KinstaではVantaによるTrustページを公開しています。このページでは、主にセキュリティの要件について、Kinstaがどれだけの施策を実施しているのかをご確認いただけます。Vantaの仕様の都合上、日本語で表示することができないため、日本のお客様にも英語の原文ページをご案内しています。
しかし、その内容を一読するだけでは、ページに何が含まれているのか、それが何を意味するのか理解するのは簡単ではありません。そこで今回は、Vanta Trustページの内容とそれがどのような意味を持っているのかを詳しくご紹介していきます。
VantaのTrustページとは
Vantaとはコンプライアンスの準拠やセキュリティ関連の要件の遵守を支援するサービスです。
各種認証や枠組みへの準拠を効率化するツールとして活用することができます。6,000以上の利用者を抱え、インターネットを保護し、消費者データを守ることを使命として(「On a mission to secure the internet and protect consumer data」)います。
VantaのTrustページは、Vantaのサービスを利用して要件の遵守や認証への準拠を達成した暁にその結果を証するものです。つまり、Kinstaの例で言えば、Trustページには、Kinstaが特定のセキュリティレベルを保持していることを証明する情報が記載されます。
KinstaはSOC2報告書の受領し、ISO 27001認証、ならびに拡張規格のISO 27017およびISO 27018認証を取得しています。SOC2報告書受領の詳細はこちら、ISO 27001認証取得の詳細はこちらでご覧いただけます。
TrustページはVantaにより生成され、Kinstaの一存によりこの内容を書き換えたり翻訳したりすることはできません。そのため、このようにTrustページの内容を説明するページを別にご用意しています。
VantaのTrustページの中身
前述のように、VantaのTrustページにはあらゆる認証や枠組みに照らし合わせた各種準拠情報が表示されます。VantaそのものはGDPR、USDPなど、幅広い枠組みを扱っています。
以下、KinstaのTrustページに記載されている内容をご紹介します。
コンプライアンス
コンプライアンスの項目には以下の7つが表記されています。Kinstaは、ISO 27001、ISO 27017およびISO 27018の認証、レベル1のCSA STAR認証を取得し、SOC2報告書を受領しています。さらに、GDPRおよびCCPAにも準拠しています。
- ISO 27001:2022(正式名ISO/IEC 27001:2022):情報セキュリティマネジメントシステム(ISMS)の国際標準です。組織がこの認証を取得するには、情報セキュリティを取り巻くリスクを特定、管理、低減するための確立されたフレームワーク、ビジネス、人材、ITプロセスに対する強固な方法論を維持する必要があります。
- ISO 27017(正式名ISO/IEC 27017:2015):ISO/IEC 27001を拡張する規格であり、クラウドコンピューティング環境におけるセキュリティ管理と実装のガイダンスを規定します。
- ISO 27018(正式名ISO/IEC 27018:2019):ISO/IEC 27001を拡張する規格であり、クラウド環境における個人識別情報の保護を規定します。
- SOC 2 Type II:SOC2報告書は、企業のシステムおよび内部統制を評価したレポートです。セキュリティ、可用性、処理の完全性、機密性、およびプライバシーの5つのTrustサービス基準が指標となっており、クラウドサービス業界で高い認知度を誇るサイバーセキュリティのフレームワークでもあります。
- CSA STAR Level 1:CSA STARは、Cloud Security Alliance(CSA)が提供するクラウドセキュリティの認証プログラムです。レベル1の取得は、クラウドサービス企業が自己評価を行い、セキュリティおよびプライバシーに関する基本的なベストプラクティスに準拠していることを証明します。
- GDPR(General Data Protection Regulation):日本語で「EU一般データ保護規則」と訳される、個人データの保護や扱いについて取り決めたもので、EEA地域(欧州経済領域)の各国で実際に適用される法令です。EU内に拠点を置く企業はもちろんのこと、その地域の子会社を通したデータの処理や当該地域向けの商品の販売なども対象に含まれ、日本企業だからといって一概に関係のない規則だと言い切ることができない重要なものです。
- CCPA(California Consumer Privacy Act):日本語で「カリフォルニア州 消費者プライバシー法」と訳されます。米国カリフォルニア州で適用されている、プライバシーについて定めた法律です。カリフォルニア州の住人に関する個人情報の厳格な保護を目指しています。
評価項目
上記のコンプライアンスの項目に挙げられている規則への準拠や報告書の受領を行う上で、評価対象となった項目が以下の通りです。
インフラストラクチャのセキュリティ(全32項目)
- 一意の本番データベース認証の実施
- 暗号化キーへのアクセス制限
- 独自アカウント認証の実施
- 本番アプリケーションのアクセス制限
- アクセス制御手順の確立
- 本番データベースへのアクセス制限
- ファイアウォールへのアクセス制限
- 本番OSへのアクセス制限
- 本番ネットワークへのアクセス制限
- 社員退職時のアクセス取り消し
- 一意のネットワークシステム認証の実施
- リモートアクセスMFAの実施
- リモートアクセス暗号化
- 侵入検知システムの利用
- ログ管理
- インフラ性能監視
- ネットワークセグメンテーションの実施
- ネットワークファイアウォールの見直し
- ネットワークファイアウォールの活用
- ネットワークとシステム堅牢化基準の維持
- サービスインフラの維持
- ネットワークのセキュリティ
- ネットワークサービスのセキュリティ
- ネットワーク内の分離
- ウェブフィルタリング
- ネットワークの分離
- クロック同期
- セキュアなシステムアーキテクチャとエンジニアリングの原則
- 仮想コンピューティング環境における分離
- 一般的なキャパシティ監視
- クラウド環境におけるキャパシティ管理
- 公共データ通信ネットワーク上で送信される個人情報の暗号化
組織のセキュリティ(全23項目)
- 利用した資産の廃棄手続き
- 生産に関する在庫の維持
- ポータブルメディアの暗号化
- マルウェア対策技術の利用
- 従業員の身元調査
- 請負業者による行動規範の採用
- 従業員による行動規範の採用と徹底
- 請負業者による機密保持契約への署名
- 従業員による機密保持契約への署名
- 業績評価の実施
- パスワードポリシーの実施
- MDMシステムの活用
- 訪問者手続きの実施
- セキュリティ教育の実施
- 適正能力
- 情報セキュリティに関する認識
- 情報セキュリティの役割と責任
- 業務の分離
- 採用候補者に対する審査
- 雇用条件
- 懲戒処分のプロセス
- 解雇または転職後の責任
- 秘密保持契約または非開示契約
製品のセキュリティ(全8項目)
- データ暗号化の利用
- 統制自己評価の実施
- 侵入テストの実施
- データ伝送の暗号化
- 脆弱性およびシステム監視手順の確立
- 暗号技術の使用
- 脅威インテリジェンス
- 技術的な脆弱性の管理
組織内部でのセキュリティ手順(全54項目)
- 継続計画および災害復旧計画の策定
- 継続計画および災害復旧計画のテスト
- サイバーセキュリティ保険の維持
- 構成管理システムの確立
- 変更管理手順の実施
- 本番環境へのアクセス制限
- 開発ライフサイクルの確立
- SOC2─システムの説明
- 内部告発方針の制定
- 取締役会による監督説明会の実施
- 取締役会憲章の文書化
- 取締役会の専門知識の開発
- 取締役会の実施
- バックアッププロセスの確立
- システム変更の外部への伝達
- 経営陣の役割と責任の明確化
- 組織構造の文書化
- 役割と責任の明確化
- セキュリティポリシーの策定と見直し
- サポート体制の整備
- システム変更の周知
- アクセスレビューの実施
- アクセス要求の義務化
- インシデント対応計画のテスト
- インシデント対応ポリシーの策定
- インシデント管理手順の遵守
- 物理的アクセスプロセスの確立
- データセンターへのアクセスの検証
- 企業コミットメントの外部への伝達
- 外部サポートリソースの利用
- サービス内容の伝達
- リスクアセスメントの目的の特定
- リスク評価の実施
- リスク管理プログラムの策定
- 第三者契約の締結
- ベンダー管理プログラムの策定
- 脆弱性のスキャンと解決
- 情報セキュリティマネジメントシステムの適用範囲の決定
- 情報およびその他の関連資産の目録
- 知的財産権
- 資産の返還
- 記憶媒体
- 機器の確実な廃棄または再利用
- 構成管理
- 変更の計画
- 変更管理
- 内部監査
- 内部監査プログラム
- 不適合および是正措置
- 法律、法令、規制、契約上の要件
- 情報セキュリティの独立審査
- 情報セキュリティに関する方針、規則、基準の遵守
- 監査テスト中の情報システムの保護
- 運用システムへのソフトウェアのインストール
データとプライバシー(全10項目)
- データ保持手順の確立
- 退職時の顧客データ削除
- データ分類方針の策定
- プライバシーと個人情報の保護
- 記録の保護
- 情報削除
- データマスキング
- データ漏洩の防止
- 情報の表示
- 情報の分類
VantaのTrustページから何が言えるのか
VantaのTrustページにある記載事項は先にご紹介した通りです。その内容をお客様のお求めになる項目や目的と照らし合わせてご確認いただけます。とはいえ、それぞれの事項が何を意味するのか解釈することが難しい場合もあるかもしれません。そこで、以下に、TrustページがKinstaのご利用者様にとって何を意味するのかご説明します。
インフラストラクチャのセキュリティ
Kinstaではインフラストラクチャのセキュリティ強化に全力を投じています。サーバーやホスティングソリューションは大事なお客様の情報を扱う、あらゆるサービスの土台となるものです。アクセスの制限から、異常事態検知システムの導入、ネットワークファイアウォールの導入と継続的な見直しまで施策を実施しています。
組織のセキュリティ
システムにとどまらず、Kinstaでは関係者のベストプラクティスの認識浸透と実践を徹底しています。Kinstaの従業員はもちろんのこと、サードパーティとの間の秘密保持契約の締結、ポータブルメディアの暗号化といった策を徹底しています。
製品のセキュリティ
データ暗号化を行いながら、統制状況を自己評価する仕組みを導入しています。さらに念を入れ侵入テストを実施し、脆弱性およびシステム監視手順の確立も行っています。
組織内部でのセキュリティ手順
取締役会による監督説明会の実施、取締役会憲章の文書化から、アクセスレビューの実施、必要最小限のアクセスの付与や要求の義務化、インシデント対応計画のテストまで、セキュリティ強化に欠かせない要素を網羅しています。なお、この項目にはSOC2報告書受領、およびISO認証取得のためのシステムに関する説明も含まれます。
データとプライバシー
データ保持の際に経るべき手順の確立、社員の退職時の関連する顧客データの削除、データ分類方針の策定などを実施しています。
Kinstaのセキュリティにかける思い
Kinstaでは高性能かつセキュアなクラウドホスティングとして、積極的にセキュリティの強度を客観的に証明する術を模索し、世界各国で第三者機関との連携を進めています。その結果として、Vantaを利用したSOC2報告書の受領、ISO 27001(およびその拡張規格であるISO 27017とISO 27018)認証の取得にも成功しています。
サーバーやホスティングでは、ネットサービス利用者の個人を特定し得る情報が数多く扱われますので、インフラそのものからセキュリティを高め各種要件に厳格に従うことが重要です。VantaのTrustページにより、日本のお客様にはこれまで以上にご安心の上Kinstaのホスティングサービスをご利用いただけるはずです。
本ページ記載の内容が、お客様の事業や組織の個別の要件とどのように合致するのか、疑問点やご質問がございましたらお気軽に営業までご相談ください。VantaによるKinstaのTrustページ(原文:英語表記)はこちらからご覧いただけます。
