• HOME
  • SessionCamの情報セキュリティについて

SessionCamの情報セキュリティについて

当社が正規販売代理店として提供しているSessionCamサービス開発販売元SessionCam社の情報セキュリティに関するページの翻訳です。原文はこちらにあります。

情報セキュリティは、SessionCamのお客様へのコミットメントの核心です。SessionCamは、SaaSソリューションプロバイダーとして、データのプライバシーと機密性を維持・保護することがお客様のビジネスにとって重要であることを理解しています。
SessionCam社の高度なセキュリティ基準と慣行により、お客様はSessionCam社が記録するデータを管理し、その使用方法について常に情報を得ることができます。

このページでは、「情報セキュリティフレームワーク」に関する情報を提供することを目的としています。

認証とコンプライアンス

SessionCamは、以下の世界標準に準拠しています。
これらの標準との整合は、お客様のビジネスとSessionCam社の情報資産の両方を保護するために設計されています。SessionCam社は、潜在的な情報セキュリティリスクを継続的に見直し、一歩先を行くために適切な是正措置を取り、お客様のデータを安全に保ちます。

ISO/IEC 27001:2013

SessionCamのセキュリティフレームワークは、ISO / IEC 27001:2013のBSIによって認定されています。国際的に認知されている情報セキュリティ規格で、組織の情報リスク管理プロセスに関わる法的、物理的、技術的な管理を含むベストプラクティス、ポリシー、手順のフレームワークを提供しています。SessionCam社の認証書はこちらからご覧いただけます。

データ保護法

SessionCam本社所在地である英国では、データ保護法を基づき、公共の利益のために情報の権利を守るために設立された英国の独立機関であるICOに登録されています。SessionCam社のデータ保護登録項目はこちらでご覧いただけます(DPA登録番号:ZA115103)。

GDPR

GDPRとはGeneral Data Protection Regulation(一般データ保護規則)の略で、EU(欧州連合)域内の個人に対するデータ保護を強化・統一するとともに、EU域外への個人データの輸出にも対応するものです。
GDPRの下では、あなたのウェブサイトを訪れた個人は、自分のデータが処理されることに同意するかどうかを選択する権利があります。
GDPRは、2018年5月25日から施行されます。ICOによるGDPRのガイドにはこちらからアクセスできます。

SessionCamは、英国規格協会(BSI)からISO 27001の認証を受けています。
ISO 27001認証を保有することは、GDPRの下で個人識別情報(PII)を保護する上で適切であると考えられます。

金融サービス品質保証制度(FSQS)

FSQSは、金融業界向けの資格制度です。
FSQSは、FSQSを採用している主要な金融サービス機関のコンプライアンスおよび保証情報の要求を標準化し、管理することを目的としています。
規制環境が複雑化する中、FSQSは、金融セクター全体でサプライヤーのコンプライアンス保証情報を収集・管理するための標準的かつシンプルな仕組みを提供しています。

FSQSは現在、Bank of Ireland、Lloyds Banking Group、LV=、Metro Bank、Nationwide Building Society、Royal Sun Alliance、Santander、TSB、The Bank of England、Virgin Moneyなど、17の主要な銀行、ビル・ソサエティ、保険会社で使用されています。

SessionCamは有効なFSQS認証を取得しています。SessionCam社の認証はこちらでご覧いただけます。

データのプライバシーと取り扱い

SessionCamは、データが安全でセキュアな方法で保存、アーカイブ、または廃棄されることを保証するよう努めています。

透明性の観点から、お客様はSessionCam社が記録するデータを完全にコントロールすることができます。お客様に代わってSessionCamが記録・保存するデータは、お客様自身が使用するためのものであり、暗号化されています。

SessionCam社は、お客様のために記録されたいかなるデータや情報も、第三者機関と販売、共有、貸与、交換することはありません。

機密データに関するポリシー

セキュリティ上の理由から、「センシティブ」とマークされた入力フィールドは記録・保存されず、再生時にはスターリングアウト(マスク)された状態で表示されます。いったんマスキングされたデータは、ユーザーのブラウザから消えることはありません。

SessionCam社のセンシティブデータポリシーは、以下のレベルで適用できます。

  • サイト全体
  • 個別ページ
  • 入力欄とページ内容(HTML)
  • HTMLページ内で生成されるセキュアデータ

プライバシー保護の観点からサイト訪問者のIPアドレス全体を取得したくない場合は、IP全体またはIPからあらかじめ指定されたオクテット数をマスクすることができます。

PII

SessionCamは、個人識別情報(PII)は、厳密に知る必要がある場合にのみアクセスされるべきであり、慎重に取り扱われ保管されるべきであると理解しています。SessionCam社のすべてのお客様には、ご希望に応じてPIIを記録するオプションが与えられています。そうする一般的な理由は、不正防止策としてのものです。

PCI

SessionCamは、デフォルトではPayment Card Industry (PCI)データを収集しません。PCIデータを含むフィールドを認識し、それらを記録しないようにプログラムされています。SessionCamは、顧客の行動を示すために設計されているため、このような機密情報を記録する必要はなく、記録しません。

PIIとPCIデータを記録しないことで、SessionCamソリューションは、PCI DSS (Payment Card Industry Data Security Standard)、HIPAA (Health Insurance Portability and Accountability Act)などの業界規制や、PIIに関連する国内法へのコンプライアンスを損なうことはありません。

暗号化

SessionCamで記録・保存されたデータは、AES-256暗号を用いて暗号化されます。これは最高のAES(Advanced Encryption Standard)であり、例えば米国政府が機密情報を保護するために使用しているものです。保護されたすべてのオブジェクトは、固有の暗号化キーで暗号化されます。このオブジェクトキー自体も、定期的にローテーションされるマスターキーで暗号化されます。暗号化されたデータと暗号化キーを異なるホストに保存することで、追加のセキュリティが提供されます。

ブラウザからSessionCamによって記録されたすべてのデータは、SSL/TLS暗号化を使用してSessionCam社の安全な環境に転送されます。これは、ウェブサーバーとブラウザの間で暗号化されたリンクを確立するための標準であり、2つのポイントの間で渡されるすべてのデータがプライベートなままであることを保証します。

SessionCamレポートコンソールへのアクセスはすべて暗号化されます。

データストレージ

SessionCamは、Amazon Web Services (AWS S3)でホストされています。米国に拠点を置き、すべてのデータは安全なサーバーに保管されています。

ヨーロッパに拠点を置くお客様のために、AWSはEUデータ保護規則にサインアップしており、SessionCamはお客様との契約においてEU標準契約条項を使用し、米国へのデータ移動を可能にしています。

データセンターのセキュリティ

Amazonは、大規模なデータセンターの設計・建設・運用に豊富な経験を持っています。物理的なアクセスは、専門のセキュリティスタッフにより、ビデオ監視システムや侵入検知システムを利用して、外周および建物の入口の両方で厳しく管理されています。

Amazonのクラウド基盤は、主要な規制や基準に基づいて設計・管理されており、以下に準拠しています。

  • Payment Card Industry Data Security Level 1 (PCI DSS)
  • Service Organization Controls (SOC) 1, 2 & 3
  • ISO 27001 and ISO 9001

コンプライアンスの完全なリストは、AWSコンプライアンスのウェブサイトに掲載されています。

ネットワーク保護

Amazon Web Servicesのネットワークは、以下のような従来のネットワークセキュリティ問題に対して大きな保護を提供します。

  • ライブ環境を保護するための製品と技術を組み合わせたマネージド・ファイアウォール・サービスです。
  • 分散型サービス拒否(DDoS)攻撃
  • マン・イン・ザ・ミドル(MITM)攻撃
  • IPスプーフィング。Amazon EC2インスタンスは、偽装されたネットワークトラフィックを送信できない
  • ポートスキャン。許可されていないポートスキャンは停止し、ブロックされる

アクセス制御

SessionCam社は、お客様が指定したユーザーのみが、各サイト、またはサイトのグループ、および各個人に必要な製品機能にアクセスできるよう、SessionCamのアカウント設定を構成しています。ログインすると、新規ユーザーにはデフォルトのアカウントが表示され、見ることを許可されたデータのビューにのみアクセスできます。その後、SessionCamコンソールの異なる機能へのアクセスを提供する、異なるユーザーロールを割り当てることができます。

現在、4つの主なユーザーアクセスロールがあります。Alert Receiver、Standard User、Analytics User、Admin Userです。

ユーザーは、SessionCamカスタマーサクセスチームを通じて、お客様の指名されたアカウント担当者からのリクエストにより、追加・取り消しが可能です。

SessionCamアカウントのセキュリティ

SessionCamには、録画コンソールとカスタマーコンソールという2つの公開されたシステムへのエントリーポイントがあります。

SessionCam社では、ログインシステムに以下のようなセキュリティを実装しています。

  • SessionCamコンソールへのログインは、顧客であれSessionCam社員であれ、デフォルトで転送中に暗号化されます。
  • アカウントおよび個々のログインは一意であり、すべてのアクセスは監査されます。
  • パスワードは、10文字以上の長さで、少なくとも1つの数字を含まなければならない
  • 再使用可能なパスワードの記憶数は、お客様のポリシーに合わせて設定可能
  • パスワードの有効期限が切れるまでの日数は、お客様のポリシーに合わせて設定可能です。
  • ブラウザでのユーザー名とパスワードの自動入力機能を無効にした
  • パスワードがクリアテキストで保存されることはありません。ハッシュとして保存されるため、他の誰も読むことができません。
  • ブルートフォース攻撃から保護するため、複数回ログインに失敗するとアカウントがロックアウトされ、パスワードはSessionCamカスタマーサクセスチームによってリセットされる必要があります。
  • 不正なログイン試行はユーザーごとに記録され、アカウントで最後に成功したログインのタイムスタンプを保持します。

製品のアップデートとテスト

SessionCamには厳格な変更管理プロセスがあり、すべてのリリースは、手動および自動テストの組み合わせで広範囲にテストされています。

SessionCamでは、業界をリードするスキャンツールを使用して、ソリューションの脆弱性スキャンを毎週実施しています。このスキャンは、各メジャーリリース後にも完了します。

侵入テスト

SessionCamは、自動化されたツールを使用して、定期的に外部の脆弱性スキャンを行っています。年1回のアプリケーションセキュリティテストは、外部のコンサルタント会社を使って実施されます。

お客様に安心してご利用いただけるよう、SessionCam社のソリューションに対するお客様の脆弱性テストを歓迎いたします。独自のテストの実施をご希望の場合は、お客様のアカウントマネージャーにご連絡いただくか、support@sessioncam.com までご連絡ください。

事業継続計画(BCP)について

SessionCamは、オフィスの所在地や契約上の約束の継続をカバーする事業継続計画を持っています。この計画は、SessionCam社の情報セキュリティフレームワークであるISO 27001と連携しており、毎年見直しを行っています。

セキュリティ文化

SessionCamのセキュリティ文化は、業界での豊富な経験を持つシニア情報セキュリティマネージャーによって導かれています。私たちは、セキュリティは立ち止まっているわけではないことを認識しており、このことが、私たちのセキュリティ慣行を継続的に改善することに専念させています。

インフラ

  • お客様のデータへのアクセスは、お客様とお客様のアカウントチームに限定されており、アカウントへのアクセスはサポート提供のためにのみ行われます。すべてのアクセスはログに記録され、月次ベースで監視されます。
  • 同様に、SessionCamインフラストラクチャへのアクセスは、既知の認可されたIPアドレスに制限されています。
  • スタッフの企業システムへのアクセスは、二要素認証(2FA)を使用してログインする
  • オンサイトのコンピュータとオフサイトに持ち出されたデバイスの両方に、業界をリードする最新バージョンのアンチウイルスおよびマルウェア保護ソフトウェアが装備されています。疑わしい行動はすべて記録され、必要に応じて予防措置がとられます。

人的資源

SessionCam社のスタッフは、入社前に徹底的にチェックされます。実施される標準的なチェックは以下の通りです。

  • 英国で働く権利
  • 身分証明書の確認
  • 資格と5年間の職歴
  • 過去の勤務先(レファレンス)への問い合わせと連絡
  • 基本的なDBS犯罪歴チェック(旧CRB) クレジットおよび財務チェック(CCJを含む)

入社して最初の週に、すべてのスタッフは情報セキュリティ意識向上コースを受講します。このコースには、SessionCamセキュリティフレームワークの紹介、データ分類、機密データの安全な取り扱い、個人が負うリスクの理解が含まれています。このコースは、上級管理職やCEOを含む全社員が毎年再受講しています。

雇用契約書には、機密情報を扱う際に期待される行動、セキュリティポリシーおよび手順、ならびに秘密保持契約が記載されています。期待される水準を継続的に満たすことができなかった従業員は、さらなるトレーニングを受け、要求される水準が一貫して達成されるまで注意深く監視されます。

社員紹介

  • スタッフには写真入りのIDカードとストラップを配布して本人確認を行い、訪問者には訪問者記録簿にサインしてもらいます。
  • オフィスへのアクセスはセキュリティ管理されており、敷地内にはCCTVが設置されています。

その他の質問は?

詳細や具体的な質問については、お問い合わせください。