One Identityのコンプライアンスへの取り組み

これらのレポートは、独立した第三者監査人によって発行され、セキュリティ、可用性、機密性、プライバシーの原則を網羅しています。

主な目的

One Identityのセキュリティおよびプライバシー管理環境の独立した評価を提供します。評価には、管理策の説明、管理策を評価するために実施した検証、これらの検証の結果、および管理策の設計と運用の有効性に関する総合的な意見が含まれます。

スコープ

One IdentityのSOC 2タイプ2レポートは、セキュリティ、可用性、機密性、プライバシーに関するAICPAのトラストサービス原則および基準を扱っています。また、このレポートでは、検証対象となる管理策をISO/IEC 27001:2013 Annex A / ISO/IEC 27002:2013、ISO/IEC 27017:2015、ISO/IEC 27018:2014、HIPAAセキュリティ要件、およびGLBA情報セキュリティに関するFFIECの審査指針と対応させています。

評価/監査の頻度

監査は毎年行われます。

主な対象者

ビジネス上のニーズを持つ顧客および関連する第三者。

ISO 27018:2019規格は、管理目的、管理策、指針の形で実施指針を提供しています。One Identityは、この基準に合わせて既存のプライバシー管理策を調整して、プライバシープログラムを強化しました。これらの管理策は、SOC 2タイプ2の定例レポートの一部としてその有効性が検証され、ISO 27001:2013認証の年次監査の一環として、独立機関がこの規格への準拠を監査しています。

主な目的

ISO 27018:2019規格は、管理目的、管理策、指針の形で実施指針を提供しています。この基準との整合により、One Identityのプライバシープログラムの適切性がさらに保証されています。

スコープ

One Identityのプライバシープログラムと推奨される管理目的、管理策、指針との整合性。

評価/監査の頻度

ISO 27018:2019の管理策は、定期的なSOC 2タイプ2レポート監査およびISO 27001:2013認証監査の一環としてその有効性が検証されます。

主な対象者

ビジネス上のニーズを持つ顧客および関連する第三者。

ISO 27017:2015規格は、クラウドサービスのプロバイダと利用者の双方に、管理目的、管理策、指針という形で実施指針を提供しています。One Identityは、この基準に合わせて既存のセキュリティ管理策を調整して、セキュリティプログラムを強化しました。これらの管理策は、SOC 2タイプ2の定例レポートの一部としてその有効性が検証され、ISO 27001:2013認証の年次監査の一環として、独立機関がこの規格への準拠を監査しています。

主な目的

ISO 27017:2015規格は、クラウドサービスのプロバイダと利用者の双方に、管理目的、管理策、指針という形で実施指針を提供しています。この基準との整合により、One Identityのプライバシープログラムの適切性がさらに保証されています。

スコープ

One Identityのセキュリティプログラムと推奨される管理目的、管理策、指針との整合性。

評価/監査の頻度

ISO 27017:2015の管理策は、定期的なSOC 2タイプ2レポート監査およびISO 27001:2013認証監査の一環としてその有効性が検証されます。

主な対象者

ビジネス上のニーズを持つ顧客および関連する第三者。

ISO 27001:2013規格は、情報資産の安全な管理を支援します。この規格群を使用することで、One Identityは、財務情報、知的財産、従業員情報、第三者から委託された情報などの資産のセキュリティを管理することができます。当社はこの規格への準拠について独立機関の監査を受け、ISO 27001:2013認証書の発行を受けました。

主な目的

One Identityの情報セキュリティマネジメントシステム（ISMS）の独立した評価と認証を提供します。ISMSには、One Identityとその顧客の両方に影響を与えるセキュリティとプライバシーのあらゆる側面が含まれています。

スコープ

ISO 27001:2013認証の対象範囲は、One IdentityのエンタープライズIDおよびアクセス管理ソリューションをサポートするために使用されるインフラストラクチャおよびサービスの管理をサポートするISMSです。

評価/監査の頻度

3年ごとに総合的な認証審査が実施され、各総合審査から12ヶ月後と24ヶ月後にサーベイランス審査が実施されます。さらに、One Identityは、ISO 27001:2013要求事項の一環として、独立した第三者機関を利用した内部監査を毎年実施しています。

主な対象者

ビジネス上のニーズを持つ顧客および関連する第三者。

Skyhigh Networksは、Cloud Security Alliance（CSA）と共同で開発した詳細な評価基準に基づき、クラウドサービスが企業利用に適しているかを客観的かつ徹底的に評価します。Skyhigh Enterprise-Readyに指定されたサービスは、データ保護、本人確認、サービスセキュリティ、ビジネス慣行、および法的保護に関する最も厳しい要件を完全に満たす、CloudTrust™の最高評価を受けたサービスです。

主な目的

Cloud Security Allianceと共同で開発した基準に基づき、OneLoginのセキュリティ機能を客観的に評価します。

スコープ

Skyhigh NetworksがCloud Security Allianceと共同で開発した特定の基準に照らして、OneLoginのセキュリティ管理が評価されます。

評価/監査の頻度

評価はSkyhigh Networkの裁量で定期的に行われ、OneLoginから変更が提出された場合にも行われます。

主な対象者

ビジネス上のニーズを持つ顧客および関連する第三者。

One Identityは、GDPRをEU全体のデータ保護法における重要かつ必要な進化として歓迎します。One Identityのプライバシーおよびセキュリティプログラムは、GDPRへの準拠を含め、業界の最高基準を満たしています。

欧州委員会のデータ保護指令に代わる新しい一般データ保護規則（「GDPR」）が2018年5月25日に施行されています。その目的は、欧州連合（EU）のプライバシー規制を統一し、EU居住者の個人データに対する保護を、EU内外を問わず強化することです。データ処理者および管理者として、One IdentityはGDPRのすべての要件を満たしていることを確認しており、今後もGDPRの遵守を積極的に維持していきます。また、データ管理者としてのお客様の役割をサポートするためのリソースや文書も提供しています。

One Identityでは、すべての顧客データが安全かつ責任を持って取り扱われることを第一に考えています。ここでは、GDPRとは何か、私たちがこの新しい規制にどのように対応しているか、そして私たちがどのようにお客様のコンプライアンスを支援しているかについての概要を説明します。

GDPRの目的

GDPRは包括的なデータ保護法で、次の2つを目的としています。

1. 個人のデータの保護: 個人データの管理権をEU居住者に戻し、組織がそのデータを悪用することを禁じます。

2. 組織のための指針の提供: EU内でデータ保護法を統一します。GDPRにより、企業にとってはよりシンプルな法的指針が提供され、政府機関にとっては施行がより簡単になります。

GDPRの適用対象

GDPRは、EU域内で活動するあらゆる組織、およびEU域内の顧客や企業に商品やサービスを提供する組織に適用されます。これにより、EU居住者の保護範囲が広がり、プライバシー管理が向上します。

GDPRによる影響

EUにお住まいの方、おめでとうございます! 欧州連合（EU）は、お客様のデータが安全かつ適切に使用されることを保証するための措置を講じています。

EU域内でサービスを提供する組織は、GDPRに準拠する必要があります。このことは、ユーザーデータの保管、処理、利用の方法にさまざまな形で影響を与えます。欧州委員会のデータ保護指令に代わってGDPRが施行されることによる主な変更点については、こちらの概要をご覧ください。

アクセスおよびポータビリティの権利: ユーザーは、自分の個人データが処理されるかどうか、どこで、どのような目的で処理されるかについて確認を求めることができます。さらに、データ管理者は、電子形式で個人データのコピーを無料で提供することが義務付けられています。

違反の通知義務: 「個人の権利と自由に対するリスクをもたらす」可能性が高い違反は、違反に気づいてから72時間以内に報告しなければなりません。

プライバシー・バイ・デザイン: 企業は、関連するデータ処理のライフサイクルに沿って、すべてのプロジェクトの設計段階でデータのプライバシーを考慮しなければなりません。企業はまた、すべてのプロジェクトの設計段階において、関連するデータ処理のライフサイクルの各段階に応じてデータプライバシーを考慮しなければなりません。

忘れられる権利: 企業は、ユーザーが自分の個人データを消去し、データの拡散を停止し、第三者にデータの処理を停止させることができるようにしなければなりません。

これは完全なリストではありません。これらの要件のいずれかを満たさなかった場合、年間成長売上高の4％、または2000万ユーロを上限とする罰金が科される可能性があります。

One IdentityはGDPR準拠のためにどのような手順を採用しているか?

One Identityは、EUを含む世界中のデータを処理および管理するグローバル組織です。当社がすでに取得している認証とプライバシーフレームワークへの長年のコミットメントは、多くの点でGDPRに対応しています。

• GDPRの要件を満たすためには、データの流れを明確にし、プライバシーがどのように管理され維持されているかを示す必要があります。これを達成するにあたって、データフローを描き直し、非常に詳細なデータマッピング図を作成する「ブランクページ」アプローチが役立っています。

• 標準MSAおよびデータ処理契約の更新: また、GDPRによって要求される追加的な説明責任を反映させるために、契約文言を更新する必要もあります。このため、One Identityは、データ侵害通知文言を利用し、下請け業者を使用し、自社のデータ処理業者に責任を伝えています。

• データ保護責任者: One Identityは、EUに拠点を置く独立した外部コンサルタントをDPOとして利用しています。

One Identityは顧客のコンプライアンス遵守をどのように支援しているか?

One Identityは、お客様がGDPRを遵守できるよう必要なリソースを提供して全力でサポートしています。方法は以下の通りです。

アクセスとポータビリティの権利

• IT管理者は、システム内のユーザーを簡単に検索し、ユーザーディレクトリに保存されているユーザー情報を印刷することができます。
• One Identityのユーザー権限と役割の割り当ては、ユーザーのメタデータが使用される場所を示します（つまり、 ユーザーがアクセスできるすべてのアプリケーション）。

侵害通知要件

• One Identityのイベント・ストリーミング・サービスは、追加の企業セキュリティイベントと関連付けることで、侵害の試みをより迅速に特定するのに役立ちます。
• 情報漏えいの可能性が確認された後、管理者はOne Identityのイベントダッシュボードとレポーティングツールを使用して、さらに調査することができます。

忘れられる権利

• One Identityは、他のシステムや外部アプリケーションからのユーザーの自動デプロビジョニングを許可しています。
• 管理者は、プライバシーと企業セキュリティの両方の要件を満たすために、ユーザーを直ちに削除することができます。
• 管理者は、プロビジョニングされているアプリを手動で監査することもできます。

プライバシー・バイ・デザイン: One Identityは信頼できるパートナー
プライバシー・バイ・デザインは特に難しい要件ですが、ベンダーとして私たちは十分に対応できる準備が整っています。

• One Identityサービスは、プライバシー規制、クレジットカード業界の規制、共有シークレットとしての指定、その他のデータ保護要件など、常に保護が必要な情報を取り扱っています。
• One Identityは、新機能の設計プロセスの一部として、定期的に実施されるプライバシー影響評価を組み込んでいます。

プライバシー・バイ・デザイン: One Identityでより良いアーキテクチャを
特にITやエンジニアリングのアーキテクトであれば、サードパーティのコンプライアンスだけでなく、自社のシステムにおけるコンプライアンスの課題についても考えているかもしれません。One Identityのプラットフォームに加えて独自の統合を構築する利点をご検討ください。

多くの場合、コンプライアンス上の課題の原因は、データの保管、管理、処理方法を限定的にしか制御できない古いアーキテクチャにあります。例えば、以前はレガシーアプリケーションが企業ディレクトリに直接アクセスすることが非常に一般的でした。つまり、それらのアプリケーションは通常、すべてのユーザー情報にアクセスでき、ほとんど制限を受けずに変更、キャッシュ、保存することができていました。

それ以来、私たちは改善のための長い道のりを歩んできました。

どのように改善したかを理解するために、いくつかの要点をご覧ください。One IdentityのIDプラットフォームの中核は、SAML、OpenID Connect、SCIMなどの最新プロトコルです。これらの最新のプロトコルでは、セキュアトークン、セキュリティアサーション、自動プロビジョニングが使用されています。

• セキュアトークン: ユーザーはアプリに直接サインインせず、常にシングルサインオン（SSO）ポータルを使って安全にサインインします。信頼できるアプリであれば、ユーザーを表すセキュアトークンを受け取ることができます。
• セキュリティアサーション: ID情報（ユーザー名、従業員IDなど）が、信頼できる当事者、特にIDプロバイダによって電子署名されます。
• 自動プロビジョニング/デプロビジョニング: ユーザーがアプリケーションへのアクセスを許可されると、関連するメタデータがアプリにプッシュされます。同様に、ユーザーのアクセスが取り消されると、関連するメタデータがアプリから削除されます。

One IdentityのIDプラットフォームでは、事実上あらゆるパブリッククラウドやプライベート/カスタムアプリに最新のプロトコルを使用できます。

利点:

• アプリケーションがユーザーを直接認証しないため、セキュリティとプライバシーが向上します。
• アプリケーションは企業ディレクトリに直接アクセスして、ユーザーベース全体に対する読み取り/書き込みを行うことはできません。
• アプリケーションは、必要なユーザーメタデータのみを取得します。取得するのはアプリにアクセスできるユーザーのみで、ユーザーのアクセスは匿名でも可能です。
• アプリケーションは、ユーザー情報に直接アクセスすることなく、ロール/特権情報を取得できます。

当社がGDPRをどのように受け入れているかについて詳しく知りたい場合は、プライバシーポリシーをご覧ください。

ご質問や詳細については、privacy@onelogin.comまでメールを送信してください。

EUモデル契約条項は、欧州経済領域（EEA）から他国への個人データの移転を容易にする一方で、個人データ保護のための適切な保護措置を提供することを目的としています。これらの条項は、当社のデータ処理補足条項の一部であり、適切性要件を満たすことの代替手段を提供するものであるため、米国のプライバシー・シールド・フレームワークまたは拘束力のある企業規則に代わるものです。

主な目的

データ管理者とみなされるEEA内の顧客が、データ処理者であるOne Identityと協力し、適切な保護措置の下、EUデータ保護法を遵守して個人データをEEA外に転送することに相互に同意する仕組みを提供します。

スコープ

モデル契約条項は、すべてのデータ処理プロバイダにとって標準的な条項であり、EUデータ保護法を遵守するというプロバイダのコミットメントを文書化したものです。

評価/監査の頻度

EUモデル契約条項の評価/監査は、必要に応じて実施されます

主な対象者

EEA個人データをOne Identityに転送する予定のお客様。

アプリケーションの侵入テストは、独立した第三者機関により毎年実施されます。これらのテストの目的は、アプリケーションの潜在的なセキュリティ脆弱性を確実に発見し、OWASP Top 10やSANS Top 25入りを回避することです。テスト担当者は、自分のアカウントと基礎となるソースコードへのアクセスを許可されます。

主な目的

侵入テストは、OWASP Top 10やSANS Top 25に含まれるアプリケーションの潜在的なセキュリティ脆弱性を特定するのに役立ちます。

スコープ

コアアプリケーションは毎回、モバイルアプリケーションやブラウザの拡張機能を含む追加的なサービスはローテーションで評価の対象となります。

評価/監査の頻度

第三者による侵入テストが、毎年実施されます。

主な対象者

One Identity - 社内利用のみ

バグ・バウンティ・プログラムは組織がシステムの脆弱性を発見するためのもう1つの手段で、報奨金制度を通じて責任を持ってセキュリティバグを公表するよう奨励されている世界的なセキュリティ調査員の大規模なネットワークを活用しています。運用上の最終結果は、ベンダーが実施する侵入テストとほぼ同じですが、バグを探す調査員の数ははるかに多く、一般的な侵入テストの実施とは異なり時間的な制約もありません。

主な目的

定期的な侵入テストと同様に、バグ・バウンティ・プログラムは、OWASP Top 10やSANS Top 25に含まれるものを含め、OneLoginのアプリの潜在的なセキュリティ脆弱性を特定するのに役立ちます。

評価/監査の頻度

継続的に実施されるプログラム。

主な対象者

OneLogin - 内部使用のみ

1999年に制定されたGramm-Leach-Bliley法（GLBA）は、消費者の金融情報の保護を義務付けた最初の規制です。GLBAを先駆けとする情報セキュリティに関する金融サービス規制によって、米国内の金融機関は、そのような情報のセキュリティ、機密性、完全性を保護するための情報セキュリティプログラムの作成が義務付けられています。連邦金融機関審査委員会（FFIEC）は、コンプライアンスに関する広範かつ発展的な指針を提供することで、この使命をサポートしています。OneLoginでは消費者の金融情報を保管しませんが、その管理フレームワークはFFIEC指針に対応しているため、必要が生じた場合には、GLBAに準拠する能力を有していることを検証できます。この管理フレームワークは、SOC 2タイプ2レポートの一部として検証されます。

主な目的

OneLoginが、GLBA要件に基づき消費者の金融情報保護を目的として策定されたFFIEC指針への準拠能力を有していることを検証します。

スコープ

OneLoginのセキュリティ管理策が、GLBAへの準拠を検証するためのFFIEC指針に照らして評価されます。

評価/監査の頻度

GLBA要件のテストに対応するためにFFIEC指針に沿って策定されたセキュリティ管理策が、定期的なSOC 2タイプ2レポート監査の一環として検証されます。

主な対象者

ビジネス上のニーズを持つ顧客および関連する第三者。

米国国立標準技術研究所（NIST）は、大統領令13636号を受けて「重要インフラのサイバーセキュリティ向上のためのフレームワーク」（NISTサイバーセキュリティフレームワーク）を策定しました。このフレームワークは、政府と民間セクターの協力によって作成されたもので、企業にさらなる規制要件を課すことなく、ビジネスのニーズに基づいて費用対効果の高い方法でサイバーセキュリティリスクに対処し、管理するための共通の枠組みを使用しています。One Identityは、このフレームワークに合わせて既存のセキュリティ管理策を調整して、セキュリティプログラムを強化しました。これらの管理策は、定期的なSOC 2タイプ2レポートの一部として検証されます。

主な目的

One Identityのセキュリティプログラムを開発し維持するためのさらなる参照点を提供します。

スコープ

このフレームワークは、フレームワークコア、フレームワークプロファイル、フレームワーク実装階層の3つの部分から構成されています。フレームワークコアは、重要インフラ部門に共通するサイバーセキュリティ活動、成果、参考資料のセットであり、個々の組織のプロファイルを策定するための詳細なガイダンスを提供します。このフレームワークは、プロファイルの活用を通じて、組織のサイバーセキュリティ活動をビジネス要件、リスク許容度、リソースと整合させるよう支援します。階層は、組織がサイバーセキュリティリスク管理へのアプローチの特徴を表示し、理解するための仕組みを提供します。

評価/監査の頻度

セキュリティ管理策がNIST Cybersecurity Frameworkのフレームワークコアに沿っているかどうかが、定期的なSOC 2 Type 2レポート監査の一環として検証されます。

主な対象者

ビジネス上のニーズを持つ顧客および関連する第三者。

英国の公的機関や独立行政法人は、デジタルマーケットプレイスを利用してクラウドベースのサービスを購入することができます。そのためには、サプライヤはG-Cloudフレームワークに同意し、遵守する必要があり、OneLoginはこのプログラムに参加しています。

主な目的

G-Cloudフレームワークの要件に従い、英国の公共機関および独立機関にOneLoginサービスデータを提供します。

スコープ

G-Cloudフレームワークでは、標準データを含み、共通の基準でサプライヤを評価できるようにしたサプライヤ宣言が要求されています。データ要素には、オープンスタンダードのサポート、オンボーディングとオフボーディング、プロビジョニング、データストレージ、資産保護と回復力、脆弱性管理、インシデント管理などに関する情報などがあります。

評価/監査の頻度

各G-Cloudフレームワークのイテレーション期間は通常12ヶ月です。新しいイテレーションが作成されると、サプライヤはそのイテレーションの要件に基づいて新しい宣言を提出しなければなりません。

主な対象者

英国の公的機関および独立行政法人。