ホワイトペーパー

Claris クラウドサービス セキュリティ

概要

Claris は、製品と顧客へのサービスの両面で卓越したサービスを提供することを目指しています。Claris の製品は、高性能で安全性が高く、可用性の高いソリューションを提供することで、お客様のビジネスの変革を支援するよう設計されています。また、Claris は、お客様の期待に応え、それを超えるようなクラス最高のソリューションを提供することを目標に、お客様と従業員の声に耳を傾けています。さらに、Claris は信頼を大切にしています。Claris は、業界をリードするセキュリティ対策を一貫して実践することで、信頼を大切にしています。 これらの価値観は、Claris のすべての業務を支えています。

FileMaker Cloud と Claris Connect 製品の運用インフラは、Amazon Web Services(AWS)によってホストされています。AWS のデータセンターと AWS サービスは、Claris が提供する高度に安全で可用性の高い製品を実現するための物理的なインフラストラクチャ、環境制御、アクセス制御メカニズム、監視システムを提供しています。さらに Apple は、Claris のデータセンターサービスを提供し、ネットワーク、認証プラットフォーム、物理的なセキュリティシステムをサポートしています。

Claris は、卓越したサービスを提供するための絶え間ない努力と AWS や Apple との関係を通じて、デジタルトランスフォーメーションの実現に向けて、あらゆる規模の組織にエンタープライズグレードのサービスを提供しています。

セキュリティガバナンス

セキュリティと制御環境

情報セキュリティチームは、Apple および Claris が所有する、または Apple および Claris と直接提携している施設内、機器上、またはネットワーク上のすべての Apple および Claris の情報の機密性、完全性、可用性を確保することに責任を負います。これらの目的を達成するための具体的な方法としては、セキュリティポリシーと手順の策定と配布、セキュリティ評価、セキュリティアラートの監視と処理、セキュリティインシデントへの対応などがありますが、これらに限定されません。

社員研修とポリシー

Claris は、「正直」「尊敬」「機密保持」「コンプライアンス」という組織の重要な原則に基づき、それぞれの分野で世界に通用するプロフェッショナルな人材を採用しています。

Claris では、世界に通用するプロフェッショナルを導くために、安全性が高く可用性の高いシステムを導入するための要件やガイドラインとして、ポリシー、基準、ガイドラインを定めています。

Claris では、これらの方針・基準・ガイドラインに基づき、新入社員研修や年1回のセキュリティ意識向上研修を実施しています。 さらに、職務上の責任と扱うデータに基づいて、情報セキュリティトレーニングの大規模な社内カタログが要員に配布されています。Claris 製品のセキュリティやコンプライアンスへの取り組みに影響を与える責任者に対しては、セキュアな開発、Claris の技術基準、データやデバイスの管理要件など、さまざまなトピックについての研修を実施しています。

技術的なセキュリティ

Claris では、グローバルなセキュリティフレームワークを活用して、セキュリティプロセスと制御の指針としています。 物理的セキュリティ、認証、暗号化、ネットワークセキュリティ、システム堅牢化などの主要な項目については、以下のように説明しています。

物理的セキュリティと環境制御

Clarisでは、ホスティングサービスに Amazon Web Services(AWS)を利用しています。 AWS は、データセンターの物理的・環境的なセキュリティ管理を含め、Claris が利用するサービスについて SOC 2 Type II の認証を取得しています。

また、Claris は Apple の 100% 子会社として、Apple の IT サービスを利用しています。 Apple は、データセンターの設計、構築、運用の方法にも反映されているように、最高水準のサービスを提供しています。 Apple は、データセンター、POD 環境、配線室などの施設や重要なシステムへの物理的なアクセスを制限するためのセキュリティ管理を実施しています(ただし、これらに限定されません)。これらの管理には、近接バッジアクセスシステム(個人の職務上の責任を果たすために必要なアクセスを厳密に制限する)、バイオメトリクスリーダー、施設カメラシステム、訪問者のログなどがあります。

認証コントロール

Claris のシステム、デバイス、アカウントのセキュリティは、安全な資格情報の作成と管理から始まります。

多要素認証

Claris 環境への管理者アクセスは、多要素認証により管理者に制限されています。 Claris 環境内では、最小特権の概念を導入しています。 AWS 内のロールベースのアクセス制御機能により、Claris ではさまざまなタイプの管理者(サーバ管理、データベース管理、ネットワーク管理など)に非常に細かく調整された権限を付与することができます。

Claris ID

Claris ID は、Claris の製品やサービスのユーザを認証するための統合サインオンシステムです。また、Okta や Microsoft Active Directory などの外部 ID プロバイダによる認証もサポートしています。

OAuth ID プロバイダによる認証

OAuth 2.0 は、Amazon、Google、Microsoft Azure などのサードパーティのIDプロバイダを介してカスタムアプリにサインインするClaris ユーザを認証するために使用されます。

管理

Claris Customer Console

Claris Customer Console は、FileMaker Cloud がホストするカスタムアプリを操作したり、FileMaker Cloud と Claris Connect のチームを管理したりするための Web アプリケーションです。また、このコンソールは、Claris ID アカウント、ユーザ、グループ、ホスト、設定、および FileMaker Cloud と Claris Connect のサブスクリプションの管理にも使用されます。

データ暗号化

機密情報の保護は、Claris の DNA に深く刻まれています。接続処理中および休止中のデータを暗号化することは、Claris が顧客へコミットメントする重要要素の 1 つです。

FileMaker Cloud:

  • 接続処理中: クライアント接続には、TLS 1.2 プロトコルの使用が必要です。
  • 休止中: FileMaker Cloud プラットフォームは、データの永続性を確保するために複数の AWS データストレージ環境を利用しています。これらのデータプラットフォームでは、Claris は AWS の鍵管理サービス(KMS)を利用して、休止中データの暗号化を行っています。
  • ディスク: Claris は独自のマスターキーを管理し、AWS KMS を利用して AES256 暗号化しています。

Claris Connect:

  • 接続処理中: クライアント接続には TLS 1.2 プロトコルの使用が必要です。ホスト間(アプリケーション層とデータベース層の間など)では、証明書とエフェメラル PFS TLS 1.2 暗号が必要です。
  • 休止中: 休止時のデータは、最低でも AES256 暗号化されたエンタープライズ ストレージソリューションに保存されます。
  • ディスク: Claris は独自のマスターキーを管理し、AWS KMS を利用して AES256 暗号化しています。

ネットワークセキュリティ

ファイアウォールは、あらゆるセキュリティ対策において重要な役割を果たします。一般的にファイアウォールとは、特定のネットワークトラフィックがプライベートネットワークに侵入するのを防ぐための制御を指します。Claris では、アプリケーションファイアウォール、Web アプリケーションファイアウォール、ネットワークレイヤファイアウォールなど、ネットワーク全体やネットワーク内のさまざまなゾーン間でファイアウォールを活用しています。

また、ネットワークトラフィックは継続的に監視されています。 詳細については、ログと監視についてのセクションを参照してください。

システム堅牢化

堅牢化されたベースライン構成は、運用環境内での一貫性を高め、Claris が承認したソフトウェアを利用してシステムが構築されていることを保証するとともに、悪意のあるコードイベントが悪用される可能性のあるアタック・サーフェスを最小限に抑えることができます。

ベースライン構成の一部として、悪意のあるソフトウェアを検出するための 情報セキュリティチーム認定のツールがベースライン構成のデフォルト要件となっています。これらのアプリケーションは、潜在的なセキュリティイベントのシステムレベルの検出、監視、アラートを提供し、悪意のあるコードの実行を防ぐことができます。また、これらのツールには、企業の監視およびイベント管理機能との統合パスが定義されており、情報セキュリティチームは、環境全体のテーマや活動を集約し、インシデント対応アクションを起動し、フォレンジック調査をサポートすることができます。

セキュリティ評価と脆弱性管理

情報セキュリティチームが実施するセキュリティ評価は、新規または更新された機能、サービス、構成、またはコード変更の本番配備の前に実施されます。

ネットワークデバイスやオペレーティングシステムを含むインフラストラクチャのセキュリティテストは、脆弱性のスキャンとその後の修正によってサポートされます。

脅威管理とインシデント対応

ログのプロセスとパイプライン

Claris の情報セキュリティ管理において、ログは Claris のシステムのセキュリティを確保する上で重要な役割を果たしています。情報セキュリティチームは、Claris のあらゆるシステムから情報セキュリティチームにログを簡単に送信するための標準的な方法とツールを製品チームに提供しています。イベントパイプラインは、さまざまなソースからログを受信し、それらを集約して、権限のあるインシデント対応要員がグローバルに利用できる単一の場所に集約します。

インシデント対応要員

インシデント対応チームは、24 時間 365 日体制でシステムを監視し、セキュリティイベントをいち早く見つけ出し、警戒すべき事象をトリアージします。イベントは集中管理されたトラッキングツールで追跡され、イベントの詳細がキャプチャされ、イベントの潜在的なビジネスへの影響が把握されます。 特別なチームが、標準化および合理化されたプロセスによるイベントの修復を行います。

インシデント管理

Claris は、Apple のインシデント管理プログラムに依存しています。 Apple は、リスクをタイミングよく効果的に管理するためのポリシーと手順を含むインシデント管理プログラムを実施しています。文書化されたインシデント対応計画に基づき、セキュリティイベントは、インシデントとして指定される前に、分析のために適切な担当者に割り当てられます。インシデントとして認識されると、Apple は、インシデントを適切に分類し、優先順位をつけ、対応するために、インシデントに深刻度レベルを割り当てるという標準化されたアプローチを適用します。さらに、Apple は、インシデントに関する役割、責任、コンプライアンス上の義務、およびコミュニケーション手順を文書化し、定義するために、インシデントコミュニケーション計画を文書化しています。

事業継続と災害復旧

Claris では、Amazon Web Services(AWS)をホスティングに利用しています。 Claris は、お客様に高い冗長性と可用性を提供できる環境を構築しています。

また、Claris は Apple の 100% 子会社として、一部の分野で Apple の IT サービスを活用しています。 Claris のデータセンターは、Apple 社の ISO27001 認証プロセスの一環として、耐障害性と継続性の監査を受けています。

データ管理とプライバシー

データ保持

Claris は、データの保存期間を定めた、データ保持ポリシーを制定しました。

Claris 製品内で作成された顧客コンテンツは、顧客の契約終了または契約期間満了後 45 日間利用可能であり、その後はすべて削除されます。

ユーザ管理に使用される顧客データ(氏名、電子メール、電話番号)は、顧客の裁量で、Claris のプライバシーポリシーに準拠して保持されます。

個人情報保護方針

Claris は、お客様のプライバシーを尊重し、Claris の製品・サービスに適用されるプライバシーポリシーを遵守します。Clarisは、お客様にサービスを提供するために必要な最小限のデータのみを収集します。収集されたすべてのお客様のデータは、Claris のプライバシーポリシーに従って常に取り扱われます。

GDPR: Claris は GDPR に準拠していますが、アプリを作成し、GDPR の規定に従ってデータを取り扱うかどうかは、お客様の責任となります。ClarisのGDPRへの準拠に関する詳細、または GDPR に基づく要求がある場合は、https://www.claris.com/company/legal/gdpr.htmlをご参照ください。

HIPAA: Claris は、HIPAA 準拠を断言していません。お客様が対象事業体、ビジネスアソシエイト、または対象事業体またはビジネスアソシエイトの代表者である場合、お客様は、Claris FileMaker Cloud または Claris Connect のコンポーネント、機能、またはその他の施設を使用して、保護された健康情報を作成、受信、維持、または送信しないことに同意するものとします。

PCI: Claris は、顧客のためにクレジットカードを処理する際に PCI に準拠しています。ただし、Claris製品はPCI監査を受けていないため、クレジットカードデータをClaris製品に保存することはできません。