Graffer Platform™ セキュリティホワイトペーパー

本書の目的

本書は、「Graffer Platform」の利用を検討されている方、⼜は既に利用いただいている方に向けて、当社のポリシーや、セキュリティへの取り組みをご確認いただくとともに、当社のクラウドサービスを安全に利用いただくための留意事項をご確認いただくことを目的としております。

Graffer Platform™のご紹介

Graffer Platform™はデジタルプラットフォームを活用した行政サービスの革新を通じ、市民と行政との間に存在しているコミュニケーション上の障壁を取り除き、市民の行政に対する主体的かつ合理的なアプローチを促すサービスです。

用語の定義

本書で利用される用語の定義は以下のとおりです。

用語説明
契約ユーザー当社サービスの契約者(自治体・官公庁・企業等)を指します。
管理ユーザー当社サービスの契約者(自治体・官公庁・企業等)のうち、管理権限を持っているユーザーを指します。
一般ユーザー当社サービスの契約者(自治体・官公庁・企業等)のうち、管理権限を持っていないユーザーを指します。
エンドユーザー当社サービスの契約者(自治体・官公庁・企業等)に対して、当サービスの申請機能等により、申請を行うユーザー(市民)のことを指します。

情報セキュリティの役割及び責任

当社は、提供するサービスの性質上、当社と契約ユーザー、エンドユーザーで情報セキュリティ責任を共有する「責任共有モデル」を採用しており、責任範囲を以下にて定義しております。当社は、当社の責任範囲内においてセキュリティ対策を実施するとともに、契約ユーザーやエンドユーザーが、適切なセキュリティ対策を実施する上で必要な情報や機能を提供します。

当社

  • ポータルサイト、各種管理画⾯
  • Web アプリケーション
  • 保存データ(契約ユーザー・エンドユーザコンテンツ、設定情報、各種ログデータ)
  • ミドルウェア/OS
  • ハードウェア

契約ユーザー(自治体・官公庁・企業等)

  • ユーザー管理のデータアカウント
  • パスワード管理
  • サービスの設定内容
  • インターネット環境
  • 当社サービスにアップロードするコンテンツの管理

エンドユーザー(市民)

  • アカウント・パスワード管理
  • 当社サービスにアップロードするコンテンツの管理

1 当社のセキュリティ方針

1.1 情報セキュリティのための方針群

当社は情報セキュリティに関する最上位方針として、「情報セキュリティ方針」(https://graffer.jp/legal/isms-policy)を定め、ホームページ上で公開し、お客様が安心して当社製品を利用できるよう取り組みを行っています。また、より詳細な個別方針は本書に掲載しています。これらのポリシーや方針群は、年に一回、見直しを行っています。

1.2 情報セキュリティ個別方針

当社は情報セキュリティに関する最上位方針である、「情報セキュリティ方針」に定めた事項に基づき情報セキュリティへの取り組みを実施しておりますが、「情報セキュリティ方針」に記載のない、個別のトピックに関しては以下のような方針で取り組みを行っています。

  • 当社は特定した情報資産に対して管理責任者を設け、管理責任者によってアクセス制御を実施します。
  • 当社は物理的及び環境的セキュリティに配慮し、適切な管理策を実施します。
  • 当社は事業、及びサービスの継続のために、定めたルールに基づいてバックアップを取得します。
  • 当社は安心して当社サービスを利用していただくために脆弱性の管理プロセスを定め、脆弱性の管理を行います。
  • 当社は契約ユーザーのコンテンツを保護するために、適切な暗号化策を行います。
  • 当社は供給者やサプライチェーンに関わるリスクを認識し、社内で定めたプロセスにそって管理を行います。

1.3 クラウドセキュリティ個別方針

当社はクラウドサービス固有のリスクを考慮し、以下の個別方針のもとクラウドサービスの提供及び利用を実施します。

  • 当社従業員によるクラウドサービス利用者の資産へのアクセスや、不正操作等のリスクを考慮し、強固な認証やログの取得などの管理策を実施します。
  • 仮想環境のセキュリティや、クラウドサービス利用者データの分離など、クラウドサービス固有のリスクを考慮して定期的にリスクアセスメントを実施します。また、その結果に基づき、必要かつ適切なセキュリティ対策を実施します。
  • サービスに対して、クラウドサービス利用者に影響のある変更が施される場合はクラウドサービス利用者への通知を行います。
  • クラウドサービス利用者アカウントのライフサイクル管理など、クラウドサービス利用者が安全に当社サービスを利用していただくための機能や情報を提供します。
  • 調査及びフォレンジックを支援するための、違反の通知及び情報共有の体制を構築します。

2 セキュリティに関する情報提供

2.1 サービスのセキュリティ仕様

2.1.1 クラウドサービスカスタマの資産の保管及び削除

当社は、契約ユーザーが当社サービスの利用を終了した場合、契約ユーザーの設定データ(職員の氏名・メールアドレス等)を解約から30日で削除します。上記以外のデータ(自治体ユーザーID・各種申請情報等)は、行政手続きにおける住民控えであるという性質上、解約後も当社によって保管しています。すべての保管データは当社の責任範囲の元、アクセス制御と暗号化が施されて安全に保管しております。

2.1.2 情報のバックアップ

当社は、契約ユーザー及びエンドユーザーに係るアカウントデータや当社サービスにアップロードされたコンテンツデータ等の当社サービスの利用に当たって作成し、又は作成されたデータのバックアップに関して、以下に則って実施しています。なお、バックアップデータは、サービスに障害が発生した際に当社によって復旧する際に利用し、契約ユーザーの希望するタイミングで復元することはできません。

項目ポリシー
頻度毎日
保管期間7日間
保管場所日本国内
保管方法暗号化して保管

2.1.3 暗号による管理策の利用方針

当社では、当社セキュリティ方針に則り、伝送データ、及びデータベースやファイルストレージに格納させるデータについては全て暗号化を行っています。なおサービス性質上、暗号化は全て当社の責任範囲の元実施しており、お客様側で実施いただきく暗号化施策はございません。

2.1.4 暗号鍵の管理

当社サービスにおける暗号化で利用される鍵は、当社が社内規定に則り、責任を持って保管しています。当社サービスにおいて、契約ユーザーが暗号鍵を管理することはございません。

2.1.5 クロックの同期

当社のサービスは、Amazon Time Sync Service を参照し、世界標準時 (UTC) の現在の正確な現在時刻を表示するように設定しています。

2.1.6 ユーティリティプログラムの使用

当社は、サービスの開発・運用において利用可能な、ユーティリティプログラムを特定し、従業員が容易に利用できないよう、適切な制限を行っています。また、当社製品の契約ユーザーにはユーティリティプログラムは提供しておらず、また当社サービスの利用においてユーティリティプログラムを利用することはできません。

2.1.7 ネットワーク

当社サービスは、IPv6に対応しておらず、IPv4の環境下でのみご利用ができます

2.2 当社が実施するセキュリティ対策

2.2.1 技術的脆弱性の管理

当社は、システムのアップデート時などに脆弱性試験を実施し、さらに年に1度、第三者による脆弱性診断やペネトレーションテストを実施しています。これらの対応により技術的脆弱性の管理を行っており、特定された脆弱性は社内手順に沿って対応してます。また、当社は深刻な脆弱性(ゼロデイ脆弱性やブラウザ等、当社責任範囲外の脆弱性など)を発見した場合は、必要に応じて契約ユーザーにメールや管理画面での通知を通じて注意喚起を行います。

2.2.2 変更管理

当社サービスに関する変更は、当社の変更管理プロセスに基づいて実施しています。また、契約ユーザーに悪影響を与える可能性のある変更が生じる場合に、契約ユーザーに対してメールや管理画面での通知等を通じて、事前にその情報を連絡しています。

2.2.3 容量・能力の管理

当社は、サービス提供のために利用している、サーバやネットワークなどの容量・能力を定期的に監視し、異常が発生した場合には手順に基づいて対応を行う仕組みを整備しています。

2.2.4 仮想コンピューティング環境における分離

当社は、契約ユーザーが、別の契約ユーザーデータを閲覧することができないよう、また当社の従業員が、契約ユーザーデータを必要以上に閲覧することができないよう、適切な分離を行っています。

2.2.5 仮想マシンの要塞化

当社が仮想マシンを利用する際には、不要なポートを閉じる等の仮想サーバの要塞化を行っています。また、マルウェアに対する対策として、クラウドネイティブセキュリティプラットフォーム (CNSP) を利用した脆弱性スキャン実施しています。

2.2.6 装置のセキュリティを保った処分又は再利用

当社はクラウドサービスを提供するための装置を保持しておらず、供給者が保持している装置を利用しています。当社は供給者管理プロセスを通じて、当社がクラウドサービスを提供するために利用していた装置は、物理的に破壊するなど、安全な手法で破棄されていることを確認しております。

2.2.7 情報セキュリティインシデントへの対応

当社サービスにおいて発生した情報セキュリティインシデントについての対応方針を以下に記載しています。

項目規定内容
当社がインシデント管理を行う領域本書「情報セキュリティの役割及び責任」に定めた範囲に準ずる
契約ユーザーがインシデント管理を行う領域
当社がインシデント情報を通知する条件利用者に悪影響を及ぼす場合
当社が開示する内容インシデント対応の状況や注意喚起など
当社からのインシデント通知方法管理画面の掲載やメールによる個別通知など
当社のインシデント通知目標時間(第一報)72時間
契約ユーザーや外部関係者から当社へのインシデント通知方法「お問い合わせ窓口」記載のお問い合わせ窓口から連絡

2.2.8 セキュリティに配慮した開発

当社は、契約ユーザーやエンドユーザーに安心して当社サービスを利用していただくために、当社の社内規則に則り、セキュリティに配慮した開発を行っています。

2.3 コンプライアンス

2.3.1 データの保管と適用法令

当社の地理的所在地は日本国で、現時点においてクラウドサービスカスタマデータを保存する可能性のある国も同様に日本国となります。したがって、準拠法は日本法、専属的管轄裁判所を東京地方裁判所としています。

2.3.2 知的財産権

当社は、知的財産権の侵害を起こさぬよう、適切に事業を運営するとともに、契約ユーザーデータに起因する知的財産権の侵害が外部から報告された場合、適切に対処し、契約ユーザーに改善の要求を行います。契約ユーザーからの問い合わせは、「お問い合わせ窓口」によって行うことができます。

2.3.3 セキュリティコンプライアンス監査

当社は、ISMS認証*及び、Pマークについて資格を有する第三者の監査機関による審査を受け、それぞれの認証を取得しています。これらのセキュリティコンプライアンス監査の結果は当社の経営陣に報告し、経営陣によって対応の計画や指示がなされます。

* ISMS認証取得組織詳細 / 株式会社グラファー | https://isms.jp/lst/ind/CR_IS_x0020_689557.html

2.3.4 第三者機関による技術的試験

当社は、年に 1 回以上、第三者機関にによる技術的試験(ペネトレーションテスト・脆弱性診断)を受けています。これらの技術的試験の結果は当社の経営陣に報告し、経営陣によって対応の計画や指示がなされます。

2.3.5 顧客主導の監査及びペネトレーションテスト

当社は、契約ユーザーまたは契約ユーザーとなる見込みのある者が当社に対してセキュリティコントロール審査やペネトレーションテストを実施希望する場合は、当社の社内規定に反しない範囲で受け入れを行っております。ご希望をされる方はお問い合わせ窓口からご連絡ください。*

*最終的な受け入れの判断は当社が行いますので、受け入れを保証するものではありません。当社の競合にあたる企業であるなどの理由により、お断りさせていただくケースもございますので、ご了承ください。

2.3.6 証拠の収集と提出

当社は、当社サービス上で発生するインシデントの解決に繋がる証拠を特定し、保管しています。これらの情報は、契約ユーザーにおいて不正アクセス等のインシデントが発生した際に、当社経営陣並びに法務部門の判断の元、契約ユーザーに提供することが可能です。ご希望される場合は、「お問い合わせ窓口」記載の連絡先にご連絡ください。

3 提供するセキュリティ機能

3.1 アカウント管理

3.1.1 アカウントの登録及び秘密認証情報の管理

当社は、サービスで用いる共通アカウント(Graffer アカウント)について、当社ホームページ上で契約ユーザーの意思により、自由にアカウント作成することができ、初回アカウント作成時に任意の秘密認証情報を登録することができます。任意に登録した秘密認証情報は、契約ユーザーの責任の下管理してください。

3.1.2 アカウント管理及びアクセス制限

当社は契約ユーザー組織の管理者ユーザーにより、一般ユーザーのアクセス制御(組織への登録・無効化)を実施できる機能を提供しています。

3.1.3 特権的アクセス権の管理

当社は、契約ユーザーの管理者アカウントのログイン認証の仕組みとして、通常のID・パスワードを用いた認証の他、‎「Google Authenticator」を利用した多要素認証機能も提供しており、契約ユーザーで機能利用有無を選択可能です。

3.2 情報の管理

3.2.1 情報のラベル付け機能

当社は、サービス上で、契約ユーザーが、データの名前付けやラベル付けを行うことにより、データを適切に管理できる機能として、申請データを管理するグループの設定機能を提供しています。

3.2.2 情報へのアクセス制限

サービスサイトへのアクセスについては、契約ユーザーの管理ユーザーによって、利用の制限を行うことができます。

3.3 監視及び監査

3.3.1 イベントログ取得

当社は、契約ユーザーに対し、契約ユーザーの管理ユーザーログの取得・閲覧の機能を提供しています。契約ユーザーはこれらのログをサービスの監視や、監査に利用することができます。

3.3.2 クラウドサービスの監視

当社は、管理画面から、サービスの利用状況を監視する機能を提供しています。

3.4 その他

3.4.1 実務管理者の運用のセキュリティ

当社サービスにおいて、契約ユーザーな操作する中で、手順や操作を誤ると、多数の仮想資産の破壊に至るような重要な操作を行うことはありません。

4 連携サービスとデータセキュリティ

4.1 アカウント

4.1.1 アカウントとSNSサービスの連携

Graffer アカウントの作成にあたり、エンドユーザーがGoogle、LINE等の他のSNSサービスとの連携を許可した場合、当該外部サービスプロバイダーに通知される利用者のID及びその他当該外部サービスのプライバシー設定により利用者が連携先に開示を認めた情報を当該外部サービスから収集しますが、当社が提供するサービスの情報をこれらのSNSサービスに対しては送信することはありません。

4.2 決済

4.2.1 決済に関する情報の収集及び保存

当社サービスにおいて決済を行う場合、当社はクレジットカード情報等決済手段に関する情報を収集しますが、決済管理は第三者機関である決済サービス事業者(SBペイメントサービス株式会社)に委託するものとし、クレジットカード番号・暗証番号等の情報を、当社サービス上に直接保存することはありません。

5 お問い合わせ窓口

本書に関するお問い合わせや、「情報セキュリティインシデントへの対応」に定める顧客からのインシデント報告は以下から受け付けております。

株式会社グラファー
〒151-0051 東京都渋谷区千駄ヶ谷1-2-3 INビル2F
Tel:03-3405-7007
E-mail:support@graffer.jp

2021年2月28日 初版

2021年4月12日 第ニ版

株式会社グラファー
代表取締役 石井 大地