Big news for builders! OpenSpace BIM+ now available!

データホスティング、セキュリティ、お客様のデータ保護について

OpenSpaceでは、セキュリティとプライバシーに対する積極的なアプローチを誇りとしており、特に私たちに託された顧客データの量に注目しています。実際、私たちは6大陸93カ国で200億平方フィート以上のサイト画像を撮影しており、この数は飛躍的に増加しています。このたび、当社の情報セキュリティとプライバシーに関する方針、およびお客様の撮影データを保護するために当社がとっている措置について、より詳細にご説明いたします。

セキュリティデザイン

OpenSpaceのセキュリティプログラムの中核となる考え方は、顧客データを保護し、顧客の信頼を維持することです。OpenSpaceは、組織全体でセキュリティのレイヤーを実装するために、深層防衛のアプローチを使用しています。私たちは、新しいセキュリティ制御を定義し、既存のものを継続的に洗練させることに情熱を注いでいます。私たちのセキュリティプログラムは、コンプライアンスや規制要件だけでなく、OWASP Top 10、CIS Benchmarks、ISO 27001、脅威インテリジェンスなどの業界のベストプラクティスによって推進されています。

脆弱性対応

OpenSpaceのセキュリティチームは、当社の技術を包括的にカバーするために、業界で認知されたさまざまなツールを使用して、脆弱性検知に対する多層的なアプローチをしています。OpenSpaceのプラットフォームに対して、定期的に脆弱性スキャンを実施しています。ネットワークベースとアプリケーションレベルの脆弱性スキャンにより、最新の脆弱性を検出し、対応を保証します。静的コード解析は、最新のコードを自動的にレビューし、開発ライフサイクルの早い段階で潜在的なセキュリティ上の欠陥を検出します。定期的なスキャンにより、OpenSpaceは多くのセキュリティ脅威の一歩先を行くことができます。

OpenSpaceは、業界で認知されたサードパーティを招き、毎年ペネトレーションテストを実施しています。侵入テストはOpenSpaceのテクノロジースタックのアプリケーション層とネットワーク層に対して行われ、侵入テスト担当者は評価すべき潜在的なベクトルの種類を最大化するために、OpenSpace製品のネットワークに内部アクセスすることができます。

プライバシー保護

OpenSpaceは、お客様からお預かりしたデータプライバシーの維持に努めています。OpenSpaceのプラットフォームに保存されたデータはお客様のものであり、私たちはそれを保護するためにセキュリティプログラムを導入し、利用規約、プライバシーポリシー、マスターサービス契約で許可された範囲でのみ使用します。お客様のデータを顧客間で共有、販売することはありません。

OpenSpaceはグローバルの市場でソリューションを提供しているため、異なる国毎のプライバシープログラムに準拠するための管理を実施しています。つまり、OpenSpace は、非識別化、暗号化、厳格なアクセスコントロールなどを通じて、個人を特定できる情報(PII)を保護するための措置をとっています。OpenSpaceはお客様のデータ処理業者であり、GDPR、CCPA、PIPEDA、および別途DPA契約が必要となるその他のグローバルな枠組みのコンプライアンスを維持する必要があるお客様には、データ処理契約(DPA)が用意されています。

データは、当社との契約において指定された国において地理的に位置づけられたままです。お客様の書面による同意なしに、お客様のデータを地理的なプライバシー地域の外に転送することは決してありません。

OpenSpaceのSOC2とセキュリティへの取り組み

OpenSpaceは、SaaSの中でも権威のあるこのステータスを取得するために、厳格な第三者監査を通過しました。コンプライアンスに関するレポートは、秘密保持契約を締結したお客様および見込み客に公開しています。

SOC2レポートとは何ですか?

SOCとは、System & Organization Controlsの略で、AICPAが定めた基準です。AICPAは、情報セキュリティ、プライバシー、機密保持、リスク管理、変更管理などに関する企業の統制、プロセス、方針を包括的に評価するためにSOC2を開発しました。

SOC2監査は、監査対象となる「信頼性サービス原則」に基づいて、さまざまなレベルがあります。OpenSpaceが選択し、お客様に提供するサービスに関連する3つのTrust Service Principlesは以下の通りです。

  • セキュリティ
  • 可用性
  • 機密保持

GDPR、PIPEDA、CCPAなどの情報セキュリティやプライバシーに関する法律は、OpenSpaceがお客様のデータを安全に取り扱うことを証明するために、このような監査が重要であることを意味しています。コントロールが効果的に実行されているという証拠は、監査人によってレビューされ、テストされます。コントロールとテストの結果は、レポートで確認できます。

サイバー・エッセンシャルズ

オープンスペースは、IASME Consortium Ltd.によるCyber Essentials認証を受けています。この認証は、顧客データを保護するための適切な対策と防御策を講じ、サイバー脅威に対するITの安全確保に継続的に取り組んでいることを証明するものです。

 

サイバー・エッセンシャルズとは何ですか?

Cyber Essentialsは、政府が支援し、第三者によって検証された自己評価認証で、あらゆる規模の企業が最も一般的なさまざまなサイバー攻撃から身を守り、サイバー犯罪者などから不要な注目を浴びないよう支援するものです。この認証を取得するために、当社はサイバーセキュリティに関する5つの分野のアセスメントを完了し、その後、資格のあるアセッサーが当社が提供した情報を検証しました:

1.ファイアウォール
2.安全な設定
3.セキュリティ更新管理
4.ユーザーアクセス制御
5.マルウェア保護

弊社の認証はこちらよりご覧になれます。See our certificate at: https://registry.blockmarktech.com/organisations/USOTH781107251/

データホスティング

OpenSpaceは世界9地域にまたがっており、地域のビルダーや政府機関は、それぞれの地域のOpenSpaceを利用することができます。EMEAのデータサービス拠点は、ロンドン、フランクフルト、サウジアラビアにあります。APACのデータサービス拠点は、シドニーとシンガポールと中国にあります。日本のデータサービス拠点はAWSのサーバー都市のいずれかになります:東京、大阪。

米国については、米国のAWS西リージョンを利用しています。カナダのデータサービス拠点はカナダ中央リージョンにあります。お客様は、データがどのロケーションでホストされるかを選択することができます。

今後の対応

SOC 2準拠の重要な部分は、セキュリティシステムとプロセスに対する継続的な遵守と改善です。SOCの基準は、技術的なエコシステムの変化に伴って変化しており、最新の状態に保つためには、コントロールの継続的な改善が必要です。OpenSpaceは、お客様にデータの安全性を確信していただくためのミッションとして、SOC 2 Type IIの監査を毎年実施する予定です。また、OpenSpaceはセキュリティプログラムの基盤としてISO27001を選択し、ISO認証を取得しています。OpenSpaceのセキュリティチームへの質問がある場合は、compliance@openspace.ai、直接お問い合わせください。

セキュリティとプライバシーに関するFAQ

データセキュリティ

Q: OpenSpaceはSOC2レポートを提供できますか?
A: OpenSpaceは、販売前と販売後のお客様に、秘密保持契約(NDA)を締結していただくことで、SOC2レポートを提供しています。OpenSpaceのライセンスを購入する必要はありません。NDAは、販売代理店を通じて取得するか、support@openspace.ai までご連絡ください。

Q: OpenSpace は ISO 27001 認証を取得していますか?
A: ISO 27001 認証取得に向けて取り組んでおります。取得後 Web サイトで発表いたします。

Q: OpenSpace が実装しているセキュリティフレームワークは何ですか?
A: OpenSpace は、ISO 27001/Annex A で要求されるコントロールと、FedRAMP Moderate (NIST 800-53) で要求されるコントロールを組み合わせて実装しています。

Q: お客様がOpenSpaceのプラットフォームのペネトレーションテストを行うことは可能ですか?
A: いいえ。これはOpenSpaceのセキュリティチームによって攻撃と認識され、インシデントレスポンスが実行されます。OpenSpaceは、認定されたサードパーティを使って定期的にペネトレーションテストを行っています。これらのテストに関する情報は、SOC2レポートに記載されており、NDA 内で入手可能です。

Q: OpenSpaceは多要素認証(MFA)、SAML 2.0、OpenID Connectをサポートしていますか?
A: OpenSpaceでは、Azure Active DirectoryやOktaなどのOpenID Connect(OIDC)またはSAML 2.0をサポートする独自のIDプロバイダ(IdP)にアクセスをフェデレートすることができます。お客様は、社内のセキュリティ計画に従って、独自のアクセス制御要件を実装することができます。

Q: OpenSpaceは顧客データをどのように分類していますか?
A: すべての顧客データは、機密情報とみなされます。個人を特定できるような情報は、それに応じて取り扱われます。

Q: ユーザーの認証はどのように行われるのですか?
A: お客様は、固有のユーザー名とパスワードを使ってサインインするか、独自のIDプロバイダー(IdP)にIDアクセス管理をフェデレートすることができます。

Q: OpenSpaceは、お客様のシステムとの統合が必要でしょうか?
A: OpenSpaceは、サードパーティとの統合を必要としません。

Q: OpenSpaceはお客様のシステムと直接統合しますか?
A: いいえ。OpenSpaceは、認証を除いて、お客様のシステムと直接統合することはありません。

Q: データはどこに保存されていますか?また、データの安全性はどのように確認できますか?
A: OpenSpaceでは、データセキュリティを重要視しています。プライバシーシールドの認証を取得しており、世界で最も厳しいセキュリティポリシーであるEUのGDPRにも準拠しています。顧客、ユーザー、ユースケースに関わらず、システムに保存されているすべての情報は等しく重要であり、非常に機密性が高いものとして扱っています。すべての顧客データは、転送時にTLS暗号化され、静止時には業界標準の256ビットAES暗号化で暗号化されています。当社のデータはAWSで保管されています。セキュリティポリシーの詳細は、Amazon Securityをご覧ください。

プライバシー保護

Q: OpenSpaceにはプライバシーポリシーはありますか?
A: OpenSpaceの最新のプライバシーポリシーは、https://www.openspace.ai/ja/privacy-policy/で公開されています。

Q: OpenSpaceはどのようなデータをどのような目的で収集しますか?
A: 最新のプライバシーポリシーをご確認ください。

Q: OpenSpaceはどのようなプライバシー規制を遵守していますか?
A: 多くの国で行われているように、OpenSpaceもEU一般データ保護規則(GDPR)をプライバシーの最低限の基準としています。OpenSpaceは、個々の顧客と協力して、特定の規制要件を満たすための最善の方法を決定します。

Q: データ管理者は誰ですか?
A: お客様は、個人情報のすべてを収集し、提供する責任を負います。したがって、お客様がその対象データのデータ管理者です。

Q: OpenSpaceは、個人情報保護に関してどのような役割を担っていますか?
A: OpenSpaceはデータ処理者です。

Q: OpenSpaceはお客様とデータ処理契約を締結するのでしょうか?
A: はい、お客様の営業担当がDPAを提供することができます。DPAを完全に記入してからOpenSpaceに送ってください。OpenSpaceに送信されたデータの処理について不明な点がある場合は、営業担当にご相談ください。

Q: データはどこに保存され、処理されますか?
A: データは、お客様が選択した1つの地域に保存され、処理されます。どの地域が利用可能かについては、営業担当にお問い合わせください。OpenSpaceは常に拡張を続け、お客様のデータを保存・処理するための新しい地域を追加しています。

Q: OpenSpacesのパートナー、ベンダー、顧客にはどのような人がいますか?
A: ポリシーとして、OpenSpaceはパートナー、顧客、ベンダーの名前を公表していません。