One Identity
One Identityは、個人データの処理および転送における情報セキュリティを重視しています。この情報セキュリティ概要は、One Identityまたはその関連会社が処理する、および/またはOne Identityのグループ会社間で転送される個人データを保護するためにOne Identityの企業管理に適用されます。
セキュリティ対策
One Identityが実装している企業情報のセキュリティ対策および基準は、One Identityの企業環境を保護し、情報セキュリティ、システムおよび資産の管理、開発、ならびにガバナンス全体のビジネス目標を達成するために設計されています。
これらの対策および基準は、One Identityの経営陣によって承認され、定期的に見直され、必要に応じて更新されます。
One Identityは、物理的および論理的なアクセス制限、データ分類、アクセス権、資格認定プログラム、記録保持、データプライバシー、情報セキュリティ、ならびに個人データおよび機密個人データのライフサイクルを通じた取り扱いに対するポリシーおよび手順を含む、適切なデータプライバシーおよび情報セキュリティプログラムを保持するものとします。主要なポリシーは、少なくとも年1回見直されます。
組織のセキュリティ
お客様の個人データの処理に関与するOne Identityの全従業員が、これらの対策および基準を順守することに責任があります。One Identityの情報セキュリティ(「IS」)部門は、以下の活動に責任を負います。
- セキュリティ戦略 – IS部門は、独自のセキュリティ関連のポリシーおよび基準ならびにすべての関連規則を確実に順守し、ユーザの意識を高めて教育を提供するために活動します。また、IS部門は、リスク評価およびリスク管理活動を実施し、契約のセキュリティ要件を管理します。
- セキュリティエンジニアリング – IS部門は、セキュリティソリューションのテスト、設計、および実装を管理して、One Identityのオンラインおよび情報技術環境全体にセキュリティ制御を採用できるようにします。
- セキュリティ運用 – IS部門は、実装されたセキュリティソリューションのサポートを管理し、One Identityのオンラインおよび情報技術環境ならびに資産を監視およびスキャンし、インシデント対応を管理します。
- フォレンジック調査 – IS部門は、法務およびコンプライアンスならびに人事と連携して、検出およびフォレンジックを含む調査を実施します。
- セキュリティのコンサルティングおよびテスト – IS部門は、ソフトウェア開発者と連携してセキュリティのベストプラクティスを開発し、ソフトウェアプロジェクトのアプリケーション開発およびアーキテクチャについてコンサルティングを行い、保証テストを実施します。
資産の分類および制御
One Identityは、重要な情報ならびに物理的、ソフトウェア的、および論理的資産の追跡および管理を実践します。One Identityが追跡する可能性がある資産の例には、次のものがあります。
- 識別されるデータベース、ディザスタリカバリ計画、ビジネス継続性計画、データ分類、アーカイブ情報などの情報資産。
- 識別されるアプリケーション、システムソフトウェアなどのソフトウェア資産。
- 識別されるサーバ、デスクトップ/ノートパソコン、バックアップ/アーカイブテープ、プリンタ、通信機器などの物理的資産。
資産は、機密性要件を決定するために、ビジネスの重要度に基づいて分類されます。個人データを処理するための業界ガイダンスで、技術的、組織的、および物理的な保護手段の枠組みを提供します。これらの保護手段には、アクセス管理、暗号化、ログ記録および監視、データ破壊などの制御を含めることができます。
従業員の審査、研修、およびセキュリティ
- 審査/身元調査: 合理的に実行可能および適切な場合、当該従業員がOne Identityのネットワーク、システム、または施設にアクセスできるように、雇用/採用プロセスの一環として、One Identityは従業員または従業員候補者に対して従業員審査および身元調査を行います(国ごとに現地の法令に基づいて異なります)。
- 身分証明書: One Identityはすべての従業員に対して、身分証明書および、雇用国に基づいて、または従業員がサービスを提供しているOne Identityの他の事業体またはお客様から要求される場合に必要となる可能性がある追加の文書の提出を求めます。
- 研修: One Identityの毎年のコンプライアンス研修プログラムには、従業員がオンラインデータ保護および情報セキュリティの意識を高めるための要件が含まれます。
- 機密保持: One Identityは、従業員が標準的な契約に従って取り扱うデータの機密性を保護および維持する法的義務を負っていることを保証します。
物理的なアクセス制御および環境セキュリティ
- 物理的なセキュリティプログラム: One Identityは、その物理的なセキュリティプログラムにおいて多くの技術的および運用上のアプローチを使用して、合理的に実行可能な範囲でセキュリティリスクを軽減します。One Identityのセキュリティチームは各拠点と緊密に連携して、許可されていない人物が個人データを処理するシステムにアクセスするのを防ぎ、物理的なインフラストラクチャの変更、ビジネス、および既知の脅威を継続的に監視するための適切な措置が講じられているかどうかを判断します。また、同業他社が使用しているベストプラクティスの措置を監視し、ビジネス慣行の独自性とOne Identityの期待の両方を満たすアプローチを慎重に選択します。One Identityは、アーキテクチャ、運用、およびシステムを含む制御の要素を検討して、セキュリティに対するアプローチのバランスを取ります。
- 物理的なアクセス制御: One
Identityの施設/敷地での物理的なアクセス制御/セキュリティ措置は、次の要件を満たすように設計されています。
- One Identityの建物、施設、その他物理的な敷地への立ち入りが制御され、これはビジネスの必要性、資産の機密性、個人の役割およびOne Identityとの関係に基づきます。One Identityと関連がある人員のみが、One Identityの施設および物理的資源にアクセスできます。アクセスは、組織内の人員の役割および責任と一致する方法でのみ提供されます。
- 関連するOne Identity施設は、アクセス制御システムによって保護されます。当該施設への立ち入りは、有効にされたカードでのみ許可されます。
- カード管理が行われている施設および/またはリソースへのアクセスを必要とする人員には、適切な一意の物理的アクセス資格情報(例えば、バッジまたはキーカードを個人に割り当てる)がIS部門によって発行されます。一意の物理的アクセス資格情報を発行された個人は、他の個人が、自分の資格情報を使用してOne Identityの施設または資源にアクセスすることを許可または可能にしないように指示されます(例: 「共連れ」不可)。一時的な(最大14日間)資格情報は、(i)特定の施設への立ち入り、および(ii)有効なビジネスニーズのために必要な場合に、有効なIDを持たない個人に発行することができます。一意の資格情報は譲渡できず、個人が要求に応じて資格情報を提示できない場合、One Identityの施設への入場を拒否または敷地外に連れ出すことができます。スタッフが配置されている入り口で、個人は、入場時にセキュリティ担当者に有効な写真付き身分証明書または有効な資格情報を提示することが求められます。資格情報またはその他の身分証明書を紛失または置き忘れた個人は、スタッフが配置されている入り口から入場し、一時的なバッジをセキュリティ担当者に発行してもらう必要があります。
- One Identityの施設への立ち入りが必要な訪問者は、スタッフが配置されている、および/または施設正面玄関から入場しなければなりません。訪問者は、到着時刻、建物退出時刻、および訪問相手の名前を記帳しなければなりません。訪問者は、政府が発行した現在の身分証明書を提示し、本人であることを証明しなければなりません。会社の専有情報へのアクセスまたは開示を防ぐため、訪問者は、制限または管理区域に付き添いなしに立ち入ることは許可されません。
- 一部のOne Identity施設は、適切かつ法的に許可されている場合、CCTV監視、警備員、およびその他の物理的措置を使用します。
- ほとんどの拠点では、機密情報/個人データの安全な破棄を可能にする鍵付きのシュレッダーボックスが用意されています。
- ソフトウェア開発およびインフラストラクチャ導入プロジェクトの場合、IS部門は、リスク評価プロセスとデータ分類プログラムを使用して、当該活動から生じるリスクを管理します。
セキュリティインシデントおよび対応計画
- セキュリティインシデント対応計画: One Identityは、個人データの制御不能、盗難、不正開示、不正アクセス、または不正取得が発生した場合にOne Identityが講じる措置を扱うセキュリティインシデント対応ポリシーならびに関連する計画および手順を保持します。これらの措置には、インシデント分析、封じ込め、対応、修復、レポート作成、および通常運用復帰を含めることができます。
- 応答制御: 資産の悪意のある使用および悪意のあるソフトウェアから保護し、検知をサポートし、適切なアクションのために潜在的なインシデントをOne IdentityのIS部門またはサービスデスクに報告するための制御が実施されます。制御には以下を含めることができますが、これらに限定されません: 情報セキュリティポリシーおよび基準、制限付きアクセス、指定された開発およびテスト環境、サーバ、デスクトップ、およびノートパソコンでのウイルス検知、Eメール添付ファイルのウイルススキャン、システム・コンプライアンス・スキャン、侵入防御監視および対応、ファイアウォールルール、重要イベントのログ記録およびアラート、データ型に基づく情報処理手順、eコマースアプリケーションおよびネットワークセキュリティ、ならびにシステムおよびアプリケーションの脆弱性スキャン。リスクに応じて、追加制御を実施することができます。
データ送信の制御および暗号化
One Identityは、個人データの電子送信または転送を制御できる範囲で、送信または転送中に適切な権限なく当該送信または転送の読み取り、コピー、変更、または削除ができないように、あらゆる合理的な措置を講じるものとします。特に、One Identityは以下を行うものとします。
- 個人データの送信に業界標準の暗号化手法を実装します。One Identityで使用される業界標準の暗号化方式には、Secure Sockets Layer(SSL)、Transport Layer Security(TLS)、SSHなどのセキュアなシェルプログラム、および/またはInternet Protocol Security(IPSec)が含まれます。
- 機密性の高い個人データを処理する、および/または当該情報を含むネットワーク上のシステム(One Identityのコアネットワークを含む)とのリアルタイムの統合を提供できるインターネット向けアプリケーションの場合、Web Application Firewall(WAF)を使用して入力チェックと攻撃緩和の追加レイヤを提供できます。WAFは、インジェクション攻撃、バッファオーバーフロー、cookie操作、その他の一般的な攻撃方法など、潜在的な脆弱性を軽減するように構成されます。
システムアクセス制御
One Identityのシステムへのアクセスは、許可されたユーザに制限されます。正式な手順および制御により、許可された個人にアクセスを付与する方法と、その個人が職務を遂行するために必要かつ適切なアクセスのレベルが規定されます。
データアクセス制御
One Identityは、個人データへのアクセスおよび使用に関して、以下に示す制御を適用します。
- 従業員は、One Identityの関連するビジネス目的を達成するために必要な最小限の個人データのみを使用するように指示されます。
- 従業員は、業務を遂行するために必要な場合を除き、個人データの読み取り、コピー、変更、または削除ができないように指示されます。
- 第三者の個人データ使用は、第三者の個人データ使用に制限を課す第三者お���びOne Identityの間の契約条件によって規定され、当該使用を第三者がサービスを提供するために必要なものに制限します。
可用性制御
One Identityは、以下の制御に従うことにより、個人データを偶発的な破壊または損失から保護します。
- 個人データは、お客様との契約、またはそれがない場合はOne Identityの記録管理ポリシーおよび対策、ならびに法的な保持要件に従って保持されます。
- ハードコピーの個人データは、安全なゴミ箱またはクロスカットシュレッダーに入れて情報が判読できなくなるように廃棄されます。
- 電子的な個人データは、適切に廃棄するためにOne IdentityのIT資産管理チームに渡されます。
- 以下を含む(ただしこれらに限定されない)適切な技術的措置が講じられていること: ウイルス対策ソフトウェアがすべてのシステムにインストールされている、ネットワーク保護がファイアウォールを介して提供されている、ネットワークのセグメント化、コンテンツフィルター/プロキシのユーザ、無停電電源装置、定期的なバックアップ生成、必要に応じたハードディスクミラーリング、火災安全システム、必要に応じた防水システム、緊急時計画、エアコン付きのサーバルーム。
データ入力制御
One Identityは、必要に応じて、個人データがデータ処理システムに入力されているかどうか、誰によって入力されたか、または当該データが変更もしくは削除されたかどうかを確認するように設計された措置を備えています。関連するアプリケーションへのアクセスが記録されます。
システム開発およびメンテナンス
公表された第三者の脆弱性は、One Identityの環境に適用可能かどうか検討されます。One Identityのビジネスおよびお客様へのリスクに応じて、修復用に時間枠が事前に定められていますさらに、リスクに応じて、新しい主要なアプリケーションおよびインフラストラクチャで脆弱性のスキャンおよび評価が実施されます。リスクに応じて、コーディングの脆弱性を事前に検知するために、本番稼働環境より前に開発環境でコードレビューおよびスキャナーが使用されます。これらのプロセスにより、脆弱性を事前に特定できるだけでなく、コンプライアンスも実現されます。
コンプライアンス
情報セキュリティ、法務、プライバシー、およびコンプライアンス部門は、One Identityに適用される可能性がある地域の法令を特定するために取り組みます。これらの要件は、One Identityとそのお客様の知的財産、ソフトウェアライセンス、従業員およびお客様の個人情報の保護、データ保護およびデータ処理手順、国境を越えるデータ送信、財務および運用手順、テクノロジーに関する輸出規制、およびフォレンジック要件などの分野を対象としています。
情報セキュリティプログラム、経営陣のプライバシー評議会、内部および外部の監査/評価、内部および外部の法律顧問への相談、内部統制評価、内部侵入テストおよび脆弱性評価、契約管理、セキュリティ意識、セキュリティコンサルティング、ポリシー例外レビュー、リスク管理などのメカニズムが結合して、これらの要件へのコンプライアンスを推進します。
復処理者
現在の復処理者に関する情報は、https://support.oneidentity.com/subprocessorで入手できます。お客様は、新しい復処理者の通知をサブスクライブできます。
製品固有の技術的および組織的措置に関する情報は、製品関連のセキュリティガイドに記載されています。