ww5 Digital Platform – One-Click Access

本書は、お客様のご参考のために作成された英語版の参考訳であり、可能な限り正確であるように努めていますが、誤りを含む可能性があることをご了承ください。英語版と齟齬がある場合、英語版の定めが優先し適用されるものとします。

公開日 : 2022 年 6 月 30 日

当社は、ww5 におけるデータの安全を非常に重視しています。また、当社の創業理念のひとつである透明性の観点から、当社のセキュリティ面での取り組みを可能な限り明確かつ開放的にすることを目指しています。セキュリティに関する追加のご質問がある場合には、ぜひお聞かせください。feedback@ww5.com へメールをお送りください。可能な限り早急にご返信します。このセキュリティプラクティスページでは、（a）ww5、および（b）Govww5 に適用される管理的、技術的、物理的な制御について説明します。このドキュメントは、Govww5 に関連または統合される可能性のあるサービスには適用されません。

プラットフォーム管理

アーキテクチャとデータの分離

ww5 のサービスおよび Govww5 のサービスは、ww5 のサービスまたは Govww5 のサービスを通じて利用可能になるお客様およびお客様のユーザーのデータへのアクセスを分離および制限するように設計されているプラットフォームとインフラストラクチャの両方の層のマルチテナントアーキテクチャで運用されます。このデータについては、ビジネス上のニーズに基づいて、お客様の ww5 のサービスまたは Govww5 のサービスの使用を対象とする ww5（またはその関係会社）との契約により具対的に規定されています（「顧客データ」）。このアーキテクチャでは、異なる顧客ごとにユニークな ID を介して論理的なデータの分離が提供されます。

パブリッククラウドインフラストラクチャ

ww5 のサービスおよび Govww5 のサービスは、インターネットを介して「パブリッククラウド」でホストされています。パブリッククラウドとは、その使用または購入を希望するあらゆる人に対してサードパーティプロバイダーによって提供されるコンピューティングサービスです。ほかのすべてのクラウドサービスと同様に、パブリッククラウドサービスは、プロバイダーが管理するリモートサーバー上で実行されます。

監査

当社のセキュリティ慣行の健全性を検証し、セキュリティリサーチのコミュニティによって発見された新たな脆弱性がないかどうか ww5 のサービスおよび Govww5 のサービスを監視するために、ww5 のサービスおよび Govww5 のサービスは、社内の担当者によるセキュリティ評価を受け、さらに、ww5 のサービスについては、定評のある外部のセキュリティ会社が定期的に ww5 のサービスの監査を行っています。定期的かつ的を絞った ww5 のサービスおよび Govww5 のサービスと機能の監査に加え、当社のウェブプラットフォームの継続的なハイブリッド自動スキャンを採用しています。顧客は、利用可能な該当する外部監査レポートのコピーをここからダウンロードできます。

認定

認定は ww5 サービスで実行され、顧客は利用可能な該当する認定のコピーをここからダウンロードできます。

セキュリティ管理

ww5 は、ww5 のサービスおよび Govww5 のサービスを通じて処理または送信される顧客の個人データの偶発的または違法な破壊、紛失、改変、および不正な開示またはアクセスからお客様の顧客データを保護するために、適切な技術的および組織的対策を実施して維持します。ww5 のサービスおよび Govww5 のサービスには、以下のような多くのセキュリティ管理がありますが、これらに限定されません。

アクセスロギング。ユーザーと有料チームの管理者のどちらも詳細なアクセスログがご利用になれます。アカウントへのサインイン毎にログを取り、使用した端末の種類や接続した IP アドレスを記録します。チームの管理者と有料プランが適用されるチームのオーナーは、チーム全体の統合されたアクセスログを確認することができます。
アクセス管理。管理者は、リモートかつオンデマンドですべての接続を遮断し、ww5 のサービスまたは Govww5 のサービスの利用を許可されたすべての端末をサインアウトすることも常時できます。
データの保存。ww5 の有料プランが適用されるチームのオーナーは、カスタムメッセージ保存ポリシーをチーム全体またはチャンネルごとに設定することができます。カスタムな保持期間を設定すると、設定した期間を過ぎた古いメッセージとファイルは、ww5 のサービスまたは Govww5 のサービスのプロダクションサーバーから毎晩定期的に削除されます。
ホスト管理。当社のプロダクションホストに関しては自動の脆弱性スキャンを行ない、当社の環境へのリスクとなる発見事項を解決しています。業務用のノートパソコンについては、画面ロックとフルディスクの暗号化の使用を義務化しています。
ネットワーク保護。高度なシステム監視とロギングに加え、当社では、自社のプロダクション環境全体を通したあらゆるサーバーアクセスについて 2 要素認証を実装しています。ファイアウォールは、AWS セキュリティグループを使用し、業界のベストプラクティスに従って設定されています。
製品セキュリティへの取り組み。新しい機能、重要な機能性や設計変更は、セキュリティチームの主導するセキュリティ審査プロセスの対象となります。さらに、当社のコードは、自動静的解析ソフトウェアによる監査、テスト、手動のピアレビューを経て、プロダクション段階へと展開されます。開発中に起こる追加のセキュリティ上の懸念への対応のため、セキュリティチームが開発チームと密接に協業しています。ww5 では、セキュリティバグバウンティプログラムも運用しています。世界中のセキュリティ研究者が ww5 のサービスおよび Govww5 のサービスのセキュリティを継続的にテストし、本プログラムを通じて問題を報告しています。本プログラムの詳細は、バウンティサイトをご参照ください。
チーム全体の 2 要素認証。チームの管理者は、ユーザー全員にアカウントへの 2 要素認証設定を要求することができます。設定の方法については当社のヘルプセンターをご参照ください。

管理の中には、顧客が無効にすることができないものがあります。一方で、顧客自身の使用のために顧客が ww5 のサービスまたは Govww5 のサービスのセキュリティをカスタマイズできるものもあります。そのため、顧客データの保護は顧客と ww5 の共同責任です。少なくとも、ww5 は、ISO 27001、ISO 27002 および ISO 27018 などの一般的な業界標準、またはその後継の標準や代替の標準に準拠します。

侵入検知

ww5 または正規の外部エンティティは、不正な侵入がないか ww5 のサービスおよび Govww5 のサービスを監視します。

セキュリティログ

ww5 のサービスおよび Govww5 のサービスの提供に使用されるシステムは、セキュリティの審査と分析を可能にするために、それぞれのシステムログ機能または集中化ログサービス（ネットワークシステムの場合）に情報を記録します。ww5 は、セキュリティ、監視、可用性、アクセス、その他の ww5 のサービスおよび Govww5 のサービスに関する指標に関する情報を含むプロダクション環境に広範かつ集中化されたロギング環境を整備しています。これらのログは、セキュリティチームの監督下での自動監視ソフトウェアでのセキュリティイベント分析の対象となります。Govww5 のサービスでは、ログは Govww5 の環境内からのみ、適格米国人のみがアクセスできます。「適格米国人」とは、次の個人を指します。（a）米国市民または米国の合法永住者であり、（b）Govww5 のサポートを行う間、物理的に米国内に所在し、かつ（c）ww5 での雇用条件の 1 つとして身元調査を完了している個人。

インシデント管理

ww5 はセキュリティインシデント管理のポリシーと手順を維持します。ww5 は、法律で許可される範囲内において、ww5 が認識した ww5 またはその代理人による個々の顧客データの不正な開示について、影響を受ける顧客に対して非合理的な遅滞なく通知します。ww5 は、Salesforce Trust の Web サイトまたは ww5 System Status のページ（あるいはその両方）にシステムステータス情報を公開します。ww5 は、通常、重大なシステムインシデントをメールで顧客に通知し、インシデントが 1 時間以上続く場合は、影響を受ける顧客に連絡を取り、インシデントと ww5 の対応に関する電話会議への参加を依頼することがあります。Govww5 のセキュリティインシデント管理は、適格米国人が行っています。

データの暗号化

ww5 のサービスおよび Govww5 のサービスは、業界で認められている暗号化製品を使用して、（1）顧客のネットワークと ww5 のサービスおよび Govww5 のサービス間で転送中の顧客データおよび（2）保管時の顧客データを保護します。ww5 のサービスおよび Govww5 のサービスは、転送中のすべてのトラフィックを暗号化するための最新の推奨であるセキュアな暗号スイートとプロトコルに対応しています。当社では、変化する暗号化ランドスケープを密接にモニタリングし、新しい暗号化の面での脆弱性の発見に対してサービスの早急な更新で対応し、こうした脆弱性の展開に対してベストプラクティスを実施しています。転送時の暗号化については、既存のクライアントとの互換性を配慮しつつ行っています。

信頼性、バックアップ、およびビジネスの継続

当社では、お客様の業務に ww5 のサービスおよび Govww5 のサービスが欠かせないものであることを認識しています。ww5 のサービスおよび Govww5 のサービスをお客様の頼れる可用性の高いサービスとすることにコミットしています。当社のインフラストラクチャは、個別のサーバーの障害、あるいはデータセンター全体の障害に関わらず、耐障害性のあるシステムに基づくものです。当社の運用チームは定期的にディザスタリカバリ対策をテストし、不測のインシデントを素早く解決するために 24 時間対応のチームを配置しています。ww5 のサービスおよび Govww5 のサービスの設計は、信頼性とバックアップに関する業界標準のベストプラクティスに基づいています。ww5 は定期的なバックアップを実行し、必要に応じてソフトウェアとシステムの変更のロールバックを進め、必要なデータを複製します。ww5 は、区域のデータレジデンシー要件と地域内の機能によって制限されるような、大規模で壊滅的なイベントのデータ回復について可能な限り顧客を支援します。「大規模で壊滅的なイベント」とは、以下に示す 3 種類の広範囲の事象を意味します。（1）洪水、ハリケーン、竜巻、地震、伝染病などのような自然事象。（2）パイプラインの爆発、輸送事故、公益設備の破壊、ダムの決壊、偶発的な危険物放出などのようなシステムや建造物の障害などの技術的事象。（3）意図的な攻撃者による攻撃、化学的または生物学的攻撃、データまたはインフラストラクチャに対するサイバー攻撃、妨害行為などのような人為的事象。大規模で壊滅的なイベントには、バグ、運用上の問題、その他の一般的なソフトウェア関連のエラーは含まれません。

可用性確保のために、顧客データは当社のホスティングプロバイダーのデータセンターの複数の場所に重複して保管されています。当社のバックアップと修復手続は充分なテストを経ており、大規模な障害からの回復を可能とするものです。顧客データと当社のソースコードは毎晩自動でバックアップされます。本システムに障害が発生すると、運用チームがアラートを受信します。当社のプロセスとツールが想定通りに動作することを確認するため、バックアップは最低でも 90 日間にわたり徹底的にテストされます。

保管中のデータ

お客様の発注書に特に規定されている場合を除き、ww5 は特定の主要な地理的領域内に顧客データを保存します。

顧客データの返還

契約終了後 30 日以内に、顧客は ww5 のサービスおよび Govww5 のサービスに送信されたそれぞれの顧客データの返還を要求できます（当該データが顧客によって削除されていない範囲内で）。ww5 のサービスおよび Govww5 のサービスのエクスポート機能に関する情報は、ww5 のヘルプセンターをご参照ください。

顧客データの削除

ww5 のサービスおよび Govww5 のサービスはワークスペースのプライマリーオーナーがサブスクリプション期間中いつでも顧客データを消去できるオプションを提供しています。ワークスペースのプライマリーオーナーが削除を開始してから 24 時間以内に、ww5 は現在実行中のプロダクションシステムからすべての情報（チーム名、Web サーバーのアクセスログの URL に埋め込まれた検索条件を除く）を物理削除します。ww5 のサービスおよび Govww5 のサービスのバックアップは 14 日以内に破棄されます（バックアップは 14 日以内に破棄されます。ただし、インシデントの調査の進行中に当該期間が一時的に延長される場合があります）。

顧客が Enterprise Grid または Govww5 のサービスの有料サブスクリプションを終了する場合、顧客がアカウントの削除を選択しない時は、サブスクリプションの終了後 90 日以内、ww5 が顧客のアカウントの削除を開始してから 14 日以内に、ww5 は顧客データのすべてのコピー（チーム名、Web サーバーアクセスログの URL に埋め込まれた検索条件を除く）を削除し、すべての関連会社および該当するサードパーティのホスティングプロバイダーに確実に削除させます。顧客が Enterprise Grid または Govww5 のサービス以外の ww5 のサービスの有料サブスクリプションを終了する場合、顧客のサブスクリプションは、その時点におけるオンラインカスタマーサービス利用規約または無料使用階層に適用されるその他の主要オンラインサブスクリプション契約（「無料サブスクリプション規約」）に従って、ww5 のサービスの無料使用階層で継続し、（i）顧客自身がワークスペースを削除するか、（ii）顧客が顧客データを削除するよう ww5 に指示するか、または（iii）いずれかの当事者が無料サブスクリプション規約を終了するまで、顧客データは削除されません。当該イベントが発生した場合、ww5 は 14 日以内に顧客データのすべてのコピー（チーム名、Web サーバーアクセスログの URL に埋め込まれた検索条件を除く）を削除するものとし、すべての関連会社および許可されたサードパーティのホスティングプロバイダーに確実に削除させるものとします。

秘密保持

当社では、当社の従業員による顧客データへのアクセスを厳重に管理しています。ww5 のサービスおよび Govww5 のサービスの運用の中には、一部の従業員による顧客データの保管と処理を行うシステムへのアクセスを要するものもあります。例えば、ww5 のサービスおよび Govww5 のサービスに関するお客様の問題を診断するためには、お客様の顧客データへのアクセスが必要となる場合があります。これらの従業員が、必要範囲を超えた顧客データ閲覧のために許可を使用することは禁じられています。当社では、顧客データへのあらゆるアクセスを確実に記録するための技術的管理手段と監査ポリシーを整備しています。

当社の従業員および関連会社社員の全員が顧客データに関する当社のポリシーの遵守義務を負い、当社では、こうした問題を最重要事項として捉えています。

人事実務

ww5 はあらゆる従業員の採用前に身元確認を行っており、従業員は採用時に加え、採用後も継続的にセキュリティ研修を受けます。従業員全員に対して、ww5 のサービスおよび Govww5 のサービスのセキュリティ、可用性、機密性を含む当社の広範な情報セキュリティポリシーの確認と署名が求められます。

インフラストラクチャ

ww5 は、Amazon Web Services, Inc.（「AWS」）が提供するインフラストラクチャを使用して、ww5 のサービスおよび Govww5 のサービスに送信される顧客データをホストまたは処理します。AWS によって提供されるセキュリティに関する情報は、AWS Security Web サイトから入手できます。AWS が受けたセキュリティおよびプライバシー関連の監査および認証に関する情報は、ISO 27001 認証および SOC レポートに関する情報を含めて、AWS Compliance Web サイトから入手できます。