データホスティング、セキュリティ、お客様のデータのプライバシーについて

OpenSpaceは、セキュリティとプライバシーについての考え方、また私たちに託された顧客データの量に自信を持っています。実際、私たちは6大陸91カ国で10億平方メートル以上のサイト画像を撮影しており、この数は飛躍的に増加しています。この度、当社の情報セキュリティとプライバシー保護に関する方針、およびお客様の撮影データを保護するために実施している措置について、より詳しく説明させていただきます。

セキュリティデザイン

OpenSpaceのセキュリティプログラムの中核となる考え方は、お客様のデータを保護し、お客様の信頼を維持することです。OpenSpaceは、多層防護のアプローチにより、組織全体にわたってセキュリティのレイヤーを実装しています。私たちは、新しいセキュリティ制御を定義し、既存の制御を継続的に改良することに情熱を注いでいます。OpenSpaceのセキュリティプログラムは、コンプライアンスや規制要件だけでなく、OWASP Top 10、CIS Benchmarks、ISO 27001、脅威インテリジェンスなどの業界のベストプラクティスによって推進されています。

脆弱性対応

OpenSpaceのセキュリティチームは、当社の技術を包括的にカバーするために、業界で認知されたさまざまなツールを使用して、脆弱性検知に対する多層的なアプローチをしています。OpenSpaceのプラットフォームに対して、定期的に脆弱性スキャンを実施しています。ネットワークベースとアプリケーションレベルの脆弱性スキャンにより、最新の脆弱性を検出し、対応を保証します。静的コード解析は、最新のコードを自動的にレビューし、開発ライフサイクルの早い段階で潜在的なセキュリティ上の欠陥を検出します。定期的なスキャンにより、OpenSpaceは多くのセキュリティ脅威の一歩先を行くことができます。

OpenSpaceは、業界で認知されたサードパーティを招き、毎年ペネトレーションテストを実施しています。侵入テストはOpenSpaceのテクノロジースタックのアプリケーション層とネットワーク層に対して行われ、侵入テスト担当者は評価すべき潜在的なベクトルの種類を最大化するために、OpenSpace製品のネットワークに内部アクセスすることができます。

プライバシー保護

OpenSpaceは、お客様からお預かりしたデータプライバシーの維持に努めています。OpenSpaceのプラットフォームに保存されたデータはお客様のものであり、私たちはそれを保護するためにセキュリティプログラムを導入し、利用規約、プライバシーポリシー、マスターサービス契約で許可された範囲でのみ使用します。お客様のデータを顧客間で共有、販売することはありません。

OpenSpaceはグローバルの市場でソリューションを提供しているため、異なる国毎のプライバシープログラムに準拠するための管理を実施しています。つまり、OpenSpace は、非識別化、暗号化、厳格なアクセスコントロールなどを通じて、個人を特定できる情報(PII)を保護するための措置をとっています。OpenSpaceはお客様のデータ処理業者であり、GDPR、CCPA、PIPEDA、および別途DPA契約が必要となるその他のグローバルな枠組みのコンプライアンスを維持する必要があるお客様には、データ処理契約(DPA)が用意されています。

データは、当社との契約において指定された国において地理的に位置づけられたままです。お客様の書面による同意なしに、お客様のデータを地理的なプライバシー地域の外に転送することは決してありません。

OpenSpaceのSOC2とセキュリティへの取り組み

OpenSpaceは、SaaSの中でも権威のあるこのステータスを取得するために、厳格な第三者監査を通過しました。コンプライアンスに関するレポートは、秘密保持契約を締結したお客様および見込み客に公開しています。

SOC2レポートとは何ですか?

SOCとは、System & Organization Controlsの略で、AICPAが定めた基準です。AICPAは、情報セキュリティ、プライバシー、機密保持、リスク管理、変更管理などに関する企業の統制、プロセス、方針を包括的に評価するためにSOC2を開発しました。

SOC2監査は、監査対象となる「信頼性サービス原則」に基づいて、さまざまなレベルがあります。OpenSpaceが選択し、お客様に提供するサービスに関連する3つのTrust Service Principlesは以下の通りです。

  • セキュリティ
  • 可用性
  • 機密保持

GDPR、PIPEDA、CCPAなどの情報セキュリティやプライバシーに関する法律は、OpenSpaceがお客様のデータを安全に取り扱うことを証明するために、このような監査が重要であることを意味しています。コントロールが効果的に実行されているという証拠は、監査人によってレビューされ、テストされます。コントロールとテストの結果は、レポートで確認できます。

今後の対応

SOC2準拠の重要な部分は、セキュリティシステムとプロセスに対する継続的な順守と改善です。SOCの基準は、技術的なエコシステムによって変化し、最新の状態に保つためには、コントロールに対する継続的な改善が必要です。OpenSpaceは、お客様のデータの安全性を確保するためのミッションとして、SOC 2 Type IIの監査を毎年実施する予定です。

また、OpenSpaceはセキュリティプログラムの基礎としてISO 27001認証の取得を進めています。OpenSpaceのセキュリティチームに質問がある場合は、compliance@openspace.ai まで直接ご連絡ください。

 

セキュリティとプライバシーに関するFAQ

データセキュリティ

Q: OpenSpaceはSOC2レポートを提供できますか?
A: OpenSpaceは、販売前と販売後のお客様に、秘密保持契約(NDA)を締結していただくことで、SOC2レポートを提供しています。OpenSpaceのライセンスを購入する必要はありません。NDAは、販売代理店を通じて取得するか、support@openspace.ai までご連絡ください。

Q: OpenSpace は ISO 27001 認証を取得していますか?
A: ISO 27001 認証取得に向けて取り組んでおります。取得後 Web サイトで発表いたします。

Q: OpenSpace が実装しているセキュリティフレームワークは何ですか?
A: OpenSpace は、ISO 27001/Annex A で要求されるコントロールと、FedRAMP Moderate (NIST 800-53) で要求されるコントロールを組み合わせて実装しています。

Q: お客様がOpenSpaceのプラットフォームのペネトレーションテストを行うことは可能ですか?
A: いいえ。これはOpenSpaceのセキュリティチームによって攻撃と認識され、インシデントレスポンスが実行されます。OpenSpaceは、認定されたサードパーティを使って定期的にペネトレーションテストを行っています。これらのテストに関する情報は、SOC2レポートに記載されており、NDA 内で入手可能です。

Q: OpenSpaceは多要素認証(MFA)、SAML 2.0、OpenID Connectをサポートしていますか?
A: OpenSpaceでは、Azure Active DirectoryやOktaなどのOpenID Connect(OIDC)またはSAML 2.0をサポートする独自のIDプロバイダ(IdP)にアクセスをフェデレートすることができます。お客様は、社内のセキュリティ計画に従って、独自のアクセス制御要件を実装することができます。

Q: OpenSpaceは顧客データをどのように分類していますか?
A: すべての顧客データは、機密情報とみなされます。個人を特定できるような情報は、それに応じて取り扱われます。

Q: ユーザーの認証はどのように行われるのですか?
A: お客様は、固有のユーザー名とパスワードを使ってサインインするか、独自のIDプロバイダー(IdP)にIDアクセス管理をフェデレートすることができます。

Q: OpenSpaceは、お客様のシステムとの統合が必要でしょうか?
A: OpenSpaceは、サードパーティとの統合を必要としません。

Q: OpenSpaceはお客様のシステムと直接統合しますか?
A: いいえ。OpenSpaceは、認証を除いて、お客様のシステムと直接統合することはありません。

Q: データはどこに保存されていますか?また、データの安全性はどのように確認できますか?
A: OpenSpaceでは、データセキュリティを重要視しています。プライバシーシールドの認証を取得しており、世界で最も厳しいセキュリティポリシーであるEUのGDPRにも準拠しています。顧客、ユーザー、ユースケースに関わらず、システムに保存されているすべての情報は等しく重要であり、非常に機密性が高いものとして扱っています。すべての顧客データは、転送時にTLS暗号化され、静止時には業界標準の256ビットAES暗号化で暗号化されています。当社のデータはAWSで保管されています。セキュリティポリシーの詳細は、Amazon Securityをご覧ください。

プライバシー保護

Q: OpenSpaceにはプライバシーポリシーはありますか?
A: OpenSpaceの最新のプライバシーポリシーは、https://www.openspace.ai/ja/privacy-policy/で公開されています。

Q: OpenSpaceはどのようなデータをどのような目的で収集しますか?
A: 最新のプライバシーポリシーをご確認ください。

Q: OpenSpaceはどのようなプライバシー規制を遵守していますか?
A: 多くの国で行われているように、OpenSpaceもEU一般データ保護規則(GDPR)をプライバシーの最低限の基準としています。OpenSpaceは、個々の顧客と協力して、特定の規制要件を満たすための最善の方法を決定します。

Q: データ管理者は誰ですか?
A: お客様は、個人情報のすべてを収集し、提供する責任を負います。したがって、お客様がその対象データのデータ管理者です。

Q: OpenSpaceは、個人情報保護に関してどのような役割を担っていますか?
A: OpenSpaceはデータ処理者です。

Q: OpenSpaceはお客様とデータ処理契約を締結するのでしょうか?
A: はい、お客様の営業担当がDPAを提供することができます。DPAを完全に記入してからOpenSpaceに送ってください。OpenSpaceに送信されたデータの処理について不明な点がある場合は、営業担当にご相談ください。

Q: データはどこに保存され、処理されますか?
A: データは、お客様が選択した1つの地域に保存され、処理されます。どの地域が利用可能かについては、営業担当にお問い合わせください。OpenSpaceは常に拡張を続け、お客様のデータを保存・処理するための新しい地域を追加しています。

Q: OpenSpacesのパートナー、ベンダー、顧客にはどのような人がいますか?
A: ポリシーとして、OpenSpaceはパートナー、顧客、ベンダーの名前を公表していません。