KinstaではVantaによるTrustページを公開しています。主にセキュリティの要件について、Kinstaがどれだけの施策を実施しているのかをご確認いただけるページです。しかし、Vantaの仕様の都合上、日本語で表示することができません。日本のお客様には英語の原文ページをご案内しています。
しかし、その内容を一読するだけでは、ページに何が含まれているのか、それが何を意味するのか理解するのは簡単ではありません。そこで今回は、Vanta Trustページの内容とそれがどのような意味を持っているのかをご紹介したいと思います。
VantaのTrustページとは
Vantaとはコンプライアンスの準拠やセキュリティ関連の要件の遵守を支援するサービスです。
各種認証や枠組みへの準拠を効率化するツールとして活用することができます。6,000以上の利用者を抱え、インターネットを保護し、消費者データを守ることを使命として(「On a mission to secure the internet and protect consumer data」)います。
VantaのTrustページは、Vantaのサービスを利用して要件の遵守や認証への準拠を達成した暁にその結果を証するものです。つまり、Kinstaの例で言えば、Trustページには、Kinstaが特定のセキュリティレベルを保持していることを証明する情報が記載されます。
KinstaはSOC2報告書を受領しています。SOC2報告書受領について詳しくはこちらをご覧ください。
TrustページはVantaにより生成されるものです。Kinstaの一存によりこの内容を書き換えたり翻訳したりすることはできません。そのため、このようにTrustページの内容を説明するページを別にご用意しています。
VantaのTrustページの中身
前述のように、VantaのTrustページにはあらゆる認証や枠組みに照らし合わせた各種準拠情報が表示されます。VantaそのものはGDPR、USDPなど、幅広い枠組みを扱っています。
以下、KinstaのTrustページに記載されている内容をご紹介します。
コンプライアンス
コンプライアンスの項目には以下の3つが表記されています。KinstaはSOC2報告書を受領し、GDPRとCCPAに準拠しています。
- SOC 2 Type II:SOC2報告書は、企業のシステムおよび内部統制を評価したレポートです。セキュリティ、可用性、処理の完全性、機密性、およびプライバシーの5つのTrustサービス基準が指標となっており、クラウドサービス業界で高い認知度を誇るサイバーセキュリティのフレームワークでもあります。
- GDPR:GDPRは日本語で「EU一般データ保護規則」と訳される、個人データの保護や扱いについて取り決めたもので、EEA地域(欧州経済領域)の各国で実際に適用される法令です。EU内に拠点を置く企業はもちろんのこと、その地域の子会社を通したデータの処理や当該地域向けの商品の販売なども対象に含まれ、日本企業だからといって一概に関係のない規則だと言い切ることができない重要なものです。
- CCPA:CCPAは日本語で「カリフォルニア州 消費者プライバシー法」と訳されます。米国カリフォルニア州で適用されている、プライバシーについて定めた法律です。カリフォルニア州の住人に関する個人情報の厳格な保護を目指しています。
評価項目
上記のコンプライアンスの項目に挙げられている規則への準拠や報告書の受領を行う上で、評価対象となった項目が以下の通りです。
インフラストラクチャのセキュリティ(全21項目)
- 一意の本番データベース認証の実施
- 暗号化キーへのアクセス制限
- 独自アカウント認証の実施
- 本番アプリケーションのアクセス制限
- アクセス制御手順の確立
- 本番データベースへのアクセス制限
- ファイアウォールへのアクセス制限
- 本番OSへのアクセス制限
- 本番ネットワークへのアクセス制限
- 社員退職時のアクセス取り消し
- 一意のネットワークシステム認証の実施
- リモートアクセスMFAの実施
- リモートアクセス暗号化
- 侵入検知システムの利用
- ログ管理
- インフラ性能監視
- ネットワークセグメンテーションの実施
- ネットワークファイアウォールの見直し
- ネットワークファイアウォールの活用
- ネットワークとシステム堅牢化基準の維持
- サービスインフラの維持
組織のセキュリティ(全14項目)
- 利用した資産の廃棄手続き
- 生産に関する在庫の維持
- ポータブルメディアの暗号化
- マルウェア対策技術の利用
- 従業員の身元調査
- 請負業者による行動規範の採用
- 従業員による行動規範の採用と徹底
- 請負業者による機密保持契約への署名
- 従業員による機密保持契約への署名
- 業績評価の実施
- パスワードポリシーの実施
- MDMシステムの活用
- 訪問者手続きの実施
- セキュリティ教育の実施
製品のセキュリティ(全5項目)
- データ暗号化の利用
- 統制自己評価の実施
- 侵入テストの実施
- データ伝送の暗号化
- 脆弱性およびシステム監視手順の確立
組織内部でのセキュリティ手順(全37項目)
- 継続計画および災害復旧計画の策定
- 継続計画および災害復旧計画のテスト
- サイバーセキュリティ保険の維持
- 構成管理システムの確立
- 変更管理手順の実施
- 本番環境へのアクセス制限
- 開発ライフサイクルの確立
- SOC2─システムの説明
- 内部告発方針の制定
- 取締役会による監督説明会の実施
- 取締役会憲章の文書化
- 取締役会の専門知識の開発
- 取締役会の実施
- バックアッププロセスの確立
- システム変更の外部への伝達
- 経営陣の役割と責任の明確化
- 組織構造の文書化
- 役割と責任の明確化
- セキュリティポリシーの策定と見直し
- サポート体制の整備
- システム変更の周知
- アクセスレビューの実施
- アクセス要求の義務化
- インシデント対応計画のテスト
- インシデント対応ポリシーの策定
- インシデント管理手順の遵守
- 物理的アクセスプロセスの確立
- データセンターへのアクセスの検証
- 企業コミットメントの外部への伝達
- 外部サポートリソースの利用
- サービス内容の伝達
- リスクアセスメントの目的の特定
- リスク評価の実施
- リスク管理プログラムの策定
- 第三者契約の締結
- ベンダー管理プログラムの策定
- 脆弱性のスキャンと解決
データとプライバシー(全3項目)
- データ保持手順の確立
- 退職時の顧客データ削除
- データ分類方針の策定
VantaのTrustページから何が言えるのか
VantaのTrustページにある記載事項は先にご紹介した通りです。その内容をお客様のお求めになる項目や目的と照らし合わせてご確認いただけます。とはいえ、それぞれの事項が何を意味するのか解釈することが難しい場合もあるかもしれません。そこで、以下に、TrustページがKinstaのご利用者様にとって何を意味するのかご説明します。
インフラストラクチャのセキュリティ
Kinstaではインフラストラクチャのセキュリティ強化に全力を投じています。サーバーやホスティングソリューションは大事なお客様の情報を扱う、あらゆるサービスの土台となるものです。アクセスの制限から、異常事態検知システムの導入、ネットワークファイアウォールの導入と継続的な見直しまで施策を実施しています。
組織のセキュリティ
システムにとどまらず、Kinstaでは関係者のベストプラクティスの認識浸透と実践を徹底しています。Kinstaの従業員はもちろんのこと、サードパーティとの間の秘密保持契約の締結、ポータブルメディアの暗号化といった策を徹底しています。
製品のセキュリティ
データ暗号化を行いながら、統制状況を自己評価する仕組みを導入しています。さらに念を入れ侵入テストを実施し、脆弱性およびシステム監視手順の確立も行っています。
組織内部でのセキュリティ手順
取締役会による監督説明会の実施、取締役会憲章の文書化から、アクセスレビューの実施、必要最小限のアクセスの付与や要求の義務化、インシデント対応計画のテストまで、セキュリティ強化に欠かせない要素を網羅しています。なお、この項目にはSOC2報告書受領のためのシステムについての説明も含まれます。
データとプライバシー
データ保持の際に経るべき手順の確立、社員の退職時の関連する顧客データの削除、データ分類方針の策定などを実施しています。
Kinstaのセキュリティにかける思い
Kinstaでは高性能かつセキュアなクラウドホスティングとして、積極的にセキュリティの強度を客観的に証明する術を模索し、世界各国で第三者機関との連携を進めています。その結果として、Vantaを利用したSOC2報告書の受領にも成功しています。
サーバーやホスティングでは、ネットサービス利用者の個人を特定し得る情報が数多く扱われますので、インフラそのものからセキュリティを高め各種要件に厳格に従うことが重要です。VantaのTrustページにより、日本のお客様にはこれまで以上にご安心の上Kinstaのホスティングサービスをご利用いただけるはずです。
本ページ記載の内容が、お客様の事業や組織の個別の要件とどのように合致するのか、疑問点やご質問がございましたらお気軽に営業までご相談ください。VantaによるKinstaのTrustページ(原文:英語表記)はこちらからご覧いただけます。
現在、ISO27001の認証取得に取り組んでおり、2024年末の完了を目指しています。
