ドキュサイン製品の主要なセキュリティ機能と運用について
ドキュサインでは、セキュリティリスクに対する要件は組織によって異なり、組織が事業を展開している業界と、それに対応する法的・規制的要件の両方により変わってくることを理解してます。そのため、ドキュサイン製品はセキュリティを最優先事項とし、組織ごとにセキュリティ設定をカスタマイズできることを念頭において開発されています。
ドキュサインでは、セキュリティリスクに対する要件は組織によって異なり、組織が事業を展開している業界と、それに対応する法的・規制的要件の両方により変わってくることを理解してます。そのため、ドキュサインのすべての製品は、セキュリティを最優先事項として研究、設計、開発されるとともに、セキュリティ設定を利用組織においてカスタマイズできることを念頭に置いて構築されています。
Docusign Agreement Cloudでは、データ保管時と転送時においてセキュリティを最大化するため、データへのアクセス、管理、共有に関するセキュリティリスク要件に合わせて、セキュリティの設定を必要に応じて変更することができます。さらに、当社の信頼できるプラットフォーム上で稼働するドキュサインの各製品は、お客様のデータが安全に保護されていることを保証するために、第三者機関による厳しい外部監査を受けています。
すべてのドキュサイン製品内の文書とデータを保護する主要なセキュリティ機能と運用の概要について以下にご紹介します。
ハードウェアとインフラストラクチャ
地理的に分散したISO 27001認定のSOC監査済みデータセンターを複数地域に配置
ほぼリアルタイムの安全なデータレプリケーションと暗号化された文書記録の保管
業界標準に準拠した厳格な物理的アクセス制御による24時間体制でのオンサイトセキュリティ
年次の事業継続計画(BCP)および災害復旧(DR)テスト
プロフェッショナルかつ商用グレードのファイアウォール、ボーダールーター、およびネットワーク管理システム
システムと運用
物理的および論理的に分離されたネットワーク
一元管理された論理アクセス管理システム
二要素認証、暗号化されたVPNアクセス
DDoS(分散型サービス拒否)攻撃の緩和
プロアクティブな侵入検知と防止
有害な可能性のあるコードが検出された場合、ドキュサインのサイバーインシデント対応チームに自動的に警告するマルウェア対策ソフトウェアの統合
第三者機関によるペネトレーションテスト
アプリケーションとアクセス
サードパーティによる正式なコードレビューと脆弱性の排除
アプリケーションレベルのAES 256ビット暗号化
暗号鍵管理および暗号化プログラム
マルウェアからの保護
ドキュサインを使用して生成および署名されたすべてのドキュメントに対して否認防止を提供する完了証明書を備えたデジタル監査証跡
柔軟にカスタマイズ可能なセキュリティ機能
多要素認証によりドキュサイン製品および関連ドキュメントへのアクセスを許可されたユーザーのみが確実にそれらにアクセスできるという追加の保証を提供
すべてのビジネス・トランザクション・タイプで役割ベースの認証を行うことで、特定の個人へのアクセスを指定することが可能
認証に関する詳細は「ドキュサインの電子署名における本人認証について」をご覧ください。
データ転送と保管
業界のベストプラクティス標準に従って利用者のデータを暗号化
HTTPSによりドキュサインへのデータへのアクセスと転送を実行
改ざん防止の制御
署名イベントの検証
変更されないよう系統的に署名データを取り込み
デジタル証明書技術
データ保持期間が顧客で設定可能
ドキュサインの完了証明書については、ブログ記事「ドキュサインの電子署名では何が記録されますか?」で詳しく解説しています。
エンドツーエンドの包括的なセキュリティ
ドキュサインのプラットフォームは、お客様とそのデータにエンドツーエンドのセキュリティを提供しています。
機密性:顧客情報はドキュサインの従業員も含め外部から機密性が保たれ、顧客のドキュメントやデータは非公開で、アクセス権限はワークフローで管理されています。
整合性:各文書はオリジナルの状態で改ざんされていないことが保証されています。
可用性:ドキュサインの複製された地理的に分散したインフラストラクチャは、一貫した高可用性を提供し、顧客が必要とするときにいつでもサービスが提供されることを保証します。
真正性:署名イベントの多面的な検証により、お客様は署名者の真正性を信頼することができます。
否認防止:顧客の文書は技術的に保護され、ドキュサインのソリューションで利用可能な監査証跡と完了証明書を含め様々な手続きにおいて重要な証拠として利用することが可能です。
情報の開示:我々に責任のあるあらゆる方法での情報開示は歓迎です。これには、ドキュサイン製品に発見された脆弱性も含めてです。ドキュサインは、誠実な報告書に対してセーフハーバーポリシーを全面的に支持します。不具合レポートを product-security@docusign.com にEメールで送信することで、当社の製品セキュリティチームに連絡することができます。
※本ブログは「Trust Center - Product security」の抄訳で、日本のお客様向けに一部加筆修正しています。
関連記事