プライバシーとセキュリティ

クラウドセキュリティ基本方針

地面をスコップで掘るおじさん

はじめに

カーリルは、クラウドサービス及び関連サービスの提供・利用に必要なセキュリティ水準を維持向上させるため、情報セキュリティ基本方針に加え、以下のクラウドセキュリティ基本方針を策定し、ユーザーの信頼に応えるべく、継続的に各種取り組みを実施する。

本方針は、情報セキュリティ基本方針の下位方針として位置づけられ、クラウドサービス特有のセキュリティ要求事項を定めるものである。

特に、プライバシー保護を最優先とし、セキュリティの維持が必要な場合には、サービスの可用性よりもセキュリティを優先することを基本方針とする。

1. クラウドサービスの設計と実装について

ユーザーからの情報セキュリティ要求事項を勘案した基本方針をここに定め、クラウドサービスの設計及び実装に適用する。サービスごとに責任分担を文書化し、必要に応じてユーザーへ説明する。さらに、各サービスのセキュリティ対策、責任共有モデル、データ保護措置等について、ホワイトペーパーまたは同等の技術文書を整備し、ユーザーへ提供することにより透明性を確保する。

2. 責任範囲の明確化について

クラウドサービスプロバイダとカスタマの責任範囲を明確にし、責任共有モデルに基づいた適切なセキュリティ対策を実施する。

3. クラウドコンピューティング環境の隔離について

クラウドサービスは、仮想化されたマルチテナント環境を利用し、クラウドコンピューティング環境を論理的に隔離する。

4. ユーザー資産へのアクセスについて

サービス提供に必要な範囲(システム保守、障害対応、セキュリティ監視、ユーザーからの要請対応) 、および法令に基づく要請を除き、ユーザーの事前許可なくユーザー資産へアクセスしない。当社内部の管理者アクセスについては、アクセスログを取得し、定期的にレビューする。

5. 管理画面へのアクセス制御について

ユーザー向けの管理画面を提供する場合は、パスキーや多要素認証等の適切な認証方式を整備する。当社が利用するクラウドサービスの管理画面については、多要素認証を含む適切なアクセス制御を実施する。

6. ユーザーへの各種変更通知について

サービスの機能変更、APIの仕様変更、メンテナンス予定等のうち、ユーザーの利用に重要な影響を与える変更については、当社ウェブサイトへの掲載等により原則として事前に通知する。軽微な変更については、変更履歴として公開する。

7. クラウドサービスで扱うデータのアクセスと保護について

責任範囲に基づき、クラウドサービスで扱うデータの適切なアクセス管理と保護(暗号化、定期バックアップ、アクセスログ記録) を実施する。データの保管場所と利用する主要なサブプロセッサ(再委託先) を明示し、関連する法令を遵守する。新たなサブプロセッサを追加する場合は、ユーザーに事前または速やかに通知する。