search
カスタマーサポート

データ管理

hashtag
データ暗号化

ユーザーはSalesforce組織に接続する際にAES-256または同等のキーを提供します。このキーは、SalesforceとFlosumツール間の送信中のデータおよびFlosumツール内の保存時のデータを暗号化するために使用されます。データは、送信中はHTTPSプロトコルを介したTLS 1.2のパイプでさらに暗号化され、保存時はツールのディスク上でAES-256または同等のキーで暗号化されます。保存時のデータはサーバー側暗号化(SSE)で保護され、S3管理キー(SSE-S3)、AWS Key Management Service(SSE-KMS)、および顧客提供キーを使用したサーバー側暗号化(SSE-C)を使用して暗号化します。Flosum Backup & ArchiveはTLS 1.2以降のみをサポートし、データ暗号化はパイプライン全体で提供されます。 FlosumはIdentity Access Management(IAM)でデータアクセスを管理します。AWS S3バケットおよびオブジェクトにアクセスできるのは承認されたユーザーとサービスに限定されるよう、IAMポリシーと権限を設定しており、ルートアカウントの資格情報の使用を避けています。また、Flosumはバケットポリシーを制限しています。バケットポリシーはバケットに対して許可または拒否される要求を定義しており、デフォルトで全ての要求を拒否し、必要な権限のみを許可するようにこれらを厳格に設定しています。

hashtag
保存時の暗号化(At-Rest Encryption)

Flosumが所有し、Flosum管理下のスペース、デバイス、ネットワーク内にあるコンピュータシステム上に保存された機密情報または個人識別情報(PII)は、以下のいずれかまたは複数のメカニズムによって保護されるべきです:

  • ディスク/ファイルシステムの暗号化(例:Microsoft EFS技術)

  • 仮想プライベートネットワーク(VPN)および厳格なアクセス制御を持つファイアウォールの使用により、機密情報またはPIIにアクセスする個人の身元を認証すること

  • 格納中の保護を要するデータをサニタイズ、編集、および/または非識別化して、不正なリスクや露出を防ぐこと(例:PIIのマスキングやぼかし)

  • 複雑なパスワードやデータへの物理的隔離/アクセス制御などの補完的または代替的なセキュリティ制御

  • 認証資格情報(パスワード/フレーズなど)に対する強力な暗号化は、すべての情報システムで送信および保存中に読み取れない状態にされるべきです

  • 暗号化を含むすべての制御と組み合わせてパスワード保護を使用すること

  • サーバーおよびストレージエリアネットワーク(SAN)環境のファイルシステム、ディスク、テープドライブは業界標準の暗号化技術を使用して暗号化されます

  • 暗号化されたコンピュータのハードドライブおよびその他の記憶媒体は、再配布または廃棄のために返却される際に不正な露出を防ぐためにサニタイズされるべきです

hashtag
携帯機器の暗号化(Portable Device Encryption)

一般的な運用として、機密情報またはPIIを携帯型のコンピューティングデバイスまたはFlosum所有のコンピューティングデバイスにコピーまたは保存してはなりません。ただし、これらのデバイスに機密情報またはPIIを保存する必要がある状況では、暗号化によりデバイスが紛失または盗難にあった場合の不正開示リスクが低減されます。携帯記憶装置を使用する場合、以下の手順を実施するものとします:

  • ハードドライブ(ラップトップ、タブレット、スマートフォンおよびPDAなど)は、FlosumのCISO事務局によって承認された製品および/または方法で暗号化されるものとします。管理者による別途の承認がない限り、これらのデバイスはプリブート認証を伴うフルディスク暗号化を有するものとします。

  • デバイスは機密情報またはPIIの長期保存には使用してはなりません。

  • すべてのデバイスには、承認されたアンチマルウェア/ウイルスソフトウェア、不必要なサービスとポートを無効にした個人用ファイアウォール、および適切に構成されたアプリケーションなど、適切な保護機構がインストールされている必要があります。

  • CD、DVD、USBフラッシュドライブなどの取り外し可能なメディアは、機密情報またはPIIの保存に使用してはなりません。

hashtag
送信中の暗号化(In-Transit Encryption)

送信中の暗号化とは、エンドポイント間のデータ伝送を指します。本ポリシーは、企業間、物理ネットワーク間、または無線で送信される機密情報またはPIIが侵害から保護されるように、適切な方法で保護・暗号化されることを目的としています。データ伝送およびシステムコンソールへのアクセスはチャネル暗号化を使用して実行されます。 最高情報セキュリティ責任者(CISO)またはその指名者は以下を確実にするものとします:

  • あらゆる種類の通信および伝送手段を通じた情報の転送を保護するために、正式な転送ポリシー、プロトコル、手順、および制御が実施されていること。

  • ユーザーはデータを送信する際にFlosumの許容使用ポリシーに従い、特にFlosum外のスタッフから受け取った機密情報またはPIIを送信または再送信する場合に細心の注意を払うこと。

  • あらゆる種類の通信および伝送手段を通じた情報の転送を保護するために、正式な転送ポリシー、プロトコル、手順、および制御が実施されていること。

  • ユーザーはデータを送信する際にFlosumの許容使用ポリシーに従い、特にFlosum外のスタッフから受け取った機密情報またはPIIを送信または再送信する場合に細心の注意を払うこと。

  • オープンな公衆ネットワーク上での送信中に機密情報またはPIIを保護するために、強力な暗号化およびセキュリティプロトコル(例:TLS、IPSEC、SSHなど)が使用されること。これらの制御には、信頼できる鍵と証明書のみを受け入れること、使用されるプロトコルが安全なバージョンまたは設定のみをサポートすること、および暗号強度が使用中の暗号方式に適切であることが含まれます。

  • 信頼できる鍵と証明書のみを受け入れ、使用されるプロトコルは安全なバージョンまたは設定のみをサポートし、暗号強度は使用中の暗号方式に適切であること。

  • 公衆ネットワークには、インターネット、802.11を含む無線技術、Bluetooth、および携帯通信技術などが含まれますが、これらに限定されません。

  • 電子メールで送信される機密情報またはPIIは暗号化されるものとします。ベンダー、顧客、またはFlosumと取引を行う組織との間で公衆ネットワーク(例:インターネット)を通じて送受信されるあらゆる機密情報またはPIIは、暗号化されるか、暗号化トンネル(VPN)や現行のトランスポートレイヤーセキュリティ(TLS)実装を含むポイントツーポイントトンネリングプロトコル(PPTP)を通じて送信されなければなりません。

  • Flosumのコンピューティングデバイスまたは内部ネットワークにアクセスするために使用される無線(Wi-Fi)通信は、現行の無線セキュリティ標準プロトコル(例:RADIUS、WPSのプライベート/パブリックキーまたはその他の業界標準メカニズム)を使用して暗号化されなければなりません。

  • 共有ネットワークからリモートでFlosumの機密情報またはPIIにアクセスする場合、BluetoothデバイスからFlosumのPDAや携帯電話への接続を含め、暗号化または暗号化/保護されたチャネルが必要です。

  • インターネット上での文書および機密情報またはPIIの安全な暗号化転送には、“SFTP”(SSH上のFTP)や安全なコピーコマンド(SCP)などの現行の安全なファイル転送プログラムを使用します。

  • ブラウザ/ウェブベースの管理ツールなどのコンソール以外のすべての管理アクセスは、最新のセキュリティアルゴリズムを使用したSSLベースのブラウザ技術を用いて暗号化されます。

hashtag
暗号鍵管理(Encryption Key Management)

効果的な企業の公開鍵および秘密鍵の管理は、暗号システムのセキュリティを確保する上で重要な要素です。鍵管理手順は、承認されたユーザーが運用上の要件を満たす制御を使用して暗号化されたすべての機密情報またはPIIにアクセスし復号できることを保証しなければなりません。Flosumの鍵管理システムは以下のセキュリティ上の注意事項および特性を有します:

  1. Flosumは最小特権および職務分離の概念をスタッフに適用するための手順的制御を使用します。これらの制御は、暗号鍵管理に関与する人物や、証明書機関(CA)および登録機関(RA)を含むセキュリティ関連の暗号鍵施設およびプロセスにアクセスする人物、ならびに契約スタッフに適用されます。

  2. 最高情報セキュリティ責任者は、鍵のパスワード、ファイル、および機密情報またはPIIのバックアップ保管を検証し、単一障害点を避け、暗号化された機密情報またはPIIへのアクセスを確保するものとします。

  3. 鍵管理は完全に自動化されるべきです。Flosumの最高情報セキュリティ責任者は鍵を露呈させたり鍵の生成に影響を与えたりする機会を持つべきではありません。

  4. 保管中および転送中の鍵は暗号化されなければなりません。

  5. 秘密鍵は機密として保持されなければなりません。

  6. アプリケーションおよびシステム資源のオーナーは、機密情報またはPIIへの不正アクセスまたは喪失のリスク評価と業務上の必要性の実証に基づいて例外を付与するデータ暗号化ポリシーを確立する責任を負うべきです。

  7. 復号鍵はユーザーアカウントに関連付けられません。復号鍵は短期間RAMにキャッシュされますが、アプリケーションには保存されません。

  8. 保管された機密情報またはPIIを保護するために使用される鍵の開示および悪用から保護するための文書および手順が存在します。

  9. 暗号鍵へのアクセスを必要最小限の管理者数に制限すること。

  10. 暗号鍵は可能な限り少ない場所に保管すること。

  11. 暗号鍵の鍵管理プロセスおよび手順は完全に文書化されていること。

  12. 鍵の完全性が弱まった、または鍵が妥協された疑いがある場合に、鍵の引退または交換(例:アーカイブ、破棄、および/または失効)を必要に応じて実施すること。

circle-info

引退または交換された暗号鍵を保持する必要がある場合、これらの鍵は安全にアーカイブされなければなりません。アーカイブされた暗号鍵は復号/検証目的のみに使用されるべきです。暗号鍵の管理者は、自身が鍵管理者の責任を理解し受け入れていることを正式に確認するものとします。

hashtag
監査制御および管理(Audit Controls and Management)

この運用ポリシーの一環として、Flosumの運用方法論の一部として要求時に文書化された手順および実践の証拠が整備されているべきです。

  • Flosumは暗号化されたデバイスの在庫を作成し、暗号化製品の実装を少なくとも年に一度検証するものとします。

  • 鍵管理手順に関する文書が存在すること。

  • 保存時の暗号化手順が存在し、実証可能であること。

  • 送信中の暗号化手順が存在し、実証可能であること。

  • 本ポリシーから除外されているリソースについては、例外ログが存在し、出力できること。

hashtag
データ ジオフェンシング(Data Geo-Fencing)

特定の地域に対するジオフェンシング。これにより、クライアントの要件に応じて特定のデータを特定の地域に保存できることを保証します。

hashtag
データ居住性(Data Residency)

Flosumはバックアップ&アーカイブのインスタンスを米国(オハイオ州)、日本、ドイツにホストしています。顧客は居住地要件がある場合にこれらのホストサイトを利用できます。必要に応じて顧客自身で国/地域内にセルフホスティングすることも可能です。各Salesforce組織は1つのFlosumテナントに接続されます。

前へ認証次へログ記録

最終更新

役に立ちましたか?