なバックアップを除いて、いかなる形式でもデータセンターに残すことがありませ

ん。

10.2. 本番テスト環境

切り離された本番テスト環境は本番環境と同じ論理的セキュリティ規制で、データセンターの中に存在しま

す。本番環境のデータを含んでいるすべてのテストは、セキュアな本番テスト環境で実行されます。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 31

10.3. オフサイト構造とデータ破壊

第(8)節顧客データストレージ、バックアップ、保存、オフサイト上のボールト、暗号化、および破壊を参照し

てください。

11. インシデント反応と通知

11.1. 探知と通知

当社は本番環境内の問題を検出するために内部と外部の両方のモニタリングを活用しています。帯域内お

よび帯域外で問題が検出されるとデータセンター担当者にアラートを通知します。

11.2. エスカレーション

障害が解消されない、あるいはタイムリーに対処されていない場合、警告は継続し追加のデータセンター担

当者や経営管理者に通知します。

12. ウイルス検出/マルウェア検出/パッチマネジメント

12.1. ウイルス検出とマルウェア検出

当社は組織全体でウイルスやマルウェアの検出に積極的に取り組み、ウイルスやマルウェアの定義を毎日更

新しています。

12.2. パッチマネジメント

必要に応じて、セキュアな本番環境の変更がされますが、アプリケーションや重要なセキュリティ・パッチのアッ

プグレードに限りません。変更の要求は、実装する前に経営陣によって見直されます。上記の「アプリケーショ

ンとデータベース開発、保守、および本番環境変更管理」の変更管理のセクションを参照してください。経営

陣は何かを決定する上で権限を持っています。

Adaptive Suite Security

Copyright © 2014 Adaptive Insights. All rights reserved. | Confidential – Do not Duplicate or Distribute 32

12.3. Adaptive Insightsの顧客環境へのアクセス

顧客に要請されない限り、顧客システムとネットワークはアクセスされません。

13. 暗号化ポリシー

当社の本番環境では、次の暗号化管理を採用しています。

顧客間とのAdaptive Suiteアプリケーションに関連する全ての送受信はSSLで暗号化されます。

112ビットを上回暗号強度のSSLバージョン3.0/ TLS1.0を使用しています。

本番環境へのレイヤ3のネットワークアクセスは全てIPSec VPNに制限されます。

本番サーバへのすべてのアクセスとネットワーク装置は、SSH V.2で制限されます。他のいかなるプロ

トコルも、許可されません(テルネット、VNCなど)。

管理パスワードや秘密鍵はAES 256を使用し、USBフラッシュドライブ(Iron Keys)に保存され

ます。USBフラッシュドライブは、無効なパスワードが10回入力された場合は総当たり攻撃を妨ぐた

めに自動的に全データを消去するよう設定されています。これらのUSBフラッシュドライブは、オペレー

ションチームとカスタマーサポートのスタッフのメンバーによって使用されます。

オンサイトおよびオフサイトのテープ・ボールトを含むすべてのバックアップメディアは、暗号化されていま

す。

14. HIPAA コンプライアンス

当社のシステムは、HIPAA の要求事項に準拠しておりません。従って、当社では顧客による HIPAA の対

象となるデータの入力と保存を推奨しておりません。

15. PCI コンプライアンス

当社のシステムは、クレジットカード処理を行わないため、当該事業者向け PCI コンプライアンスに準拠して

おりません。