資料請求 >
お問合せ >
Homeセキュリティホワイトペーパー
MatlantisのISO/IEC 27017に基づくセキュリティ要求事項への取り組み

セキュリティホワイトペーパー
MatlantisのISO/IEC 27017に基づくセキュリティ要求事項への取り組み

はじめに

セキュリティホワイトペーパーの目的

このセキュリティホワイトペーパー(以下、「本書」)は、クラウドセキュリティの国際規格である「ISO/IEC 27017:2015」の中で、お客様に向けた情報開示が求められている要求事項に対して、当社が提供するMatlantis(以下、「本サービス」)のクラウドセキュリティに関する取り組みをご理解いただくことを目的としています。

本書にて、本サービスのクラウドセキュリティへの取り組みをご理解いただき、本サービスをご活用いただくことで、より一層、お客様のお役に立ちたいと考えております。

なお、本サービスは、常に進化をし続けていますので、最新の情報につきましては、当社営業までお問い合わせいただくか、当社Webサイトをご確認ください。

サービスの概要

本サービスは、従来の原子シミュレータに深層学習モデルを組み込んだNeural Network Potential(NNP)に基づいて、原子スケールで材料の挙動を再現して大規模な材料探索を行うことのできる汎用原子レベルシミュレータです。

ISMSクラウドセキュリティ認証について

ISO/IEC 27017:2015とは

国際標準化機構(ISO)と国際電気標準会議(IEC)が定める情報セキュリティマネジメントの国際規格にISO/IEC 27000シリーズがあります。

ISO/IEC 27017は、このシリーズのうちの1つで、2015年12月に発行されたクラウドサービスにおける情報セキュリティマネジメントのガイドライン規格になります。

情報セキュリティ全般に関するマネジメントシステム規格であるISO/IEC 27001の取り組みをISO/IEC 27017で強化することにより、クラウドサービスにも対応した情報セキュリティ管理体制を構築することができます。

クラウドセキュリティへの対応

項番の記載に関する説明

以下の項番(例:1.1 情報セキュリティのための方針群(ISO2017:5.1.1))におけるカッコ内の表記(ISO2017:5.1.1)は、ISO27017が規定する ”情報セキュリティ管理策の実践の規範” 箇条5~18(17箇条を除く)の項番を表しています。

1. 情報セキュリティのための方針群

1.1. 情報セキュリティのための方針群(ISO27017:5.1.1)

当社は、お客様にクラウドサービスを提供するクラウドサービスプロバイダとして、以下のとおりに情報セキュリティに関する方針を定め、当社Webサイトにて公開しています。

2. 情報セキュリティのための組織

2.1. 情報セキュリティの役割及び責任(ISO27017:6.1.1)

本サービスの利用においては、お客様と当社との間での役割及び責任範囲を「Matlantis利用規約」、「Matlantisサービス仕様書」に明記しており、同意をいただく事項となっております。

なお、「Matlantis利用規約」、「Matlantisサービス仕様書」については、以下のとおりに当社Webサイトにて公開しています。

2.2. 関係当局との連絡(ISO27017:6.1.3)

当社の所在地は、当社Webサイト(https://matlantis.com/ja/)にてご確認いただけます。

お客様が保有する情報資産の保管場所については、以下のとおりとなります。

  • 日本国内のお客様:日本国内のデータセンター
  • 当社が本サービスの利用を許諾した日本以外の国・地域のお客様:米国、欧州(ドイツ)または日本国内のデータセンター

2.3. クラウドコンピューティング環境における役割及び責任の共有及び分担(ISO27017:CLD.6.3.1)

本サービスにおけるお客様と当社との責任範囲の概要(責任分界点)は、以下のとおりといたします。

3. 人的資源のセキュリティ

3.1. 情報セキュリティの意識向上、教育及び訓練(ISO27017:7.2.2)

当社の従業員が、お客様の情報資産を適切に取り扱い、情報セキュリティに関するルールや手順、適用法令及び規制上の考慮事項を順守するために、定期的もしくは必要に応じて随時、情報セキュリティ教育を実施しています。

4. 資産の管理

4.1. 資産目録(ISO27017:8.1.1)

お客様の情報資産と当社がサービスを運営するために必要となる情報資産については、明確に分離し、管理しています。

4.2. クラウドサービスカスタマの資産の除去(ISO27017:CLD8.1.5)

お客様が本サービスの利用を終了された場合、「Matlantis利用規約 第8条」に基づき、お客様の情報資産を適切に削除いたします。

また、お客様が本サービスの利用を終了されてから、原則、1ヵ月以内に本サービスに保存されているお客様の全ての情報資産はバックアップも含めて完全に削除されるため、一度削除された情報資産を復元することはできません。

したがいまして、本サービスの利用終了の際は、必要に応じてお客様にて情報資産の退避等を実施してください。

4.3. 情報のラベル付け(ISO27017:8.2.2)

本サービスでは、「Group Drive」や「Team Drive」等のお客様の情報資産を分類して保存できる機能を提供しています。

5. アクセス制御

5.1. 利用者登録及び登録削除(ISO27017:9.2.1)

本サービスでは、お客様にて選任された本サービスの管理者が、本サービス利用者の登録、変更、削除をご自身で実施いただける機能を提供しています。

5.2. 利用者アクセスの提供(ISO27017:9.2.2)

本サービスでは、本サービス利用者を管理者と一般利用者に割り当て、それぞれの利用者を管理するための機能及びそれを利用するための手順を提供しています。

5.3. 特権的アクセス権の管理(ISO27017:9.2.3)

本サービスのログインには、高いセキュリティレベルを維持できるOIDC(Open ID Connect)による認証方式を採用しており、お客様はIDプロバイダを選択することができます。

5.4. 利用者の秘密認証情報の管理(ISO27017:9.2.4)

お客様にて、本サービス利用者のアカウント及び秘密認証情報を適切に管理していただきます。

5.5. 情報へのアクセス権限(ISO27017:9.4.1)

お客様が保有する情報資産へのアクセスについては、システム管理者がシステム管理者権限、もしくは一般利用者権限を付与することで、制御することができます。

5.6. 特権的ユーティリティプログラムの使用(ISO27017:9.4.4)

本サービスでは、セキュリティ手順を回避し、各種サービス機能の利用を可能とするユーティリティプログラムの提供は行っておりません。

5.7. 仮想コンピューティング環境における分離(ISO27017:CLD.9.5.1)

お客様が利用する仮想環境は、実績のある仮想化技術を利用して論理的に分離されています。

5.8. 仮想マシンの要塞化(ISO27017:CLD.9.5.2)

お客様が利用する仮想環境においては、外部からのアクセスブロック、アクセス監視、ぜい弱性対応、データの暗号化等の機能を適用することで、セキュリティレベルを高めています。

6. 暗号

6.1. 暗号による管理策の利用方針(ISO27017:10.1.1)

本サービスでは、以下のとおり、暗号化によるセキュリティ対策を実施しています。

  • NotebookワークスペースおよびGroupドライブに保存されているファイル
  • 本サービス内部で使用するデータベース内に保存されたお客様の情報資産
  • 上記の資産情報のバックアップ
  • 本サービスで発生するネットワーク通信(お客様環境とMatlantis環境の間の通信、およびMatlatnis内の全ての通信)

7. 物理的及び環境的セキュリティ

7.1. 装置のセキュリティを保った処分又は再利用(ISO27017:11.2.7)

当社が利用するクラウドベンダーのシステム環境におけるストレージデバイス等の装置の処分に関しては、各クラウドベンダーの廃棄プロセスに基づいて適切に実施されていることを確認しています。

8. 運用のセキュリティ

8.1. 変更管理(ISO27017:12.1.2)

お客様に何らかの影響が発生する可能性がある変更については、「サービス仕様書」に記載の方法にて事前に通知します。

また、変更履歴を管理し、お客様は本サービスにて変更履歴を確認することができます。

8.2. 容量・能力の管理(ISO27017:12.1.3)

当社は、本サービスに関する各種リソースの使用状況を常に監視しており、安定したサービスを提供するための仕組みを構築しています。

また、お客様ご自身でも各種リソースの使用状況を確認できる機能を提供しています。

8.3. 実務管理者の運用のセキュリティ(ISO27017:CLD.12.1.5)

本サービスの操作手順については、重要な操作手順も含めて、利用者向けのマニュアルを用意し、提供しています。

8.4. 情報のバックアップ(ISO27017:12.3.1)

お客様の情報資産については、適時バックアップを取得し、適切に保管しています。

  • Notebookワークスペースは、日次スナップショットを取得し、7世代分を保持
  • Group Drive内のファイルは、リアルタイムにバックアップを取得し、最新バージョンおよび作成2日以内の旧バージョンのファイルを保持

8.5. イベントログの取得(ISO27017:12.4.1)

本サービス利用者の最終ログイン日時等の各種ログを取得しており、お客様のお求めに応じて、イベントログ等を提供することができます。

8.6. クロックの同期(ISO27017:12.4.4)

クラウドベンダーから提供されるNTPサービスを利用して、時刻同期(各リージョンの標準時)をしています。

本サービスで記録される時刻は、全て時刻同期に基づいて記録されています。

8.7. クラウドサービスの監視(ISO27017:CLD.12.4.5)

本サービスの常時監視をしており、お客様が過去1ヶ月分の利用履歴を確認できる機能を提供しています。

8.8. 技術的ぜい弱性の管理(ISO27017:12.6.1)

本サービスにおける当社の責任範囲について、定期的にぜい弱性診断等を実施し、セキュリティを維持、向上するための対策を実施しています。

9. 通信のセキュリティ

9.1. ネットワークの分離(ISO27017:13.1.3)

お客様のネットワーク環境と他の利用者のネットワーク環境を適切に分離しています。

9.2. 仮想及び物理ネットワークのセキュリティ管理の整合(ISO27017:CLD.13.1.4)

IaaSのクラウドサービスベンダーが提供している環境を利用して、SaaS型のクラウドサービスを提供しています。

10. システムの取得、開発及び保守

10.1. 情報セキュリティ要求事項の分析及び仕様化(ISO27017:14.1.1)

本サービスで実装している情報セキュリティ対策及び機能は、本書に記載しています。

主なセキュリティ機能の詳細は、以下の本書の該当項番をご参照ください。

  •  アクセス制限機能
  •  暗号化機能
  •  バックアップ機能
  •  ログ取得機能

10.2. 情報セキュリティに配慮した開発のための方針(ISO27017:14.2.1)

開発時には、自動テストや整形ツールによるプロセスに沿ったコードレビューを実施し、コードの潜在的なバグやパフォーマンスの問題、安全でないコーディングパターンの検出に努めています。

また、特にお客様の情報資産を取り扱う新機能をリリースする場合には、社内のセキュリティチームによるレビューを実施しています。

さらに、第三者によるウェブアプリケーションのぜい弱性診断やプラットフォーム診断を実施することで、重ねて安全性を確認しています。

11. 供給者関係

11.1. 供給者との合意におけるセキュリティの取扱い(ISO27017:15.1.2)

本サービスは、SaaS型のクラウドサービスであり、責任分界点の詳細は、“2.1.情報セキュリティの役割および責任”をご参照ください。

また、情報セキュリティ対策については、“2.1.情報セキュリティの役割および責任”の範囲において必要な対策を実施しています。

11.2. ICT サプライチェーン(ISO27017:15.1.3)

当社は、SaaS型クラウドサービスの提供者として、IaaSのクラウドサービスベンダーが提供するクラウド環境を利用して、本サービスを構築しています。

そのため、このクラウドサービスの供給者関係において、当社はクラウドサービス提供者であると共に、クラウドサービス利用者でもあります。

したがって、「情報セキュリティポリシー」ならびに「クラウドサービス情報セキュリティポリシー」に則り、当社のクラウドサービス提供者に必要となる構成要素について、適切なリスク管理策を実施しています。

12. 情報セキュリティインシデント管理

12.1. 責任及び手順(ISO27017:16.1.1)

当社の責任範囲において重大な情報セキュリティ事象(お客様情報の漏えい等)を検知した場合には、当社が定める「緊急対応手順」に基づき、速やか、かつ適切に対応いたします。

12.2. 情報セキュリティ事象の報告(ISO27017:16.1.2)

当社の責任範囲において情報セキュリティ事象が発生した場合には、「Matlantisサービス仕様書」に記載の方法により、お客様に報告いたします。

また、お客様が本サービスに関する情報セキュリティ事象を発見された場合には、本サービスにログイン後のお問い合わせメールからご連絡いただけます。

12.3. 証拠の収集(ISO27017:16.1.7)

当社の責任範囲において情報セキュリティ事象が発生した結果、法的処置が取られる可能性があると判断した場合には、記録、証拠の保全を行い、お客様の情報資産を第三者に開示することがあります。

13. 順守

13.1. 適用法令及び契約上の要求事項の特定(ISO27017:18.1.1)

本サービスの利用における適用法令は、「Matlantis利用規約 第18条」において、準拠法を日本法と定めています。

また、本サービスを提供する国・地域の法域に該当する法規制を特定し、順守しています。

13.2. 知的財産権(ISO27017:18.1.2)

本サービスにおいて、お客様に帰属する知的財産権については、「Matlantis利用規約 第7条」にて定めています。

13.3. 記録の保護(ISO27017:18.1.3)

情報セキュリティに関係する重要な記録は、法令、規制、契約及び事業上の要求事項に従い、消失、破壊、改竄がないよう、適切に管理しています。

13.4. 暗号化機能に対する規制(ISO27017:18.1.5)

暗号化機能は、外国為替及び外国貿易法等の関連する法令及び規制を順守しています。

13.5. 情報セキュリティの独立したレビュー(ISO27017:18.2.1)

ISO27001及びJIP-ISMS517(ISO27017)について、第三者による審査を受け、それぞれの認証を取得、維持、更新することにより、情報セキュリティに対する取り組みの証拠としています。

2024年7月1日 初版作成

2024年12月3日 改定(ISO認証取得審査での指摘事項を反映)