別紙 セキュアファイル交換サービススペックシート...2020/04/27 ·...
TRANSCRIPT
[別紙]
セキュアファイル交換サービススペックシート
2020年 4月 27日現在
NRIセキュアテクノロジーズ株式会社
1
目次
I. アプリケーション仕様 .......................................................................................... 3
① 機能概要 ................................................................................................... 3
② 対応言語 ................................................................................................... 3
③ ブラウザ環境 .............................................................................................. 3
④ クライアントアプリケーション環境 ..................................................................... 4
⑤ 送受信 API ご利用環境 ............................................................................... 4
⑥ ファイル暗号化方式 ..................................................................................... 4
⑦ ウイルスチェック ........................................................................................... 5
⑧ 性能 .......................................................................................................... 5
II. システム仕様 ..................................................................................................... 6
① サーバ仕様 ................................................................................................ 6
② ネットワーク仕様 .......................................................................................... 6
③ システム監視基準 ........................................................................................ 6
④ 障害通知間隔 ............................................................................................. 6
⑤ 障害対策 ................................................................................................... 7
III. サービス仕様 ................................................................................................. 8
① サービス時間 .............................................................................................. 8
② お客様サポート ........................................................................................... 8
③ Webアプリケーション アップグレード方針 ........................................................ 8
④ 送受信 API アップグレード方針 ..................................................................... 9
⑤ サービス停止連絡 ....................................................................................... 9
⑥ 障害発生連絡 ............................................................................................ 10
⑦ 関係当局との連絡 ...................................................................................... 10
⑧ クリプト便サービスご利用における役割及び責任の分担..................................... 10
⑨ 送受信 APIご利用における責任の分担 .......................................................... 10
⑩ 情報のラベル付け ...................................................................................... 10
⑪ 適用法令及び契約上の要求事項の特定 ........................................................ 11
⑫ 記録の保護 ............................................................................................... 11
⑬ 禁止事項 .................................................................................................. 11
⑭ データセンターの所在地 .............................................................................. 11
IV. データ・ファイル管理仕様 ................................................................................ 12
① データ・ファイル保存要件 ............................................................................. 12
② データ・ファイル消去要件 ............................................................................. 12
③ データ・ファイル返却・除去要件 .................................................................... 13
2
④ データ・ファイルの削除メカニズム .................................................................. 13
⑤ システムログ保存要件 ................................................................................. 13
V. セキュリティ仕様................................................................................................ 14
① 本番システムへのアクセス ............................................................................ 14
② 通信の暗号化 ............................................................................................ 14
③ 外部からの不正アクセス対策 ........................................................................ 14
④ アプリケーションに関する第三者評価 ............................................................. 14
⑤ 技術的脆弱性の管理 .................................................................................. 14
⑥ 情報セキュリティの役割及び責任 .................................................................. 14
⑦ 情報セキュリティ要求事項の分析及び仕様化 .................................................. 14
⑧ 情報セキュリティに配慮した開発のための方針 ................................................. 14
⑨ 情報セキュリティインシデント管理 .................................................................. 15
⑩ 利用者の秘密認証情報の管理 ..................................................................... 15
⑪ 実務管理者の運用セキュリティ ...................................................................... 15
⑫ 情報セキュリティの独立したレビュー ............................................................... 15
3
I. アプリケーション仕様
以下に定める内容でアプリケーションをご利用いただけます。
ただし、セキュリティホールの発見、市場のシェアに応じて内容を見直す場合がございます。
① 機能概要
クリプト便では以下の機能を提供しています。
詳細な機能は別途用意しておりますクリプト便オンラインマニュアルをご確認ください。
区分 機能 概要
WEB アプリケーション ファイル送信 ファイルの送信・受信を行う機能です。
ファイル共有 複数のユーザとファイルを共有するための機能
です。
セクション管理 クリプト便のユーザ、グループ、及びセクション
のポリシーなどの管理を行うための機能です。
クライアントアプリケーション
(オートパイロット)
ファイル送信 ご利用の PCにクライアントをインストールして、
ファイル送信・受信を行う機能です。
ユーザ・グループ管理 ご利用の PCにクライアントをインストールして、
ユーザ、グループの管理を行う機能です。
送受信 API ファイル送受信 REST APIにアクセスすることで、ファイル送信・
受信を行う機能です。
② 対応言語
・WEBアプリケーションのファイル送信、ファイル共有機能は日本語、英語、中国語で機能
提供いたします。セクション管理機能の機能に関しては日本語、英語で提供いたします。
・クライアントアプリケーションに関しては日本語のみでの提供となります。
③ ブラウザ環境
・WEBアプリケーションは以下のブラウザで動作検証を行っております。各ブラウザのバー
ジョン等、詳細な動作検証環境についてはオンラインマニュアルをご確認ください。
・Windows:
Internet Explorer、Microsoft Edge、Firefox、Google Chrome
・MacOS:
Safari
・iOS(※):
Safari
4
・Android(※):
Google Chrome
(※)ゲストユーザのみ対応しています。ゲストユーザとは IDを保有せずに一時的に受信
と返信が可能なユーザです。
・ブラウザの Cookie、Javascript、 LocalStorage を利用します。
・当社が動作検証している環境は各ブラウザの初期設定で動作検証を行なっております。
・動作検証している環境であっても、ブラウザのセキュリティ設定やセキュリティソフトのご利
用状況等、お客様のご利用環境によっては、クリプト便をご利用いただけない場合がござい
ます。
・お客様のご利用環境に起因して、クリプト便をご利用頂けない場合は、当社より設定変更
をお願いする場合がございます。その際、お客様のご都合により設定変更に費用が伴う場
合等も、当社はその責任を負いかねます。
・2GB以上のファイルアップロードはMicrosoft Edgeを除いたブラウザで利用できます。2GB
以上のファイルダウンロードについてはすべてのブラウザご利用可能です。
④ クライアントアプリケーション環境
・クライアントアプリケーションはWindows, Linuxで動作検証を行っています。当社が動作検
証している環境、条件は利用マニュアルに記載します。
・SELinux等アプリケーションの動作を制限している環境ではクライアントアプリケーションを
正常にご利用いただけない場合がございます。
・当社が動作検証していない OSにてクリプト便をご利用いただく場合、正常に動作しない
場合がございます。ご利用頂けない場合は、当社より設定変更をお願いする場合がござい
ます。その際、お客様のご都合により設定変更に費用が伴う場合等も、当社はその責任を
負いかねます。
⑤ 送受信 API ご利用環境
・送受信 APIを利用するための環境・ソフトウェアは利用者側で開発をしていただく必要が
ございます。
・API リクエスト時にパラメータを設定して URLにアクセスする事でご利用可能です。
・クリプト便サーバに HTTPSでアクセス可能な環境であれば、使用可能です。
・APIの仕様に関しては、利用マニュアルに記載します。
⑥ ファイル暗号化方式
・ファイルはシステム格納時に AES256で暗号化されます。
5
⑦ ウイルスチェック
・ファイル送信、共有機能を用いてファイルをアップロード、ダウンロードする際にファイルが
ウイルスに感染していないかチェックが行われます。
・ウイルスチェックを実施するファイルサイズの上限はアップロード時 100MB、ダウンロード
時 20MBで設定されています。
・ウイルスチェックで問題があった場合にはアップロード、ダウンロード処理は失敗します。
⑧ 性能
・ご利用の PC性能、ネットワーク速度等によって処理速度に変化があります。
・NRIセキュアでは以下の表に定める上限値を用いて処理性能の確認を行っております。
区分 項目 値
ファイル送信/共有/管理
共通
ユーザ最大登録数(1 セクション) 10000
ユーザ最大登録数(1 クローズドグループ) 300
グループ最大登録数(1 セクション) 1000
ファイル送信 承認ユーザ最大登録数(1 ステップ) 50
監査ユーザ最大登録数(1 グループ) 50
ファイル共有 ストレージサイズ(1 セクション) 5TB
ボックス最大登録数(1 グループ) 100
ボックス管理者最大登録数(1 グループ) 50
承認ユーザ最大登録数(1 グループ) 50
ファイル最大登録数(1 ボックス) 100
更新履歴保存数(1 ファイル) 30
・上限値の拡張をご希望の場合にはヘルプデスクにご連絡ください。ご連絡後に NRIセキ
ュアで問題がないか確認を行い、他のお客様に影響がない範囲で上限値を拡張します。
・上限値を拡張した場合には処理が遅くなる場合がございます。
・クリプト便ではディスク容量、メモリなどサーバのリソースを利用するため、送信メッセージ
のログ保存日数、ファイルアーカイブファイルの保存日数、上記設定値等の値を無期限、
上限なしに設定できません。
・設定された上限値についてはセクション管理者アカウントを用いてセクション設定画面から
確認ができます。
6
II. システム仕様
① サーバ仕様
・クリプト便のサービス提供に必要なサーバはすべて多重化しております。
・定期的にリソース監視の確認を行い、当社判断により適宜サーバのスケールアップやスケ
ールアウトを実施いたします。
・クリプト便における時刻の同期は、当社が管理する NTPサーバを参照し日本標準時に同
期するよう設定しております。なお、お客様のシステムとクリプト便の時刻を同期する仕組み
は提供しておりません。
② ネットワーク仕様
・データセンター構内ネットワーク内は 1Gbps です。
・ネットワーク機器は基本的に二重化されており、正系障害時は副系に自動迂回し、サービ
ス停止を最小限にいたします。二重化されていない部分については、障害検知後、速やか
に予備機と交換し、サービスを復旧いたします。
③ システム監視基準
以下のシステム監視を 24時間 365日行います。
・サービス監視:
・HTTPサービス監視、アプリケーション監視
・リソース監視:
・CPU、メモリ、ディスク容量の利用率
・ハードウェア監視:
・RAIDディスク監視
④ 障害通知間隔
・サービス監視:
・5分間隔 連続 2回のエラーで障害を検知して当社担当者へ通知します。
・リソース監視:
・5分間隔でリソース情報を取得いたします。
・定期的にリソースの使用状況を確認いたします。
・ハードウェア監視:
・リアルタイムで障害を検知いたします。
7
⑤ 障害対策
・サーバ、ネットワーク機器は冗長構成をとっており、障害時は自動的にロードバランス、も
しくは待機系に切り替えて、サービス停止を最小限にいたします。
・障害機器については速やかに交換いたします。
・障害対応時間は、当社営業日の 9:00~17:00(JST) といたします。
8
III. サービス仕様
① サービス時間
24時間 365日 (ただし、下記の場合を除きます。)
・計画メンテナンス時 (システムの機能追加等)
通常、当社営業日の夜間に実施いたします。
・緊急メンテナンス時
セキュリティホール対策や不正アクセスの対応など緊急性を要する場合は、昼夜を問わず
適宜サービスを止め、 メンテナンス作業に入る場合があります。
・その他
サービスの停止を伴わないメンテナンス(インターネットバックボーンやデータセンター内ネ
ットワークなど)については、特にアナウンスなく実施する場合があります。
② お客様サポート
電話、または電子メールによるお問い合わせ窓口を設定させていただきます。
電話は日本語によるお問合せのみ受け付けます。電子メールは日本語・英語によるお問合
せのみ受け付けます。
また、管理者 ID所有者様からのお問い合わせのみ受け付けいたします。
クリプト便ヘルプデスク
電話 : 0120-40-2670
受付時間 月~金/9:00~17:00(JST) ※日本の祝日・年末年始を除く
メール: [email protected]
③ Webアプリケーション アップグレード方針
・Webアプリケーションのバージョンアップは、当社判断により適宜実施いたします。
・バージョンアップに伴う機能変更点についてはWeb上に公開するリリースノートに記載い
たします。
バージョンアップ時には機能の追加・改修に伴い、HTML、及びサーバへのリクエスト内容
が変更される可能性があります。また、アプリケーション仕様に影響を与えない範囲での
HTML、リクエスト内容などの詳細な変更点につきましてはリリースノートに記載いたしませ
ん。
・ミドルウエア、OS及びネットワーク機器等に問題が発見され、パッチや修正モジュールが
提供された場合は、当社判断にて適宜実施いたします。
・ウイルスチェックのパターンファイルは1時間に1回、自動的に更新いたします。
9
※但し、インターネット及びウイルススキャンソフトベンダ側のサイトが停止もしくは混雑して
いる場合には、パターンファイルが更新されない可能性があります。
・バージョンアップに伴うオンラインマニュアルは日本語版のみ同時に提供いたします。
英語版・中国語版につきましては準備が整い次第提供いたします。
④ 送受信 API アップグレード方針
・APIの機能変更・不具合修正は、当社判断により適宜実施いたします。
・バージョンアップに伴う機能変更点はWeb上に公開するリリースノート、及び API リファレ
ンスに記載いたします。
・APIに関して、下位互換性が維持できない仕様変更・機能変更を行う場合は新仕様の
API、及び旧仕様の APIの 2種類を提供いたします。使用する APIのバージョンは利用時
のリクエストの内容を変更することで切り替えられます。
・新仕様の APIを公開してから後 2年以上経過した旧仕様の APIは削除いたします。ご利
用のお客様は新仕様の API公開日から、旧仕様の API提供終了日までの間に、ご利用の
ソフトウェアの改修作業を実施する必要があります。
・旧仕様の API削除により利用者のアプリケーションが動かなくなったとしても、当社は責任
を負いません。また、旧仕様の APIは復旧いたしません。
・新仕様、旧仕様ともに影響を受けるような機能変更(TLSのサポートアウト等)に関しては、
最低 3か月前までにアナウンスを実施し、新仕様のAPIリファレンスを公開いたします。ご利
用のお客様はアナウンス後に当社の指定する時期までに貴社システムの改修をお願いい
たします。
・脆弱性情報の公開や重大なバグなどにより、特に緊急リリースの必要性があると弊社にて
判断した場合は、上記内容に関わらず、アナウンスを実施し、弊社判断にてリリースを行う
場合がございます。
⑤ サービス停止連絡
・計画メンテナンス時
メンテナンス実施の 1週間以上前に、アナウンス連絡先にご登録されているメールアドレス
やWeb等にて通知いたします。
なお、クリプト便は共用のクラウドサービスのため、作業日時や変更内容の調整については
承れない場合がございます。
・緊急メンテナンス時
状況に応じて速やかにアナウンス連絡先にご登録されているメールアドレスに通知いたしま
す。また、ユーザ画面および管理者画面でもお知らせします。
10
⑥ 障害発生連絡
障害時はアナウンス連絡先にご登録されているメールアドレスに通知いたします。
また、ユーザ画面および管理者画面が稼動していれば、逐次、状況をお知らせします。
⑦ 関係当局との連絡
当社の本社所在地は、東京都千代田区大手町1-7-2 東京サンケイビルとなります。なお、
クリプト便に保存されるデータの所在地は日本国内となります。
⑧ クリプト便サービスご利用における役割及び責任の分担
「セキュアファイル交換サービス約款」や本書にて、役割及び責任を明記しております。
⑨ 送受信 APIご利用における責任の分担
WEBアプリケーションと異なり、送受信 APIのご利用時は利用者側でアプリケーションの開
発が必要になります。
当社は送受信 APIに関して担当する責任範囲は以下です。
1. 送受信 APIの機能開発・脆弱性対応・不具合への対応
2. 送受信 APIの保守・運用
3. 送受信 APIを提供するためのネットワークの保守・運用
4. 送受信 APIの性能テスト・アセスメント
5. 上記 1,2,3,4に関わる全ての費用負担
送受信 APIを利用する利用者が担当する責任範囲は以下です。
6. 送受信 APIを利用するアプリケーションの機能開発
7. 送受信 APIを利用するアプリケーション、クリプト便に接続するためのネットワークの保
守・運用
8. 当社から公開される API リファレンスの変更内容確認、及び開発したアプリケーションへ
の影響確認、修正
9. 上記 6,7,8に関わるすべての費用負担
⑩ 情報のラベル付け
ご契約頂いたセクションの設定やご利用中のオプション等に関する契約情報はセクション
管理者画面にてご確認頂くことが可能です。また、お客様のセクションは「セクション ID」、
「セクション名」等のラベル付けを当社がシステム上で行い、管理・識別しております。
11
⑪ 適用法令及び契約上の要求事項の特定
クリプト便のサービス設備は日本国内に設置しております。本サービスのご利用に関しては
日本国法が適用されます。詳細は「セキュアファイル交換サービス約款」をご参照下さい。
⑫ 記録の保護
お客様の契約情報の保護や廃棄については、社内規定に定め、定期的に検査を実施し、
適切に管理しております。なお、クリプト便が提供するログの保存対象や期間については、
お客様のご契約状況によって異なります。契約情報はセクション管理者画面にてご確認下
さい。
⑬ 禁止事項
クリプト便を利用する上で、他のお客様に迷惑のかかる下記行為は禁止いたします。
・当社サーバに負荷をかける接続テスト
・当社サーバに対するアセスメントテスト等、脆弱性を探す行為
・通常の操作では発生しそうにない、必要以上に当社サーバへアクセスする行為
・送受信 API利用の場合、当社が公開しているリファレンスに記載のない機能の使用
⑭ データセンターの所在地
クリプト便は日本国内のデータセンター(SOC2報告書受領かつ Tier4相当)に設置されて
おります。データセンターを日本国外に移転する場合は、アナウンス連絡先にご登録され
ているメールアドレス等に通知いたします。
12
IV. データ・ファイル管理仕様
① データ・ファイル保存要件
データ
・送受信ログやユーザ情報等、データベースに格納されているデータは、毎夜間にバックア
ップします。
・バックアップデータは 2週間分を当社利用のデータセンターに保存し、システム障害時等
に当社判断にてこれを利用いたします。バックアップデータは当社のみ利用可能です。
なお、バックアップからのデータ復旧方法や所要時間については、障害状況によって異な
ります。
・管理者操作ログはデータベースに保存されておりますが、一部の詳細情報はファイルとし
て保存されております。
ファイル
・お客様にて送受信もしくは共有されたファイルは、システム上にAES256で暗号化し、すべ
て二重化して保存いたします。
※当社がクリプト便に保管されたファイル内容を閲覧することはありません。
・ユーザが送受信もしくは共有されたファイルをバックアップする機能はございません。障害
でファイルが消失した場合は、再送信・再アップロードをお願いいたします。
② データ・ファイル消去要件
データ
・利用契約解除時にデータベースのデータを物理削除、及びファイルをストレージ領域から
削除します。
・監査用の承認・アーカイブファイルは契約保存期間が過ぎると自動的に削除されます。
ファイル(送信)
・ユーザが送信されたファイルは送信時に設定した保存期間が過ぎると自動的にクリプト便
サーバのストレージ領域から削除されます。送信時に設定できる保管期間は以下のとおり
です。
・20MB以下のファイル送付時:1日~25日
・20MB超~4GBのファイル送付時:1日~7日
13
ファイル(共有)
・ユーザが共有されたファイルは以下のいずれかに該当する場合に自動でクリプト便サー
バのストレージ領域から削除されます。
・ファイル共有オプション契約解除時
・管理者が共有したファイルの保存されているグループを削除した時
・ユーザが共有したボックスを削除した時
・ユーザが共有したファイルを削除した時
・ダウンロード可能世代数を超えた時
・自動削除機能を利用した時
③ データ・ファイル返却・除去要件
利用契約解除時にデータやファイルの返却は実施いたしません。必要な情報については
利用契約解除前に取得いただきますようお願いいたします。
クリプト便通知メールの宛先情報が出力されたログや利用状況のデータにつきましては、利
用契約解除後も当社にて保持いたします。
④ データ・ファイルの削除メカニズム
データ
・データベース内のデータレコードを物理削除いたします。
ファイル(送信・共有)
・ファイルシステム上のファイルを削除いたします。
・当該ファイルの暗号鍵生成用中間情報をデータベース内から削除いたします。
共通事項
・記憶媒体廃棄時は、当社内にて媒体を物理破壊いたします。
⑤ システムログ保存要件
システムのログはサーバ毎に取得され、24時間に 1回バックアップされます。前回バックア
ップから障害発生までのログは消失する可能性があります。
14
V. セキュリティ仕様
① 本番システムへのアクセス
運用担当者による本番環境へのアクセスは、SecureCube / Access Check (当社製品)を
用いてアクセス制御と操作ログの取得を実施いたします。
② 通信の暗号化
TLS1.2を利用し、インターネット上の通信経路を暗号化いたします。
③ 外部からの不正アクセス対策
Firewallによるアクセス制御、及びWAF(Web Application Firewall)による不正アクセス検知
を行います。また、アクセスの内容によっては通信の遮断を行う場合があります。
④ アプリケーションに関する第三者評価
当社の専門チームによる、システムのセキュリティ診断を実施いたします。
⑤ 技術的脆弱性の管理
クリプト便では、バージョンアップ前および定期的な脆弱性診断を実施しております。また、
脆弱性情報の収集を行い、必要に応じて対策を行うとともにアナウンス連絡先等への通知
を行います。
⑥ 情報セキュリティの役割及び責任
「セキュアファイル交換サービス約款」や本書にて、役割及び責任を明記しております。
⑦ 情報セキュリティ要求事項の分析及び仕様化
クリプト便における情報セキュリティ対策及び機能については、「クリプト便オンラインマニュ
アル」をご参照ください。
⑧ 情報セキュリティに配慮した開発のための方針
クリプト便は自社の開発ガイドラインに従って開発を行っております。また、月次でのプラット
フォーム診断やバージョンアップ前のアプリケーション診断、ソースコードの脆弱性診断を
行っております。
15
⑨ 情報セキュリティインシデント管理
・クリプト便にてお客様に影響のある情報セキュリティインシデントが発生し、当社にてこれを
確認した場合は、必要に応じて対策を行うとともにアナウンス連絡先等への通知を行いま
す。
・責任範囲については「セキュアファイル交換サービス約款」をご参照下さい。
・情報セキュリティインシデントに関するお問合せに関しては、クリプト便ヘルプデスクにて
承ります。
・セクション管理者にて確認可能なログ等の収集は、原則お客様にて実施頂きます。それ
以外のログ等の収集が必要な場合は、クリプト便ヘルプデスクまでお問合せください。お客
様のご要望に応じて個別にご相談を承ります。
⑩ 利用者の秘密認証情報の管理
クリプト便のご利用開始時、当社よりセクション管理者アカウントを発行し、お客様にてご指
定頂いたメールアドレス宛に初期パスワードをご連絡致します。初回ログイン時にパスワー
ド変更画面からパスワード変更の手続きを行って頂きます。以後はセクション管理者や一般
ユーザにおけるパスワード等の認証情報は、原則お客様にて管理頂きます。セクション管
理者および一般ユーザの管理方法については、「クリプト便オンラインマニュアル(セクショ
ン管理者)」をご参照ください。
⑪ 実務管理者の運用セキュリティ
必要な操作手順については、「クリプト便オンラインマニュアル(セクション管理者)」にて提
供しております。
⑫ 情報セキュリティの独立したレビュー
・当社では ISMS認証を取得しております。また、クリプト便サービス運用業務では、株式会
社アイ・エス・レーティングによる情報セキュリティ格付けにおいて国内最高である「AAAis」
を取得しております。
・クリプト便をご利用中もしくはご利用を検討されているお客様が定めるチェックシート等に
ついて回答を行っております。
・クリプト便が利用しているデータセンターについては、見学および質疑応答、当社エンジ
ニアへのヒアリング等を有償にて承っております。