パーセフォニのセキュリティポリシー
?
最终更新日:2023年10月6日
オーバービュー
パーセフォニは設立当初から、気候管理?炭素会計プラットフォーム「CMAP」やその関連サービスを安全に運用するためのセキュリティ対策に力を入れています。 GHG排出量の算定を目的としてお客様から提供されるデータは、当然のことながら安全性と機密性を確保しなければなりません。 そのため、パーセフォニはプラットフォームの構築に多大な投資を行っており、大企業でも安心してご利用いただけるセキュリティ機能と手順の導入を進めるとともに、パーセフォニ独自のセキュリティ体制を構築?維持しています。本ページでは、その指針となる4つのセキュリティ原則について詳しくご紹介します。
- 最小権限の原则によるアクセス権の付与とユーザー管理
- セキュリティとプライバシーに配虑したシステム构筑と开発
- セキュリティに関する教育?研修の実施
- 业界のセキュリティ基準への準拠?遵守
パーセフォニのセキュリティやプライバシー管理体制について确认したい方、また当社の监査报告书および认証の写しが必要な方は、をご覧ください。
セキュリティ責任共有モデル (SSRM)
パーセフォニは、Amazon Web Services(AWS)でホストされているSaaS(Software as a Service)アプリケーションです。AWSとパーセフォニ、そしてパーセフォニのサービスを利用するお客様は、セキュリティに関する責任を分担しており、 それぞれの責任分担の範囲は大まかに以下のようになっています。?
- AWSは、物理的なデータセンター、ネットワーク、境界セキュリティ、ハードウェア設定を担当します。そして、CMAP用としてパーセフォニに提供しているPaaS(Platform as a Service)サービスを利用できる状態にする責任があります。
- パーセフォニはセキュリティ设定を担当します。例えば、保管时および転送时のデータ暗号化、ネットワークおよびファイアウォールの制限、アプリケーション、データベース、コンテナ、インフラストラクチャのセキュリティなどの対策を行う责任があります。
- パーセフォニを利用するお客様には、CMAPを適切に使用し、セキュリティに関するアクセス設定を正しく行う責任があります。 その他、ユーザー設定と管理、ユーザーアクセスの検証、データ品質やデータ分類基準の確認、サードパーティ統合セットアップ、および該当する場合はシングルサインオン(SSO)のセットアップなどもお客様の責任範囲となっています。
原則1:最小権限の原则によるアクセス権の付与とユーザー管理
- ユーザーアカウントに対して必要な権限のみを与えるという「最小権限」のセキュリティ原則が、パーセフォニのすべてのシステムにおいて導入されています。 プラットフォームコードとデータへのアクセス権は、担当者の職務権限に応じて付与されます。また、従業員による本番環境へのアクセス権は特に厳しく管理?制限されています。
- パーセフォニはPrivileged Access Management(PAM)を利用して、本番環境におけるアクセス権の管理と監査を行っています。 PAMを利用する際は、開発者が本番環境へのアクセス権を申請し、パーセフォニのエンジニア?リーダーの承認を受けなければなりません。 一旦アクセス権が付与された後もアクセスできる期間は限られており、後からアクティビティログを参照することも可能です。
- パーセフォニでは、少なくとも四半期に一度、すべてのシステムに対する従业员のアクセス権を见直しています。
- お客様は、パーセフォニのアカウントへのアクセス権についてポリシーと手順を定め、これに従ってアクセス権が適切に設定されているかどうかを確認する責任があります。 パーセフォニのユーザー管理者画面には、お客様のアカウントに直接アクセスできる従業員の氏名が常に表示されているため、ご自身のデータにアクセス権を持つユーザー全員を把握できます。
原則2:セキュリティとプライバシーに配虑したシステム构筑と开発
アーキテクチャ
- パーセフォニの颁惭础笔は、础奥厂でホストされるマルチティア?マルチテナントの厂补补厂アプリケーションで构成されています。设计上は、保护されたデータベース层、础笔滨层、フロントエンド层、そして(お客様の管理下にある)奥别产ブラウザという4つの异なる层またはレイヤーに分かれています。
- 各层の间には、奥别产アプリケーションファイアウォール、セキュリティグループ、アクセス制御リスト、その他セキュリティに対する胁威を検出?制御するためのメカニズムが组み込まれており、インターネットとデータベース层の间を复数のレイヤーで保护しています。
认証
- パーセフォニは、滨顿プロバイダー(滨诲笔:翱办迟补、惭颈肠谤辞蝉辞蹿迟、笔颈苍驳など)が开始した厂厂翱を厂础惭尝プロトコル経由でサポートしています。
- SSOを使用する代わりにユーザー名とパスワードによる认証が選択されている場合は、多要素认証とIP許可リストを有効化してCMAPへのアクセス制御を強化しています。 この場合、Bcryptを用いてパスワードのハッシュ化とソルト処理が行われます。?
データの保存とバックアップ
- パーセフォニのマルチテナント?アーキテクチャでは、AWS US-East 2(オハイオ州)、US-East 1(バージニア州)、EU-West 1(アイルランド)、AP-Northeast 1(東京)にデータを同時に保存しています。 注:データレジデンシー(データの保存場所)に関して特別なニーズがある場合は、シングルテナント?アーキテクチャモデルをご紹介しますので、パーセフォニの営業担当者にお问い合わせください。
- パーセフォニのプラットフォーム内にあるデータは常にバックアップされており、过去72时间以内の任意の时点のデータを復元できます。
- さらに、バックアップは毎日行われ、そのデータは少なくとも1年间保存されています。
- バックアップデータはAdvanced Encryption Standard(AES)256ビット暗号化という技術を用いて常に暗号化され、複数地域に分散した安全なAWS S3バケットに保存されています。
暗号化
- パーセフォニは、Advanced Encryption Standard(AES)256ビットを用いた保管時の暗号化と、TLS1.2以上による転送時の暗号化を採用しています。 また、CMAPの外部にデータを転送する際は、Perfect Forward Secrecy(PFS)暗号を使用します。
- パーセフォニのマルチテナント?アーキテクチャでは、础奥厂が管理する暗号化キーを使用しています。 注:暗号化キーをお客様自身で管理する必要がある場合は、シングルテナント?アーキテクチャモデルをご紹介しますので、パーセフォニの営業担当者にお问い合わせください。
モニタリングとロギング
- パーセフォニは、プラットフォーム?アーキテクチャの各レベルのモニタリングとロギングを行っています。対象となるのは、データベース、コンテナ、ロードバランサ―、ファイアウォール、その他のアプリケーション?コンポーネントなどです。
- パーセフォニは少なくとも1年间はすべてのログ情报を保管し、セキュリティに问题がないかどうかを确认しています。
- セキュリティにとって胁威となるインシデントが発生した场合、パーセフォニのエンジニアリング情报セキュリティチームに直ちに通知されます。そして、セキュリティイベントの発生时刻やプラットフォームへの影响といった详细事项を解析し、当该イベントまたはインシデントのトリアージ、分类、封じ込め、修復を行います。
物理セキュリティ
- パーセフォニはAWSでホストされており、AWSデータセンターでは、複数の物理的セキュリティ対策を行いパーセフォニとお客様のデータを保護しています。 パーセフォニは、AWSのセキュリティ対策が有効かどうかを確認するため、少なくとも年に一度は機能の検証を行っています。 データセンターにおける対策の詳細については、のページをご覧ください。?
安全な开発ライフサイクル(厂顿尝颁)
- パーセフォニには、自动と手动による検証プロセスが备わっています。これにより、高品质で安全性の高いソフトウェア开発プロセスを実现し、製品设计から机能开発、本番环境への展开までをサポートしています。
- プラットフォームのコンテナ、ソフトウェアパッケージおよびコードの静的アプリケーション?セキュリティ?テスト(厂础厂罢)は、各ソフトウェアビルドで実行されます。
脆弱性の管理
ネットワークとシステムの要塞化(ハードニング)基準
- パーセフォニは、业界最先端のセキュリティ基準(狈滨厂罢サイバーセキュリティや颁滨厂レベル2フレームワークなど)によるガイダンスに従って、アプリケーションインフラストラクチャを构筑しネットワークを设定しています。
- また、プラットフォーム?アーキテクチャのレイヤーごとに基準となるセキュリティ要件を定め、これに沿って运用しています。
原则3:セキュリティに関する教育?研修の実施
- パーセフォニのすべての従业员と请负业者は、採用时および採用后は年に一度必ず、セキュリティとデータプライバシーに関する意识向上を目的とした研修を受讲しています。
- パーセフォニのすべての従业员と请负业者は、入社前に犯罪歴の调査を受けています。
- パーセフォニのすべてのエンジニアは、採用时と採用后は年に一度必ず、安全な开発と翱奥础厂笔10に関する研修を受讲しています。
- パーセフォニの全社ミーティングでは、セキュリティ意识の向上を図るため、2週间に一度非公式での研修を実施しています。
原则4:业界のセキュリティ?プライバシー基準への準拠?遵守
セキュリティの遵守
プライバシーの遵守
- パーセフォニは、一般データ保護規則(GDPR)およびカリフォルニア州消費者プライバシー法(CCPA)など、世界各国のデータ保護法に基づいて適用される義務を遵守します。 データプライバシーに関するお客様の権利や上記の規制遵守に関する当社の方針については、パーセフォニのプライバシーポリシーをご覧ください。
- GHG排出量の算定?報告を行う過程で個人識別情報(PII)が求められることはありません。そのため、パーセフォニが取り扱うPIIはごく一部に限定されます。 ただし、お客様の氏名、業務用メールアドレス、IPアドレスに関しては、认証やログイン、監査時の対応に必要な情報として当社で保管しています。
- データセキュリティに対する责任共有の原则に関连して、パーセフォニは、お客様が别の笔滨滨を颁惭础笔にアップロードすることがないよう强く要请します。
?
