Sactona インフラサービス セキュリティホワイトペーパー
お問い合わせ1 利用者との責任分界点
アウトルックコンサルティング株式会社の役割および責任
アウトルックコンサルティング株式会社は、Sactonaインフラサービスを提供するにあたり、以下の役割および責任を負います。
- お預かりしたデータに対する、漏えい・改ざん・毀損・滅失の防止に務めること
- サービス提供のために当社が設計・開発するソフトウェアのセキュリティを確保すること
- サービス提供のために利用するミドルウェア、OS、インフラのセキュリティを確保すること
お客様の役割および責任
お客様は、Sactonaインフラサービスを利用するにあたり、以下の役割および責任を負います。
-
- ユーザーに付与されたパスワードを適切に管理し、漏えいを防止すること
- ユーザーに対するアカウントおよびアクセス権の管理を行うこと
- 万が一に備え、サービス内に保管されたデータのバックアップを取得すること
(アウトルックコンサルティング株式会社で定期的なバックアップは行っておりますが、対象はバックアップ取得期間内のものに限定されますので、お客様にても適切なバックアップ等の対策をお願いします。)
アウトルックコンサルティング株式会社は上記を実現するための各種機能を提供しています。内容につきましては6 章~11 章をご確認ください。
2 サービス提供時間
- サービス提供期間は24 時間 365 日です。ただし月 1 回の OS アップデートおよび再起動、事前にお客様と調整されたサーバー保守にともなう停止は除きます。
※2022 年度の実績は、 99.99%以上です。
3 データ保管場所
- お客様からお預かりしたデータは、日本国内に保管されます。
4 データの削除
- Sactonaインフラサービスの利用に関する契約が終了した場合、以下の表に基づき、利用者からお預かりしたデータの消去が行われます。
| データの種類 | 削除のタイミング・手法 |
| ユーザーデータを含む、サーバー VM、バックアップデータ | 契約終了翌日から1 か月以内に完全に削除 |
5 装置のセキュリティを保った処分
- インフラストラクチャとして、関東のデータセンターを利用しています。サーバーなどの装置は、データセンターの運用元により適切に管理され、不要になった場合は、安全な方法で廃棄が行われています。
6 手順書の提供
- 当サービスの仕様や操作手順を記載したマニュアルは、ご契約後のサーバーからアクセスすることが可能です。
- Sactona Designer Guide
- Sactona Manager Guide
- Sactona Portal Guide
- Sactona Command Guide
7 ラベル付け機能
全般
- お客様は、ユーザーをお客様自ら追加したグループにグルーピングすることが可能です。
| 【操作手順書】 ○ グループを新規作成する (Sactona Designer Guide) ○ 複数のグループを一括で新規作成する (Sactona Command Guide) ○ 既存グループの変更(ユーザー追加・グループ名修正)をおこなう (Sactona Designer Guide) ○ 既存グループからユーザーを外す(減らす) (Sactona Designer Guide) |
ディメンション、キューブ、ポータル、パッケージ等編集機能
- お客様は、アウトルックコンサルティング株式会社から配信された、もしくはお客様自らが追加した名称及びカテゴリを変更することが可能です。
| 【操作手順書】 Sactona Designer Guide |
8 利用者登録および削除
- お客様は、契約の範囲内において、いつでも自由にユーザーの登録・削除を行うことが可能です。
| 【操作手順書】 ○ Sactonaに新規ユーザー(従業者)を登録する (Sactona Designer Guide) ○ メールアドレスを持っていない新規ユーザー(従業者)をSactonaに登録する (Sactona Designer Guide) ○ csvファイルを使ってSactonaに新規ユーザー(従業者)を一括登録する (Sactona Command Guide) ○ ユーザーを削除する (Sactona Designer Guide) |
9 アクセス権の管理
- お客様は、登録したユーザーの権限を、自由に切り替えることが出来ます。組織管理者権限を付与することで、各種機能の管理画面にアクセスすることが可能です。
| 【操作手順書】 ○ 組織管理者を追加、削減する方法 (Sactona Designer Guide) |
10 パスワードの配布方法
- 新規登録したユーザーは、メールアドレスを用いた認証によってパスワードを設定します。
| 【操作手順書】 ○ Sactonaユーザー登録手順 (Sactona Designer Guide) |
- ユーザーはパスワードを忘れた場合、自らパスワードの再設定を行うことが可能です。
| 【操作手順書】 ○ パスワードを再設定する (Sactona Portal Guide) |
11 不正利用の監視
- お客様は、ユーザーページより、前回ログイン日時を確認することができます。
- 身に覚えがない時間帯のログインがあった場合は、管理者にお問い合わせください。
12 暗号化の状況
全般
- ユーザーの利用端末からSactonaインフラサービスまでのインターネット通信は、SSL/TLS通信によって暗号化されます。
13 変更管理
- サービスのバージョンアップ情報を始めとした、各種の変更に関する情報は、「Sactonaサポートデスク」より閲覧することが可能です。
- 「Sactonaサポートデスク」https://support.sactona.net
- サービスのバージョンアップは必要に応じ、弊社コンサルタントからご案内いたします。
14 バックアップの状況
全般
- Sactonaインフラサービス内に保管されるデータは、以下の表に基づき、バックアップが行われます。
| データの種類 | 間隔 | 保管される世代 |
| ユーザーデータを含む、サーバーVM | 週次 日次 5分間隔(レプリケーション) |
3世代 7世代 1世代 |
- 週次のバックアップデータは、メインのデータが保管されている拠点から、国内の別地方拠点に保管されています。また、当社は定期的にバックアップからの復旧試験を実施しており、これらのバックアップからデータを正常に復旧できることを確認しています。
- 但しお客様事情によるバックアップデータの復元については、通常サービス内では承っておりません。
15 ログのクロックに関する情報
- Sactonaインフラサービスサービス内で提供されるログは、タイムゾーンJST(UTC+9)で提供されます。
- ログの時間は、公的なNTPサービスと同期しています。
16 ぜい弱性管理に関する情報
- アウトルックコンサルティング株式会社は、システムで利用しているOS、ミドルウェア等に関する脆弱性情報を収集しています。
- システムで利用しているコンポーネントに対する脆弱性パッチが公開された場合は、テスト環境での検証を経た後、速やかに適用されます。
- 原則毎月第3 日曜日の夜間に OS アップデートを適用しています。ただし緊急性を伴う場合はその限りではありません。
17 開発におけるセキュリティ情報
- Sactonaの開発プロセスにおいては、サービスをセキュアに保つために、コードレビュー、セキュリティテスト、開発者に対する定期的なセキュリティ教育などの取り組みを実施しています。
18 インシデント発生時の対応
- お客様に大きな影響を与えるセキュリティインシデント(データの消失、長時間のシステム停止等)が発生した場合は、インシデント発生してから翌営業日を目標に、利用契約時にご提供頂いた組織管理者のメールもしくは電話に連絡します。
- 上記インシデントが発生した場合、原則土曜日・日曜日・祝日および当社が指定する休業日を除いた日の10~17 時に復旧対応を実施します。
情報セキュリティインシデントに関する問い合わせは、「Sactonaサポートデスク」より受け付けています。
19 証拠の収集
- アクセスログやエラーログなどのログデータを始めとしたデジタル証拠は、当サービスの機能を通してのみお客様に提供されます。
- 但し、裁判所からの証拠提出命令など、法的に認められた形でお客様のデータの提供を要請された場合、アウトルックコンサルティング株式会社は、お客様の許可なく、必要最小限の範囲で、お客様情報を外部に提供する可能性があります。
20 適用法令
- お客様とアウトルックコンサルティング株式会社との間の契約は、日本法に基づいて解釈されるものとします。
21 記録の保護
- Sactonaインフラサービスの機能を通して提供されるログは、以下の表に従い保管されます。
| ログの種類 | 保管期間 |
| 操作ログ | ご契約期間中のすべての期間 |
| ログインログ | ご契約期間中のすべての期間 |
※ Sactona のメジャーバージョンアップの際にログの引き継ぎができない場合があります。
22 認証
- 当社は、定期的に内部監査を実施しています。監査では、独立した立場の監査員によって、当文書を含む社内のポリシーに、当サービスが適合しているかのチェックが実施されており、問題が見つかった場合には、速やかに改善を行っています。監査結果に関する問合せは、本セキュリティホワイトペーパー末尾の「Sactonaサポート担当」窓口より受け付けています。
改訂履歴
| 版:改定日 | 改定内容 |
| 1.0:2022/7/22 | 初版発行 |
| 1.1:2022/11/1 | 1 章:責任分界点にバックアップ内容の詳細を追加 4 章:インフラストラクチャに関する記載を修正 5 章:誤記の修正 11 章:暗号化に関する記載を修正 12 章:バージョンアップに関する記載を修正 |
| 1.2:2023/8/31 | 1 章:責任分界点の実現方法について説明を追加 2 章:サービスの提供時間の新設 4 章:データ削除タイミングについて説明修正 14 章:地域の説明を修正、バックアップの種類の記載追加 16 章:定期メンテナンスの説明の追加、名称の修正 17 章:名称の修正 18 章:障害対応時間を追加 21 章:ログ保管期間に関する記載を修正、備考を追加 |
| 1.3:2024/4/26 | 4 章:データ削除対象の追加 14 章:お客様都合によるデータリカバリ作業についての記述修正 |
このセキュリティホワイトペーパーに関するお問い合わせ
| アウトルックコンサルティング株式会社 Sactonaサポート担当 Email:info@outlook.co.jp |