セキュリティについて
最終更新日:2018年4月11日
この「セキュリティについて」は、SurveyMonkey Inc.、SurveyMonkey Europe UC、SurveyMonkey Brasil Internet Ltda.、およびそれらの関連会社(総称して「SurveyMonkey」)により提供され、かつ特に明記されている場合を除き、「SurveyMonkey」および「Wufoo」という名称でブランド化されている製品、サービス、Webサイト、およびアプリに適用されるものです。「セキュリティについて」では、これらの製品、サービス、Webサイト、およびアプリを総称して「サービス」と呼びます。また、この「セキュリティについて」は、SurveyMonkeyおよびWufooのお客様のユーザー契約の一部を構成します。
SurveyMonkeyは、お客様のデータの管理責任者として、SurveyMonkeyに対するお客様の信頼を大切にしています。SurveyMonkeyでは、お客様の情報を保護することを第一に考え、以下で詳しく述べているSurveyMonkeyのセキュリティ慣行を完全に透明なものにするよう努力しています。また、SurveyMonkeyのプライバシーポリシーでは、お客様のデータの処理方法についてさらに詳しく述べています。
物理的セキュリティ
SurveyMonkeyのシステムと技術インフラストラクチャは、ワールドクラスの認定SOC 2データセンターにホストされています。これらのデータセンターに装備されている物理セキュリティ制御には、1日24時間体制のモニタリング、カメラ、ビジターログ、入場要件、SurveyMonkeyハードウェア専用のケージなどがあります。
コンプライアンス
SurveyMonkey、Wufoo、SurveyMonkey Applyは、Payment Card Industry’s Data Security Standards (PCI DSS 3.2)に準拠しているため、これらの標準に基づいてクレジットカード情報を安全に受け取り、処理することができます。SurveyMonkeyでは、毎年このコンプライアンスの再認証を行っています。また、SurveyMonkeyでは、ISO 27001認定に向けて準備を整えています。
アクセス制御
SurveyMonkeyのテクノロジーリソースへのアクセスは、安全な接続(VPNやSSHなど)を通じてのみ許可されており、マルチファクター認証を必要とします。SurveyMonkeyのパスワードポリシーでは、複雑さ、有効期限、およびロックアウトが要求され、パスワードの再使用は許可されません。SurveyMonkeyは、最小権限の原則に従ってアクセス権を付与し、許可を四半期ごとに再検討し、従業員の退職時に即座にアクセス権を取り消します。
セキュリティポリシー
SurveyMonkeyは、情報セキュリティポリシーを施行しており、そのポリシーは定期的に検証され、少なくとも1年に1回更新されます。従業員は、1年に1回ポリシーを確認し、HIPAAトレーニング、セキュアコーディング、PCI、職務特有のセキュリティやスキルの開発、および/または重要な職務権限に関するプライバシー法のトレーニングを受ける必要があります。これらのトレーニングのスケジュールは、SurveyMonkeyに適用されるすべての規格および規制を遵守するように計画されます。
社員
SurveyMonkeyは、(適用法および該当する国で許可または実施されている範囲で)雇用時にバックグラウンドスクリーニングを行います。また、SurveyMonkeyは、すべての社員に情報セキュリティポリシーを伝え(、かつすべての社員から同意を得て)、新入社員に秘密保持契約への署名を求めているほか、プライバシーおよびセキュリティに関する継続的なトレーニングを提供しています。
専門のセキュリティチーム
SurveyMonkeyは、アプリケーション、ネットワーク、およびシステムのセキュリティを重点的に管理する専用のトラスト&セキュリティ組織も備えています。このチームの職務には、セキュリティコンプライアンス、教育、および事故対応も含まれます。
脆弱性管理とペネトレーションテスト
SurveyMonkeyでは、サーバー、ワークステーション、ネットワーク機器、およびアプリケーションにおけるセキュリティ脆弱性の定期的なスキャン、識別、および対策などを行う、文書化された脆弱性管理プログラムを実施しています。テスト環境と本番環境を含むすべてのネットワークが、信頼できるサードパーティのベンダーを使って定期的にスキャンされます。重要なパッチは、その重要度に基づいた上で、他のすべてのパッチを考慮しながらサーバーに適用されます。
また、SurveyMonkeyは、社内および社外で定期的なペネトレーションテストを行い、見つかった結果の重大度に応じて対策を立てます。
暗号化
SurveyMonkeyは、安全なTLS暗号化プロトコルを使用して送信中のお客様のデータを暗号化します。また、SurveyMonkeyおよびWufooのデータも安全に暗号化されます。
開発
SurveyMonkeyの開発チームは、OWASP Top 10に沿って、安全なコーディング手法やベストプラクティスを実施しています。開発者は、雇用時と1年に1回、セキュアなWebアプリケーションの開発に関する正式なトレーニングを受けています。
開発環境、テスト環境、および本番環境は分かれています。変更はすべて専門家同士で相互評価され、本番環境への実装の前にパフォーマンス、監査、およびフォレンジックの目的でロギングされます。
アセット管理
SurveyMonkeyは、情報およびアセットの識別、分類、維持、および処分を含むアセット管理ポリシーを施行しています。会社支給のデバイスは、ハードディスク全体を暗号化する機能と最新のウイルス対策ソフトウェアを装備しています。企業ネットワークおよび生産ネットワークへのアクセスを許可されているのは会社支給のデバイスだけです。
情報セキュリティ事故管理
SurveyMonkeyには、初回対応、調査、お客様への通知(適用法に準拠)、パブリックコミュニケーション、および対策を網羅したセキュリティ事故対応ポリシーおよび手順があります。これらのポリシーは定期的に見直され、半年ごとにテストされます。
違反通知
最善の努力をしていても、インターネット上の通信やネットワーク上のメモリ保管を完全に安全に行う方法はありません。絶対的な安全を保障することは不可能です。しかし、万一SurveyMonkeyがセキュリティ侵害に気付いた場合は、影響を受けたユーザーにお知らせし、適切な保護手順を踏んでいただけるようにします。SurveyMonkeyの違反通知手順は、該当する国レベル、州、連邦の法規、またSurveyMonkeyが従う業界内ルールや基準の下での義務と一致するものです。SurveyMonkeyは、お客様のアカウントのセキュリティに関連するすべての事項をお客様にお知らせできるように、また、お客様が規制の報告義務を履行するのに必要なすべての情報をお客様に提供できるように、日々努力しています。
事業継続管理における情報セキュリティ
SurveyMonkeyのデータベースは、完全バックアップと差分バックアップを交互に行うことでバックアップされ、定期的に検証されます。バックアップは、本番環境内で暗号化および保存されることによってその極秘性および完全性が維持され、また、定期的にテストされることによってその利用可能性が確保されます。
お客様の責任
お客様のデータを安全に保管するためには、お客様が複雑なパスワードを設定し、それを安全に保管してアカウントのセキュリティ維持に努めていただくことも大事です。また、お使いのシステム上で十分なセキュリティ対策が講じられていることもご確認ください。SurveyMonkeyでは、アンケート回答の通信保護のためにTLSをご用意しております。しかし、その機能を必要な場面でアンケートに設定するのは、お客様の責任となります。アンケートのセキュリティ対策の詳細については、ヘルプセンターをご覧ください。本記事はSurveyMonkeyのお客様に向けて書かれていますが、ガイダンスの一部はWufooのお客様にも該当します。
ロギングと監視
アプリケーションおよびインフラストラクチャシステムが、認定されたSurveyMonkeyの人員によるトラブルシューティング、セキュリティレビュー、および分析を可能にする目的で、情報を中央管理型のログリポジトリにロギングします。ログは、規制要件に従って保持されます。お客様のアカウントに影響を及ぼすようなセキュリティ上の事故が発生した場合は、SurveyMonkeyからお客様に、妥当な支援とログへのアクセスが提供されます。