この記事は開発元GoAnimate,inc.のサイト「Vyond Security and Data Privacy」に基づいて記載しています。
VYONDはビジネスでの使用に対して安全性・安定性・情報セキュリティを最優先に考慮して開発を行っています。VYONDのセキュリティについてよりもさらに詳細に解説しました。※2020年9月25日現在の状況です。
VYONDのセキュリティに関しては、まずこちらをご確認くださいますようお願いいたします。
当社は、厳格なプロセスと管理を実施し、業界で認められた認証を取得し、関連するすべての法律を遵守することにより、最高水準の情報セキュリティとデータプライバシーを維持しています。
We maintain the highest standards of information security and data privacy by implementing rigorous processes and controls, achieving industry-recognized certifications, and complying with all relevant laws.
https://www.vyond.com/solutions/enterprise/security/
ISO/IEC 27001認証
情報セキュリティ管理に関して最も広く認められている国際規格の1つであるISO/IEC 27001規格は、クライアントデータを保護するために必要な情報セキュリティ制御を実施していることを認定しています。認定プロセスには、VYONDの情報セキュリティ管理システムと統制の厳格な監査が含まれており、独立した認定を受けた監査役チームによって判断された基準を満たすことができる企業にのみ授与されます。※VYONDは2019年7月に認証を取得しています。( Cert # is IS 668038.)
欧州連合(EU)一般データ保護規則(GDPR)
一般データ保護規則(GDPR)は、個人の個人データの保護と自由な移動に焦点を当てた包括的な規制です。個人データを取り扱う企業は、収集する前にインフォームド・コンセントを取得し、この情報を保護し、情報を共有する企業が同じ基準に従っていることを確認する必要があります。また企業は、取得した個人データを報告し、要求に応じて個人の情報を返却または破棄できる必要があります。VYONDを運営するGoAnimate Inc.はGDPRに準拠しています。
※GDPRは「General Data Protection Regulation」の略「EU一般データ保護規則」と言います。
EUにおける個人データ保護に関する法律で、EU議会、EU理事会、EU委員会により制定され、2018年5月25日に施行されました。保護対象となる個人データは次のとおりです。
・個人の画像、映像、音声
・Eメールアドレス
・顧客名簿など 顧客の氏名が含まれるもの
・従業員名簿、人事システムなど従業員や取引先企業担当者の氏名が含まれるもの
EU加盟国およびEEA加盟国の一般消費者、そして従業員に関する個人データほぼすべてが対象になります。また従業員IDやIPアドレスなど個人が識別できるデータも「個人データ」に該当します。
CCPA コンプライアンス
VYONDは、個人情報の処理がCCPAの要件と一致していることを確認するための措置を講じています。
※CCPAは「California Consumer Privacy Act」の略、「カリフォルニア州消費者プライバシー法」と言います。カリフォルニア州の住民を対象とした個人データの保護に関する法律で、2020年1月に施行されました。
CCPA間連文献 カリフォルニア州消費者プライバシー法(2018年)参照元:Personal Information Protection Commission, Government of Japan.
カリフォルニア州消費者プライバシー法 (CCPA) についてよく寄せられる質問 参照元:docs.microsoft.com
ホスティングとインフラストラクチャ
VYONDのサービスとしてのソフトウェア (SaaS) ソリューションは、アマゾン ウェブ サービス (AWS) が提供するクラウドサービスでホストされています。AWSは、業界で認められた認定および監査を備えた安全で耐久性のあるテクノロジープラットフォームです: PCI DSS レベル 1、FISMA モデレート、フェドランプ、HIPAA、および SOC 1 および SOC 2 監査レポートを受理しています。
※利用しているAWSのソリューションは以下の通りです。
The entire GoAnimate website is now on AWS. The team is using the following AWS Services:
Amazon Elastic Compute Cloud (Amazon EC2) to host its webservers
Amazon Relational Database Service (Amazon RDS) for its database
Amazon Simple Storage Service (Amazon S3) and Amazon CloudFront to serve static content
Amazon Simple Queue Service (Amazon SQS) to help coordinate asynchronous jobs such as video encoding anf outbougn e-mail processing
awsのセキュリティに関する項目は引用をご覧ください。
お支払い情報
VYONDは、お客様の支払いカード情報を電子的に収集、受け入れ、処理、処理、受信、送信、保管することはありません。支払処理およびサブスクリプションの処理のためにPCIDSSレベル1に準拠したサービスプロバイダーのみを利用します。
※株式会社ウェブデモでのお取引の場合は直接VYONDのシステムを使用していません。またウェブデモにおいても、クレジット決済情報はサービスプロバイダー(クレジット決済代行ゼウス株式会社)を使用しています。
侵入テストとモニタリング 24時間 365日の監視
VYONDのアプリケーションとITインフラストラクチャは、独立した企業による定期的な自動および手動脆弱性評価を受けています。これは、AWS 独自の独立したテスト、定期的な内部テスト、および専用チームによるセキュリティ関連イベントの24時間 365日の監視に加えて行われます。
VYOND運用チームは、さまざまなサービスコンポーネントに関連する監視ダッシュボードとメトリックを維持しています。また、イベントの重要性に応じて、さまざまなチャネルによる通知のための予防的なアラートコントロールも備えています。
サードパーティ ベンダー管理
VYONDは、ベンダーのセキュリティ評価と定期的なレビューに関する包括的なワークフローを維持しています。サードパーティベンダーと契約する前に、会社の管理チームと関係部門は徹底的なレビューを行い、情報セキュリティへの影響を調査します。当社は、顧客情報の悪用の潜在的な手段が早期に特定され、排除されることを確実にするために、サービス契約を綿密に見直します。ベンダーが選定されると、当社は、そのパフォーマンスと情報セキュリティについて定期的にレビューを行います。
アプリケーションセキュリティ
VYONDチームは、自動化された品質保証制御を組み込んだコードレビューを使用し、安全な開発方法論に従います。Vyondプラットフォームで利用されるソフトウェアコンポーネントは、公開された脆弱性データベースに対して定期的にチェックを行い、修復計画を容易にします。また、計画および仕様段階でセキュリティ上の懸念を提起します。
アクセス制御
アプリケーションは、いくつかの定義された入口および出口ポイントを持つ他の企業のネットワークから分離された分離された論理ネットワーク上のAWS Virtual Private Cloud(VPC)にデプロイされ、潜在的な攻撃面を最小限に抑え、セキュリティ監視を容易にします。ネットワーク上のサーバーへの管理アクセスには、承認された職場のネットワークから専用の暗号化されたトンネルを経由する必要があります。運用ネットワークにアクセスできるのは運用担当者だけです。
ネットワークファイアウォールは「deny-by-default」構成にあり、特定のサービスポートは有効なビジネスニーズでのみ開かれます。ユーザーアカウントは、知る必要のある認可と最小限の特権に基づいて付与されたアクセス権を持つユーザーに対してのみ作成されます。スタッフが退職すると、アカウントはすぐに無効化または削除されます。
シングル サインオンとパスワードのセキュリティ
VYONDアカウントで Office365 または Google シングル サインオン (SSO) を使用すると、高速で簡単なログインが可能になり、オンライン のセキュリティが向上します。
さらに厳しいセキュリティ ポリシーを持つ企業向けに、企業認証サービスと直接統合できるように設計されたローカル管理 SSO を提供しています。詳細については、こちらよりお問い合わせください。
SSO オプションも利用できない場合、VYOND Enterpriseでは、管理者に対して、パスワードの複雑さの要件、定期的に適用されるパスワードの変更、以前に使用したパスワードの使用を禁止する包括的なパスワード制御機能を提供します。
プライバシーシールド
EU-米国およびスイス・アメリカプライバシーシールドフレームワークは、大西洋横断商取引に従事する企業に対してデータ保護に関するガイダンスを提供するように設計されました。Similar to GDPR に対する当社の取り組みと同様に、当社はお客様の情報に対するお客様の管理を尊重し、当社が受け取るすべてのデータがプライバシー シールド フレームワークの適用原則に従うように最大限の注意を払います。VYONDを運営するGoAnimate Inc.は、EUと米国の両方に参加し、コンプライアンスを認定しています。
プライバシー シールド フレームワークの詳細と認定資格については、米国商務省のプライバシー シールドリストをご覧ください。 VYOND TRUSTeプライバシー検証
データの保存期間(※追記)
VYOND Studio内のデータ(プロジェクト・アップロードデータ)は契約内であれば、契約者自身が削除することが可能です。お客様の全てのデータは契約終了から18ヶ月間保存された後、自動的に抹消されます。
契約期間後のデータ保管期間についてはVYOND契約期間外となり、保存期間については確約するものではございません。※
※保存期間は予告なく変更される場合もございます。予めご了承ください。
引用
https://aws.amazon.com/jp/security/ AWSのセキュリティについて
Amazon EC2のセキュリティ
AWSは 89 のセキュリティ標準およびコンプライアンス認定もサポートしています。これには、PCI-DSS、HIPAA/HITECH、FedRAMP、GDPR、FIPS 140-2、NIST 800-171 などが含まれ、他のどのクラウドプロバイダーよりも多くのサポート数には、高い実利性があります。
Amazon S3のセキュリティ
データを Amazon S3 に保存し、暗号化機能とアクセス管理ツールを使用して不正なアクセスからデータを保護します。S3 は S3 Block Public Access を使用して、バケットレベルまたはアカウントレベルで、すべてのオブジェクトへのパブリックアクセスをブロックできる唯一のオブジェクトストレージサービスです。S3 は PCI-DSS、HIPAA/HITECH、FedRAMP、EU データ保護指令、および FISMA などのコンプライアンスプログラムを維持し、規制要件を満たしています。
Amazon SQSによる暗号化
Amazon SQS を使用すれば、サーバー側の暗号化 (SSE) によって各メッセージの本文を暗号化できるため、アプリケーション間で機密データをやり取りできます。
Amazon RDSのセキュリティと障害対応
Amazon RDS では、デプロイしたコンピューティングインスタンスにハードウェア障害が発生した場合、自動的に交換されます。
その他VYONDで使用しているAWSサービス(公開されているもの)
Elastic Load Balancing
https://aws.amazon.com/jp/elasticloadbalancing/
Amazon SimpleDB.
https://aws.amazon.com/jp/simpledb/
音声合成(TEXT to Speech)
https://aws.amazon.com/jp/polly/
FISMA
AWS では、米国政府機関のシステムを連邦情報セキュリティマネジメント法(Federal Information Security Management Act/FISMA)に準拠した状態で運用することが可能です。AWS インフラストラクチャは、システム所有者の承認プロセスの一環として、多様な政府機関システムの独立査定人によって評価されています。多数の米国政府機関の勤務者と国防省(DoD)が、NIST 800-37 および DoD Information Assurance Certification and Accreditation Process(DIACAP)に定義されているリスク管理フレームワーク(RMF)プロセスに従い、AWS クラウドでホストされているシステムのセキュリティ認可を達成しています。AWS の安全なインフラストラクチャによって、米国政府機関はクラウドコンピューティングのユースケースを拡張し、機密性の高い政府データとアプリケーションをクラウドにデプロイすると同時に、連邦規格の厳格なセキュリティ要件に準拠しています。AWS FISMA のコンプライアンスに関連する詳細をリクエストするには、AWS の営業および事業開発にお問い合わせください。
SOC
AWS System & Organization Control (SOC) レポートは、重要なコンプライアンス管理および目標を AWS がどのように達成したかを実証する、独立したサードパーティーによる審査報告書です。このレポートの目的は、お客様とお客様の監査人が、オペレーションとコンプライアンスをサポートするよう確立された AWS 統制を簡単に把握できるようにすることです。5 種類の AWS SOC レポートがあります。(AWSグローバルに対応)
その他のご質問
- AWSのリージョンはどこですか?
-
公開しておりません
- VYOND契約中のログインされた時間 IP等のログは提供いただけますか?
-
ログデータの提供サービスは行っておりません
- 特定のホワイトリストは提供できますか?
-
はい、こちらにてホワイトリスト一覧がございますので、ご確認ください。
https://animedemo.com/vyondbasic/security/#index_id3
※印の記載、追記以降は(株)ウェブデモにて追記したものです。2020年9月現在の情報です。予告なく変更する場合もございます。あらかじめご了承ください。
最後にVYONDの開発元 GoAnimate社のオフィスをご覧ください。GoAnimate社はUSカルフォルニアと香港、台湾にオフィスを構え、200名以上の社員がVYONDの開発を行っています。