Security & Privacy
[
セキュリティ
]

Persefoni 

Security & Privacy

 Center

Cookie Declaration
セキュリティ
パーセフォニ プライバシーポリシー

パーセフォニのセキュリティポリシー

最終更新日:2023年10月6日

オーバービュー

パーセフォニは設立当初から、気候管理・炭素会計プラットフォーム「CMAP」やその関連サービスを安全に運用するためのセキュリティ対策に力を入れています。 GHG排出量の算定を目的としてお客様から提供されるデータは、当然のことながら安全性と機密性を確保しなければなりません。 そのため、パーセフォニはプラットフォームの構築に多大な投資を行っており、大企業でも安心してご利用いただけるセキュリティ機能と手順の導入を進めるとともに、パーセフォニ独自のセキュリティ体制を構築・維持しています。本ページでは、その指針となる4つのセキュリティ原則について詳しくご紹介します。

  1. 最小権限の原則によるアクセス権の付与とユーザー管理
  2. セキュリティとプライバシーに配慮したシステム構築と開発
  3. セキュリティに関する教育・研修の実施
  4. 業界のセキュリティ基準への準拠・遵守

パーセフォニのセキュリティやプライバシー管理体制について確認したい方、また当社の監査報告書および認証の写しが必要な方は、パーセフォニのTrustページをご覧ください。

セキュリティ責任共有モデル (SSRM)

パーセフォニは、Amazon Web Services(AWS)でホストされているSaaS(Software as a Service)アプリケーションです。AWSとパーセフォニ、そしてパーセフォニのサービスを利用するお客様は、セキュリティに関する責任を分担しており、 それぞれの責任分担の範囲は大まかに以下のようになっています。 

  • AWSは、物理的なデータセンター、ネットワーク、境界セキュリティ、ハードウェア設定を担当します。そして、CMAP用としてパーセフォニに提供しているPaaS(Platform as a Service)サービスを利用できる状態にする責任があります。
  • パーセフォニはセキュリティ設定を担当します。例えば、保管時および転送時のデータ暗号化、ネットワークおよびファイアウォールの制限、アプリケーション、データベース、コンテナ、インフラストラクチャのセキュリティなどの対策を行う責任があります。
  • パーセフォニを利用するお客様には、CMAPを適切に使用し、セキュリティに関するアクセス設定を正しく行う責任があります。 その他、ユーザー設定と管理、ユーザーアクセスの検証、データ品質やデータ分類基準の確認、サードパーティ統合セットアップ、および該当する場合はシングルサインオン(SSO)のセットアップなどもお客様の責任範囲となっています。

原則1:最小権限の原則によるアクセス権の付与とユーザー管理

  • ユーザーアカウントに対して必要な権限のみを与えるという「最小権限」のセキュリティ原則が、パーセフォニのすべてのシステムにおいて導入されています。 プラットフォームコードとデータへのアクセス権は、担当者の職務権限に応じて付与されます。また、従業員による本番環境へのアクセス権は特に厳しく管理・制限されています。
  • パーセフォニはPrivileged Access Management(PAM)を利用して、本番環境におけるアクセス権の管理と監査を行っています。 PAMを利用する際は、開発者が本番環境へのアクセス権を申請し、パーセフォニのエンジニア・リーダーの承認を受けなければなりません。 一旦アクセス権が付与された後もアクセスできる期間は限られており、後からアクティビティログを参照することも可能です。
  • パーセフォニでは、少なくとも四半期に一度、すべてのシステムに対する従業員のアクセス権を見直しています。
  • お客様は、パーセフォニのアカウントへのアクセス権についてポリシーと手順を定め、これに従ってアクセス権が適切に設定されているかどうかを確認する責任があります。 パーセフォニのユーザー管理者画面には、お客様のアカウントに直接アクセスできる従業員の氏名が常に表示されているため、ご自身のデータにアクセス権を持つユーザー全員を把握できます。

原則2:セキュリティとプライバシーに配慮したシステム構築と開発

アーキテクチャ

  • パーセフォニのCMAPは、AWSでホストされるマルチティア・マルチテナントのSaaSアプリケーションで構成されています。設計上は、保護されたデータベース層、API層、フロントエンド層、そして(お客様の管理下にある)Webブラウザという4つの異なる層またはレイヤーに分かれています。
  • 各層の間には、Webアプリケーションファイアウォール、セキュリティグループ、アクセス制御リスト、その他セキュリティに対する脅威を検出・制御するためのメカニズムが組み込まれており、インターネットとデータベース層の間を複数のレイヤーで保護しています。

認証

  • パーセフォニは、IDプロバイダー(IdP:Okta、Microsoft、Pingなど)が開始したSSOをSAMLプロトコル経由でサポートしています。
  • SSOを使用する代わりにユーザー名とパスワードによる認証が選択されている場合は、多要素認証とIP許可リストを有効化してCMAPへのアクセス制御を強化しています。 この場合、Bcryptを用いてパスワードのハッシュ化とソルト処理が行われます。 

データの保存とバックアップ

  • パーセフォニのマルチテナント・アーキテクチャでは、AWS US-East 2(オハイオ州)、US-East 1(バージニア州)、EU-West 1(アイルランド)、AP-Northeast 1(東京)にデータを同時に保存しています。 注:データレジデンシー(データの保存場所)に関して特別なニーズがある場合は、シングルテナント・アーキテクチャモデルをご紹介しますので、パーセフォニの営業担当者にお問い合わせください。
  • パーセフォニのプラットフォーム内にあるデータは常にバックアップされており、過去72時間以内の任意の時点のデータを復元できます。
  • さらに、バックアップは毎日行われ、そのデータは少なくとも1年間保存されています。
  • バックアップデータはAdvanced Encryption Standard(AES)256ビット暗号化という技術を用いて常に暗号化され、複数地域に分散した安全なAWS S3バケットに保存されています。

暗号化

  • パーセフォニは、Advanced Encryption Standard(AES)256ビットを用いた保管時の暗号化と、TLS1.2以上による転送時の暗号化を採用しています。 また、CMAPの外部にデータを転送する際は、Perfect Forward Secrecy(PFS)暗号を使用します。
  • パーセフォニのマルチテナント・アーキテクチャでは、AWSが管理する暗号化キーを使用しています。 注:暗号化キーをお客様自身で管理する必要がある場合は、シングルテナント・アーキテクチャモデルをご紹介しますので、パーセフォニの営業担当者にお問い合わせください。

モニタリングとロギング

  • パーセフォニは、プラットフォーム・アーキテクチャの各レベルのモニタリングとロギングを行っています。対象となるのは、データベース、コンテナ、ロードバランサ―、ファイアウォール、その他のアプリケーション・コンポーネントなどです。
  • パーセフォニは少なくとも1年間はすべてのログ情報を保管し、セキュリティに問題がないかどうかを確認しています。
  • セキュリティにとって脅威となるインシデントが発生した場合、パーセフォニのエンジニアリング情報セキュリティチームに直ちに通知されます。そして、セキュリティイベントの発生時刻やプラットフォームへの影響といった詳細事項を解析し、当該イベントまたはインシデントのトリアージ、分類、封じ込め、修復を行います。

物理セキュリティ

  • パーセフォニはAWSでホストされており、AWSデータセンターでは、複数の物理的セキュリティ対策を行いパーセフォニとお客様のデータを保護しています。 パーセフォニは、AWSのセキュリティ対策が有効かどうかを確認するため、少なくとも年に一度は機能の検証を行っています。 データセンターにおける対策の詳細については、AWSのコントロールのページをご覧ください。 

安全な開発ライフサイクル(SDLC)

  • パーセフォニには、自動と手動による検証プロセスが備わっています。これにより、高品質で安全性の高いソフトウェア開発プロセスを実現し、製品設計から機能開発、本番環境への展開までをサポートしています。
  • プラットフォームのコンテナ、ソフトウェアパッケージおよびコードの静的アプリケーション・セキュリティ・テスト(SAST)は、各ソフトウェアビルドで実行されます。

脆弱性の管理

ネットワークとシステムの要塞化(ハードニング)基準

  • パーセフォニは、業界最先端のセキュリティ基準(NISTサイバーセキュリティやCISレベル2フレームワークなど)によるガイダンスに従って、アプリケーションインフラストラクチャを構築しネットワークを設定しています。
  • また、プラットフォーム・アーキテクチャのレイヤーごとに基準となるセキュリティ要件を定め、これに沿って運用しています。

原則3:セキュリティに関する教育・研修の実施

  • パーセフォニのすべての従業員と請負業者は、採用時および採用後は年に一度必ず、セキュリティとデータプライバシーに関する意識向上を目的とした研修を受講しています。
  • パーセフォニのすべての従業員と請負業者は、入社前に犯罪歴の調査を受けています。
  • パーセフォニのすべてのエンジニアは、採用時と採用後は年に一度必ず、安全な開発とOWASP10に関する研修を受講しています。
  • パーセフォニの全社ミーティングでは、セキュリティ意識の向上を図るため、2週間に一度非公式での研修を実施しています。

原則4:業界のセキュリティ・プライバシー基準への準拠・遵守

セキュリティの遵守

プライバシーの遵守

  • パーセフォニは、一般データ保護規則(GDPR)およびカリフォルニア州消費者プライバシー法(CCPA)など、世界各国のデータ保護法に基づいて適用される義務を遵守します。 データプライバシーに関するお客様の権利や上記の規制遵守に関する当社の方針については、パーセフォニのプライバシーポリシーをご覧ください。
  • GHG排出量の算定・報告を行う過程で個人識別情報(PII)が求められることはありません。そのため、パーセフォニが取り扱うPIIはごく一部に限定されます。 ただし、お客様の氏名、業務用メールアドレス、IPアドレスに関しては、認証やログイン、監査時の対応に必要な情報として当社で保管しています。
  • データセキュリティに対する責任共有の原則に関連して、パーセフォニは、お客様が別のPIIをCMAPにアップロードすることがないよう強く要請します。

Close
Get the latest updates straight to your inbox
Sign up for our newsletter and stay ahead of the curve. With every edition, you'll receive the latest news, updates, and insights from our experts, straight to your inbox.
© Persefoni AI. 無断転載を禁じます
リーガルセキュリティプライバシーステータス
個人情報の売却または共有を禁止します
Language