AGOL CCM v3.0.1 J ArcGIS Online クラウド セキュリティ アライアンス (CSA) クラウド コントロール マトリックス (CCM) 3.0.1

AィcGIS Online ク ウ セキュ テ

ン (CSA) ク ウ コン ロー マ

ック (CCM) 3.ご.さ

2ごさ、 年 さ ⽉

本資料

AィcGIS Online ク ウ セキュ テ

ン (CSA) ク ウ コン ロー マ

ック (CCM) 3.ご.さ を

どイィi 社 ⾃⼰評価し 表 す でSづ 質問表を参考

どイィi 社 づィcにねS Onlinら 提供す

ー

う セ

管理 存在す

を⽂書化し います 質問表

ー

顧客や監査役

バ

ー

尋

い さ33 質問 あ ます

でSづ

国際的 活動を展開し い ⾮営利法⼈ す そ 使命

コン

ー

ン

セ

を実現す

ベ

を広 推奨す

あ ます

そし

ー ー 対し

利⽤ 際し

セ

確保 向け

啓発教育を提供します 様々 業種 セ

専⾨家 企業 組織

使命

でSづ 参加し います どイィi 2ごさ3 年

でSづ ででM 回答し

今後 改訂

新しい ででM 対応し づィcにねS Onlinら 重点を置い

ン を更新し続けます

前バー

ン さ.x ででM

3.x ででM 主 変更点：



下記

ー

セ

転送 保証す 上

情報セ

対処す 5

新しいコン

ー

ン 追加

まし

- バ

セ

ーン 管理 透明性 説明責任 相互運⽤性

ー

性 暗号化 鍵 管理



コン

ー

ン

セ

ン V3

調和を⾼ まし



コン

ー

ン全体 コン

ー

監査性を向上し コン

ー ねと 命名規則を拡張しまし



でSづ

バー

ン 3.ご.さ 質問

ー 更新 修正 ⾏わ まし

ン

バー

ン 3.ご.さ が2ごさ6こさごこ6き 更新 対応しまし

づィcにねS Onlinら 2ごさ4 年 ⽶国農務省 がUSとづき

なねSMづ Low づTO ⽶国連邦政府機関

情報セ

ネ

ン 法 基 い 認定 を取得し います

客様

づィcにねS

Onlinら を利⽤し 認証 合致し 拡張可能

ー

を広く⼀般公開す

や ⾃分 組織内 認証

基盤

機密情報を

ー

ー

し ホ

す

ま

す づィcにねS Onlinら 関す セ

バ ー コン

ン

詳細

い

れttp:ここTィウイt.づィcにねS.com

を 参照く

い

づィcにねS Onlinら 国際的 ベ

基盤 あ Micィoイoりt づzウィら づmazon Wらb Sらィェicらイ を利⽤し います

でSづ 質問表 回答を提供し

でSづ 登録

ン ー

ます

れttp:ここよownloaよイ.らイィi.comこィらイoウィcらイこらntらィpィiイらるiイこづにOL（でSづ（ででM.pより

本⽂書内 質問 (Updated Contィol Specification 列) 翻訳⽂

CCM ⽇本語版(バー ョン3.ご.さ) を 参照くだ い

http://cloudイecuィityalliance.jp/WG_PUB/CCM_WG/CSA_CCM_v3.ご.さ_のさ.ご_Pub.pdf

回答に出てくる略語⼀覧

OWASP: Opらn Wらb づpplication Sらcウィity Pィojらct

FISMA: ならよらィal ねnりoィmation Sらcウィity Moよらィnization づct

NIST: National ねnイtitウtら oり Stanよaィよイ anよ Tらcれnoloるy

FedRAMP: ならよらィal Riイk anよ づウtれoィization Manaるらmらnt Pィoるィam

CCTV: でloイらよ-ciィcウit Tらlらェiイion

ISMP: ねnイtitウtら りoィ Saりら Mらよication Pィacticらイ

OVF: Opらn Viィtウalization なoィmat

Appl i c at i on & I nt er f ac e Sec ur i t y Appl i c at i on Sec ur i t y アプリケーションとインタ フェース セキュリティ アプリケーション セキュリ ティ

AI S- 01 Appl i c at i ons and pr ogr ammi ng i nt er f ac es ( API s ) s hal l be des i gned, dev el oped, depl oyed, and t es t ed i n ac c or danc e wi t h l eadi ng i ndus t r y s t andar ds ( e. g. , OWASP f or web appl i c at i ons ) and adher e t o appl i c abl e l egal , s t at ut or y, or r egul at or y c ompl i anc e obl i gat i ons .

Bui l di ng and val i dat i ng Ar c GI S Onl i ne c ode agai ns t l eadi ng s ec ur i t y i ndus t r y s t andar ds s uc h as OWASP i s t he f oundat i on f or bui l di ng a r obus t of f er i ng. Thi s i s enf or c ed wi t hi n t he c ont i nuous moni t or i ng r equi r ement s of t he Ar c GI S Onl i ne FI SMA aut hor i z at i on. Ar c GI S Onl i ne i s s c anned at a mi ni mum of ever y 60 days t o ens ur e s er v i c es ar e r egul ar l y v al i dat ed agai ns t s t andar ds s uc h as OWASP.

OWASP などの主要なセキュリティ業界標準に 従って Ar c GI S Onl i ne のコードを構築、実証することは、信頼性の高い サービスを提供する上での基礎となります。 これは、Ar c GI S Onl i ne FI SMA 認証の継続的なモニタリング要件の中で実施 されています。

Ar c GI S Onl i ne は最低 60 日ごとに、サービ スが OWASP な どの標準に従っているか定期的に検査されて います。

● A9. 4. 2 A9. 4. 1, 8. 1*Par t i al , A14. 2. 3, 8. 1*par t i al , A. 14. 2. 7 A12. 6. 1, A18. 2. 2

NI ST SP 800- 53 R3 SC- 5 NI ST SP 800- 53 R3 SC- 6 NI ST SP 800- 53 R3 SC- 7 NI ST SP 800- 53 R3 SC- 12 NI ST SP 800- 53 R3 SC- 13 NI ST SP 800- 53 R3 SC- 14 Appl i c at i on & I nt er f ac e

Sec ur i t y Cus t omer Ac c es s Requi r ement s アプリケーションとインタ フェース セキュリティ 顧客アクセスの要件

AI S- 02 Pr i or t o gr ant i ng c us t omer s ac c es s t o dat a, as s et s , and i nf or mat i on s ys t ems , i dent i f i ed s ec ur i t y, c ont r ac t ual , and r egul at or y r equi r ement s f or c us t omer ac c es s s hal l be addr es s ed.

Bef or e us i ng Ar c GI S Onl i ne, c us t omer s ar e r equi r ed t o r ev i ew and agr ee wi t h t he ac c ept abl e us e of dat a and Ar c GI S Onl i ne s er vi c e, as wel l as s ec ur i t y and pr i vac y r equi r ement s , whi c h ar e def i ned i n t he Ter ms of Ser vi c e @

ht t p: / / www. es r i . c om/ l egal / pdf s / ml a_ e204_ e300/ engl i s h#A ddendu

m_ 3 and Pr i vac y pol i c y @ ht t p: / / www. es r i . c om/ l egal / pr i vac y. Ar c GI S Onl i ne mai nt ai ns a FI SMA Low s ec ur i t y aut hor i z at i on t hr ough t he US Gover nment and ut i l i z es c l oud i nf r as t r uc t ur e pr ov i der s t hat ar e I SO 27001 c ompl i ant . I t i s al s o Saf e Har bor c ompl i ant f or pr i vac y as s ur anc e. Addi t i onal i nf or mat i on c onc er ni ng t he s ec ur i t y and pr i v ac y of Ar c GI S Onl i ne may be f ound wi t hi n t he Tr us t . Ar c GI S. c om webs i t e.

Ar c GI S Onl i ne を使用する前に、顧客はデー タと Ar c GI S Onl i ne サービスの利用規約と、下記のサービス利用規約に 定義されているセキュリティとプライバシー 要件を確認して 同意する必要があります。

ライセンスおよびサービス契約書：

ht t p: / / www. es r i . c om/ ~/ medi a/ Fi l es / Pdf s / l egal / pdf s / ml a_ e204_ e300/ j apanes e

プライバシー ポリシー： ht t p: / / www. es r i . c om/ l egal / pr i vac y

Ar c GI S Onl i ne は米国政府から FI SMA Low セキュリティ認 証を取得しており、I SO 27001 に準拠するク ラウド基盤のプ ロバイダーを利用しています。また、プライ バシーを保証す る Pr i v ac y Shei l d にも準拠しています。セ キュリティとプ ライバシーに関する詳細情報は、Tr us t . Ar c GI S. c om サイト をご参照ください。

● ● A9. 1. 1. NI ST SP 800- 53 R3 CA- 1 NI ST SP 800- 53 R3 CA- 2 NI ST SP 800- 53 R3 CA- 2 ( 1) NI ST SP 800- 53 R3 CA- 5 NI ST SP 800- 53 R3 CA- 6

Appl i c at i on & I nt er f ac e Sec ur i t y Dat a I nt egr i t y アプリケーションとインタ フェース セキュリティ データの完全性

AI S- 03 Dat a i nput and out put i nt egr i t y r out i nes ( i . e. , r ec onc i l i at i on and edi t c hec ks ) s hal l be i mpl ement ed f or appl i c at i on i nt er f ac es and dat abas es t o pr ev ent manual or s ys t emat i c pr oc es s i ng er r or s , c or r upt i on of dat a, or mi s us e.

Cus t omer s c an c hoos e t o r equi r e HTTPS ( TLS) f or t hei r Ar c GI S Onl i ne or gani z at i on t o ens ur e i nt egr i t y of dat a i n t r ans i t .

Ar c GI S Onl i ne ut i l i z es r el at i onal dat abas es t o manage t he i nt egr i t y of f eat ur e dat as et s upl oaded by c us t omer s .

The c l oud i nf r as t r uc t ur e pr ov i der s ar e c ompl i ant wi t h I SO 27001 and ens ur e dat a i nt egr i t y i s mai nt ai ned t hr ough al l phas es i nc l udi ng t r ans mi s s i on, s t or age and pr oc es s i ng.

顧客は Ar c GI S Onl i ne 組織サイトのデータ転送の完全性を 保証するために HTTPS ( TLS) を必須にすることができま す。Ar c GI S Onl i ne は顧客がアップロードし たフィーチャ データセットの完全性を管理するためにリレ ーショナル データベースを利用しています。

クラウド インフラストラクチャ プロバイダ ーは I SO 27001 に準拠しており、データ転送、格納、処理の すべての段階で データの完全性を保証します。

● ● A13. 2. 1, A13. 2. 2, A9. 1. 1, A9. 4. 1, A10. 1. 1 A18. 1. 4

NI ST SP 800- 53 R3 SI - 2 NI ST SP 800- 53 R3 SI - 3

Appl i c at i on & I nt er f ac e Sec ur i t y

Dat a Sec ur i t y / I nt egr i t y アプリケーションとインタ フェース セキュリティ データ セキュリティ/ 完全性

AI S- 04 Pol i c i es and pr oc edur es s hal l be es t abl i s hed and mai nt ai ned i n s uppor t of dat a s ec ur i t y t o i nc l ude ( c onf i dent i al i t y, i nt egr i t y and avai l abi l i t y) ac r os s mul t i pl e s ys t em i nt er f ac es , j ur i s di c t i ons and bus i nes s f unc t i ons t o pr ev ent i mpr oper di s c l os ur e, al t er at i on, or des t r uc t i on.

Es r i ' s Cor por at e Sec ur i t y pol i c i es ar e bas ed on NI ST 800- 53 s ec ur i t y c ont r ol s whi c h map t o I SO 27001 c ont r ol s . Ar c GI S Onl i ne dat a s ec ur i t y meas ur es ar e i n al i gnment wi t h FI SMA Low r equi r ement s ( t hat have NI ST 800- 53 s ec ur i t y c ont r ol s as i t ' s c or e) . Ar c GI S Onl i ne pr oc edur es i nc l ude r equi r i ng t hat updat es ar e r ev i ewed f or unaut hor i z ed c hanges dur i ng t he r el eas e

management pr oc es s .

Ar c GI S Onl i ne' s c l oud i nf r as t r uc t ur e pr ovi der s dat a s ec ur i t y pol i c i es , pr oc edur es , and pr oc es s es al i gn wi t h i ndus t r y s t andar ds s uc h as FedRAMP Moder at e and I SO 27001.

Es r i のコーポレート セキュリティ ポリシーは、 I SO 27001 コントロール上に位置付ける NI ST 800- 53 セキュリ ティ コントロールに基づいています。Ar c GI S Onl i ne の データ セキュリティの評価基準は NI ST 800- 53 セキュリ ティ コントロールが中核にある FI SMA Low 要件に合致して います。

Ar c GI S Onl i ne の手順には、リリース管理プ ロセス内で更新 の際に必ず不正な変更をチェックすることが 含まれていま す。

Ar c GI S Onl i ne のクラウド インフラストラクチャ プロバイ ダーのデータ セキュリティ ポリシー、手順 、プロセスは、 FedRAMP Moder at e や I SO 27001 などの業界 標準に従ってい ます。

● A13. 2. 1, A13. 2. 2, A9. 1. 1, A9. 4. 1, A10. 1. 1 A18. 1. 4

NI ST SP 800- 53 R3 AC- 1 NI ST SP 800- 53 R3 SC- 1 NI ST SP 800- 53 R3 SC- 13

Audi t As s ur anc e & Compl i anc e Audi t Pl anni ng 監査保証とコンプライアンス 監査計画

AAC- 01 Audi t pl ans s hal l be devel oped and mai nt ai ned t o addr es s bus i nes s pr oc es s di s r upt i ons . Audi t i ng pl ans s hal l f oc us on r evi ewi ng t he ef f ec t i v enes s of t he i mpl ement at i on of s ec ur i t y oper at i ons . Al l audi t ac t i v i t i es mus t be agr eed upon pr i or t o exec ut i ng any audi t s .

Es r i empl oys a f ul l t i me i nf or mat i on as s ur anc e t eam t o ens ur e audi t s ar e appr opr i at el y pl anned and c oor di nat ed. Ar c GI S Onl i ne i s audi t ed i n ac c or danc e wi t h FI SMA Low r equi r ement s whi c h i nc l udes ens ur i ng audi t or s pr ov i de an audi t pl an and agr ee t o Rul es of Engagement t er ms bef or e exec ut i ng an audi t . Ar c GI S Onl i ne ut i l i z es c l oud i nf r as t r uc t ur e f r om Mi c r os of t Az ur e, and Amaz on Web Ser vi c es . Eac h of t he c l oud i nf r as t r uc t ur e pr ov i der s r egul ar l y audi t t hei r oper at i ons and c an pr ov i de t hem under t hei r own NDA' s .

Es r i はフルタイムの情報保証チームを雇用して、監査が適 切に計画、実施されるようにしています。Ar c GI S Onl i ne は、監査前に監査人が監査計画を提出し、活 動規則の条項に 同意することが記載された FI SMA Low 要件に従って監査が 行われています。

Ar c GI S Onl i ne は Mi c r os of t Az ur e と Amaz on Web Ser vi c es のクラウド基盤を利用しています。どちらのクラ ウド インフラストラクチャ プロバイダーも 定期的に運用を 監査し、それぞれの NDA の下に実施しています。

● Cl aus es 4. 3( a) , 4. 3( b) , 5. 1( e) , 5. 1( f ) , 6. 2( e) , 9. 1, 9. 1( e) , 9. 2, 9. 3( f ) , A12. 7. 1

NI ST SP 800- 53 R3 CA- 2 NI ST SP 800- 53 R3 CA- 2 ( 1) NI ST SP 800- 53 R3 CA- 7

Audi t As s ur anc e & Compl i anc e I ndependent Audi t s 監査保証とコンプライアンス 独立した監査

AAC- 02 I ndependent r ev i ews and as s es s ment s s hal l be per f or med at l eas t annual l y t o ens ur e t hat t he or gani z at i on addr es s es nonc onf or mi t i es of es t abl i s hed pol i c i es , s t andar ds , pr oc edur es , and c ompl i anc e obl i gat i ons .

I ndependent audi t s of s ec ur i t y c ont r ol s i n pl ac e f or Ar c GI S Onl i ne ar e c onduc t ed on a r egul ar bas i s i n al i gnment wi t h FI SMA Low r equi r ement s . Cl oud i nf r as t r uc t ur e pr ov i der s ar e s ubj ec t ed t o r egul ar i nt er nal and ext er nal audi t s ( at l eas t annual l y) i n al i gnment wi t h FedRAMP Moder at e and I SO 27001 r equi r ement s .

Ar c GI S Onl i ne に対する、FI SMA Low 要件に 合致した独立し たセキュリティ コントロールの監査が定期的に実施されて います。

クラウド インフラストラクチャ プロバイダ ーに対しては、 FedRAMP Moder at e と I SO 27001 に合致した 定期的な内部監 査と最低年に 1 回の外部監査が行われています。

● ● Cl aus es 4. 3( a) , 4. 3( b) , 5. 1( e) , 5. 1( f ) , 9. 1, 9. 2, 9. 3( f ) , A18. 2. 1

NI ST SP 800- 53 R3 CA- 1 NI ST SP 800- 53 R3 CA- 2 NI ST SP 800- 53 R3 CA- 2 ( 1) NI ST SP 800- 53 R3 CA- 6 NI ST SP 800- 53 R3 RA- 5 Audi t As s ur anc e &

Compl i anc e I nf or mat i on Sys t em Regul at or y Mappi ng 監査保証とコンプライアンス 情報システム規制の対応付け

AAC- 03 Or gani z at i ons s hal l c r eat e and mai nt ai n a c ont r ol f r amewor k whi c h c apt ur es s t andar ds , r egul at or y, l egal , and s t at ut or y r equi r ement s r el evant f or t hei r bus i nes s needs . The c ont r ol f r amewor k s hal l be r evi ewed at l eas t annual l y t o ens ur e c hanges t hat c oul d af f ec t t he bus i nes s pr oc es s es ar e r ef l ec t ed.

FI SMA aut hor i z at i on i s bas ed on t he NI ST 800- 53 c ont r ol f r amewor k hel pi ng ens ur e Ar c GI S Onl i ne c ompl i es wi t h appl i c abl e dat a pr ot ec t i on and pr i vac y l aws . Ar c GI S Onl i ne has an es t abl i s hed pr oc es s f or i dent i f yi ng and i mpl ement i ng c hanges t o s er v i c es i n r es pons e t o c hanges i n appl i c abl e s t at ut es and r egul at i ons . Cus t omer s r et ai n owner s hi p of t hei r dat a and ar e r es pons i bl e f or c ompl i anc e wi t h l aws and r egul at i ons s pec i f i c t o t hei r i ndus t r y or par t i c ul ar us e of Ar c GI S Onl i ne.

Ar c GI S Onl i ne us es c l oud i nf r as t r uc t ur e pr ov i der s t hat moni t or and updat e al l r el evant and r egul at or y r equi r ement s wi t h pr oc es s es

t hat al i gn wi t h FedRAMP Moder at e and I SO 27001.

FI SMA 認証は NI ST 800- 53 コントロール フレームワーク に基づいており、Ar c GI S Onl i ne が適切なデ ータ保護とプラ イバシー法に適合することを保証します。Ar c GI S Onl i ne に は適用する法令や規則が変更された場合に、 変更点を特定し サービスに変更を実装する既存プロセスがあ ります。 顧客はデータの所有権を保持し、顧客の業界 特有の法や規 制、Ar c GI S Onl i ne の利用規約を順守する責 任があります。 Ar c GI S Onl i ne は FedRAMP Moder at e と I SO 27001 と合致 する、すべての関連する規制要件プロセスを モニターして更 新するクラウド インフラストラクチャ プロ バイダーを利用 しています。

● ● Cl aus es 4. 2( b) , 4. 4, 5. 2( c ) , 5. 3( ab) , 6. 1. 2, 6. 1. 3, 6. 1. 3( b) , 7. 5. 3( b) , 7. 5. 3( d) , 8. 1, 8. 3 9. 2( g) , 9. 3, 9. 3( b) , 9. 3( f ) , 10. 2, A. 8. 2. 1, A. 18. 1. 1, A. 18. 1. 3, A. 18. 1. 4, A. 18. 1. 5

NI ST SP 800- 53 R3 AC- 1 NI ST SP 800- 53 R3 AT- 1 NI ST SP 800- 53 R3 AU- 1 NI ST SP 800- 53 R3 CA- 1 NI ST SP 800- 53 R3 CM- 1 NI ST SP 800- 53 R3 CP- 1 NI ST SP 800- 53 R3 I A- 1 NI ST SP 800- 53 R3 I A- 7 NI ST SP 800- 53 R3 I R- 1 NI ST SP 800- 53 R3 MA- 1 NI ST SP 800- 53 R3 MP- 1 NI ST SP 800- 53 R3 PE- 1 NI ST SP 800- 53 Bus i nes s Cont i nui t y

Management & Oper at i onal Res i l i enc e Bus i nes s Cont i nui t y Pl anni ng 事業継続管理と運用の再開 事業継続計画

BCR- 01 A c ons i s t ent uni f i ed f r amewor k f or bus i nes s c ont i nui t y pl anni ng and pl an

devel opment s hal l be es t abl i s hed, doc ument ed and adopt ed t o ens ur e al l

bus i nes s c ont i nui t y pl ans ar e c ons i s t ent i n addr es s i ng pr i or i t i es f or

t es t i ng, mai nt enanc e, and i nf or mat i on s ec ur i t y r equi r ement s .

Requi r ement s f or bus i nes s c ont i nui t y pl ans i nc l ude t he f ol l owi ng:

• Def i ned pur pos e and s c ope, al i gned wi t h r el ev ant dependenc i es

• Ac c es s i bl e t o and under s t ood by t hos e who wi l l us e t hem

• Owned by a named per s on( s ) who i s r es pons i bl e f or t hei r r ev i ew, updat e, and appr oval

• Def i ned l i nes of c ommuni c at i on, r ol es , and r es pons i bi l i t i es

• Det ai l ed r ec ov er y pr oc edur es , manual wor k- ar ound, and r ef er enc e i nf or mat i on

• Met hod f or pl an i nvoc at i on

Ar c GI S Onl i ne has a f ul l Cont i nuni t y Pl an des i gned i n al i gnment wi t h FI SMA s ec ur i y c ont r ol r equi r ement s . Ar c GI S Onl i ne c l oud I nf r as t r uc t ur e pr ov i der s ens ur e t hei r bus i nes s c ont i nui t y pl ans al i gn wi t h I SO 27001 s t andar ds .

Ar c GI S Onl i ne は、FI SMA セキュリティ コントロール要件 に従って、完全な事業継続計画を作成してい ます。 Ar c GI S Onl i ne のクラウド インフラストラクチャ プロバイ ダーは、事業継続計画が I SO 27001 標準に適合することを 保証します。

● ● Cl aus e 5. 1( h) A. 17. 1. 2 A. 17. 1. 2

NI ST SP800- 53 R3 CP- 1 NI ST SP800- 53 R3 CP- 2 NI ST SP800- 53 R3 CP- 3 NI ST SP800- 53 R3 CP- 4 NI ST SP800- 53 R3 CP- 9 NI ST SP800- 53 R3 CP- 10

Bus i nes s Cont i nui t y Management & Oper at i onal Res i l i enc e Bus i nes s Cont i nui t y Tes t i ng

事業継続管理と運用の再開 事業継続テスト

BCR- 02 Bus i nes s c ont i nui t y and s ec ur i t y i nc i dent r es pons e pl ans s hal l be s ubj ec t t o t es t i ng at pl anned i nt er val s or upon s i gni f i c ant or gani z at i onal or envi r onment al c hanges . I nc i dent r es pons e pl ans s hal l i nv ol ve i mpac t ed c us t omer s ( t enant ) and ot her bus i nes s r el at i ons hi ps t hat r epr es ent c r i t i c al i nt r a- s uppl y c hai n bus i nes s pr oc es s dependenc i es .

Ar c GI S Onl i ne does c ont i ngenc y pl an and i nc i dent r es pons e pl an t es t i ng at a mi ni mum of annual l y i n al i gnment wi t h FI SMA Low r equi r ement s . Ar c GI S Onl i ne' s c l oud i nf r as t r uc t ur e pr ovi der s bus i nes s c ont i nui t y pol i c i es , pl ans , and pr oc es s es ar e dev el oped and t es t ed i n al i gnment wi t h I SO 27001 s t andar ds .

Ar c GI S Onl i ne は、危機管理計画とインシデ ント対応計画を FI SMA Low 要件に従い、最低年に 1 回検証しています。 Ar c GI S Onl i ne のクラウド インフラストラクチャ プロバイ ダーの事業継続に関する方針、計画、プロセ スは、I SO 27001 標準に従って、作成、検証されていま す。

● ● A17. 3. 1 NI ST SP800- 53 R3 CP- 2 NI ST SP800- 53 R3 CP- 3 NI ST SP800- 53 R3 CP- 4

Bus i nes s Cont i nui t y Management & Oper at i onal Res i l i enc e Dat ac ent er Ut i l i t i es / Env i r onment al Condi t i ons 事業継続管理と運用の再開 データ センターの設備　/ 環境条件

BCR- 03 Dat ac ent er ut i l i t i es s er v i c es and env i r onment al c ondi t i ons ( e. g. , wat er , power , t emper at ur e and humi di t y c ont r ol s , t el ec ommuni c at i ons , and i nt er net c onnec t i v i t y) s hal l be s ec ur ed, moni t or ed, mai nt ai ned, and t es t ed f or c ont i nual ef f ec t i v enes s at pl anned i nt er val s t o ens ur e pr ot ec t i on f r om unaut hor i z ed i nt er c ept i on or damage, and des i gned wi t h aut omat ed f ai l - ov er or ot her r edundanc i es i n t he event of pl anned or unpl anned di s r upt i ons .

Ar c GI S Onl i ne us es c l oud i nf r as t r uc t ur e pr ov i der s whos e dat ac ent er s c ompl y wi t h i ndus t r y s t andar ds ( s uc h as I SO 27001) f or phys i c al s ec ur i t y and av ai l abi l i t y.

Ar c GI S Onl i ne は、物理的なセキュリティと 可用性に関する 業界標準 ( I SO 27001 など) に適合したクラ ウド インフラ ストラクチャ プロバイダーを利用しています。

● A11. 2. 2, A11. 2. 3

NI ST SP800- 53 R3 PE- 1 NI ST SP800- 53 R3 PE- 13 NI ST SP800- 53 R3 PE- 13 ( 1) NI ST SP800- 53 R3 PE- 13 ( 2) NI ST SP800- 53 R3 PE- 13 ( 3) Bus i nes s Cont i nui t y

Management & Oper at i onal Res i l i enc e Doc ument at i on 事業継続管理と運用の再開 文書

BCR- 04 I nf or mat i on s ys t em doc ument at i on ( e. g. , admi ni s t r at or and us er gui des , and ar c hi t ec t ur e di agr ams ) s hal l be made av ai l abl e t o aut hor i z ed per s onnel t o ens ur e t he f ol l owi ng:

• Conf i gur i ng, i ns t al l i ng, and oper at i ng t he i nf or mat i on s ys t em

• Ef f ec t i v el y us i ng t he s ys t em’s s ec ur i t y f eat ur es

I nf or mat i on s ys t em doc ument at i on i s made avai l abl e i nt er nal t o Ar c GI S Onl i ne per s onnel t hr ough t he us e of Es r i ' s I nt r anet s i t e.

For s ec ur i t y and oper at i onal r eas ons , Es r i does not pr ovi de i nt er nal oper at i ons doc ument at i on t o c us t omer s . For bes t pr ac t i c e s ec ur i t y i mpl ement at i on gui danc e f or c us t omer or gani z at i ons i n Ar c GI S Onl i ne, s ee:

ht t ps : / / doc . ar c gi s . c om/ en/ t r us t / s ec ur i t y/ ar c gi s onl i ne-bes t - pr ac t i c es . ht m.

Ther e ar e al s o det ai l ed us er gui des avai l abl e i n t he onl i ne hel p s ec t i on f or Ar c GI S Onl i ne: ht t p: / / doc . ar c gi s . c om/ en/ ar c gi s - onl i ne/

Ar c GI S Onl i ne に携わる社員が、情報システ ムに関する文書 を Es r i 社のイントラネット サイトで内部 利用できるよう になっています。セキュリティと運用上の理 由のため、Es r i は内部の運用ドキュメントを顧客には提供し ません。 顧客の Ar c GI S Onl i ne の組織サイトに実装するベスト プラ クティスのセキュリティ ガイダンスは下記にあります： ht t ps : / / doc . ar c gi s . c om/ j a/ t r us t / s ec ur i t y/ ar c gi s -onl i ne- bes t - pr ac t i c es . ht m

また、詳細なユーザー ガイドを Ar c GI S Onl i ne のオンライ ン ヘルプで参照できます：

ht t p: / / doc . ar c gi s . c om/ j a/ ar c gi s - onl i ne/

● Cl aus e 9. 2( g) A12. 1. 1

NI ST SP 800- 53 R3 CP- 9 NI ST SP 800- 53 R3 CP- 10 NI ST SP 800- 53 R3 SA- 5 I SO/ I EC 27001: 2013

F I SMA - - L OW I MPACT -Cont r ol Domai n Cont r ol

I D

Updat ed Cont r ol Spec i f i c at i on サ ー ビ ス

プ ロ バ イ ダ ー

テ ナ ン ト / 顧 客 Ar c GI S Onl i ne Res pons e

I SO/ I EC 27001: 2013

F I SMA - - L OW I MPACT -Cont r ol Domai n Cont r ol

I D

Updat ed Cont r ol Spec i f i c at i on サ ー ビ ス

プ ロ バ イ ダ ー

テ ナ ン ト / 顧 客 Ar c GI S Onl i ne Res pons e

( 日 本 語 訳 )

Bus i nes s Cont i nui t y Management & Oper at i onal Res i l i enc e Env i r onment al Ri s ks 事業継続管理と運用の再開 環境リスク

BCR- 05 Phys i c al pr ot ec t i on agai ns t damage f r om nat ur al c aus es and di s as t er s , as wel l as del i ber at e at t ac ks , i nc l udi ng f i r e, f l ood, at mos pher i c el ec t r i c al di s c har ge, s ol ar i nduc ed geomagnet i c s t or m, wi nd, ear t hquake, t s unami , expl os i on, nuc l ear ac c i dent , vol c ani c ac t i vi t y, bi ol ogi c al haz ar d, c i vi l unr es t , muds l i de, t ec t oni c ac t i v i t y, and ot her f or ms of nat ur al or man- made di s as t er s hal l be ant i c i pat ed, des i gned, and hav e c ount er meas ur es appl i ed.

Cl oud i nf r as t r uc t ur e pr ov i der env i r onment al c ont r ol s hav e been i mpl ement ed t o pr ot ec t t he dat a c ent er ( c ompl yi ng wi t h I SO 27001) i nc l udi ng: - Temper at ur e c ont r ol

- Heat i ng, Vent i l at i on and Ai r Condi t i oni ng ( HVAC) - Fi r e det ec t i on and s uppr es s i on s ys t ems - Power Management s ys t ems

データ センターを保護するため、クラウド インフラストラ クチャ プロバイダーは I SO 27001 に適合し た下記の環境管 理を実践しています：

- 温度管理 - 暖房、空調、冷房 - 火災探知と消火システム - 電力管理システム

● A11. 1. 4, A11. 2. 1 A11. 2. 2

NI ST SP800- 53 R3 PE- 1 NI ST SP800- 53 R3 PE- 13 NI ST SP800- 53 R3 PE- 14 NI ST SP800- 53 R3 PE- 15

Bus i nes s Cont i nui t y Management & Oper at i onal Res i l i enc e Equi pment Loc at i on 事業継続管理と運用の再開 機器の保管場所

BCR- 06 To r educ e t he r i s ks f r om envi r onment al t hr eat s , haz ar ds , and oppor t uni t i es f or unaut hor i z ed ac c es s , equi pment s hal l be kept away f r om l oc at i ons s ubj ec t t o hi gh pr obabi l i t y envi r onment al r i s ks and s uppl ement ed by r edundant equi pment l oc at ed at a r eas onabl e di s t anc e.

Wi ndows Az ur e s er vi c es ' equi pment i s pl ac e i n env i r onment s whi c h have been engi neer ed t o be pr ot ec t ed f r om t hef t and envi r onment al r i s ks s uc h as f i r e, s moke, wat er , dus t , v i br at i on, ear t hquakes , and el ec t r i c al i nt er f er enc e.

AWS dat a c ent er s i nc or por at e phys i c al pr ot ec t i on agai ns t env i r onment al r i s ks . AWS s er v i c es pr ov i de c us t omer s t he f l exi bi l i t y t o s t or e dat a wi t hi n mul t i pl e geogr aphi c al r egi ons as wel l as ac r os s mul t i pl e Av ai l abi l i t y Zones . Cus t omer s s houl d ar c hi t ec t t hei r AWS us age t o t ake adv ant age of mul t i pl e Regi ons and Av ai l abi l i t y Zones .

Ar c GI S Onl i ne は下記のクラウド インフラストラクチャ プ ロバイダーを利用しています。各プロバイダ ーにおけるリス ク対応は以下の通りです。

Wi ndows Az ur e サービスの設備は、盗難、火 災、煙、水、 埃、振動、地震、電気障害などの環境リスク を防ぐ設計がさ れています。

AWS データ センターは環境リスクに対して物理的な防御を 取り入れています。AWS サービスは顧客に複 数の地理的に離 れたリージョンやアベイラビリティ ゾーンにまたがって データを格納する柔軟性を提供しています。 AWS の複数の リージョンやアベイラビリティ ゾーンを利用するには、顧 客がそのように指定する必要があります。

● A11. 2. 1 NI ST SP800- 53 R3 PE- 1 NI ST SP800- 53 R3 PE- 14 NI ST SP800- 53 R3 PE- 15

Bus i nes s Cont i nui t y Management & Oper at i onal Res i l i enc e Equi pment Mai nt enanc e 事業継続管理と運用の再開 機器のメンテナンス

BCR- 07 Pol i c i es and pr oc edur es s hal l be es t abl i s hed, and s uppor t i ng bus i nes s pr oc es s es and t ec hni c al meas ur es i mpl ement ed, f or equi pment mai nt enanc e ens ur i ng c ont i nui t y and av ai l abi l i t y of oper at i ons and s uppor t per s onnel .

Cl oud i nf r as t r uc t ur e pr ov i der s ens ur e c ont i nui t y of oper at i ons dur i ng equi pment mai nt enanc e. I f an upgr ade of Ar c GI S Onl i ne r equi r e an out age wi ndow, c us t omer s wi l l be not i f i ed ahead of t i me.

クラウド インフラストラクチャ プロバイダ ーは、機器の保 守期間に運用の継続性を保証します。Ar c GI S Onl i ne の更新 時に機能を停止する必要がある場合は、事前 に顧客にお知ら せします。

● A11. 2. 4 NI ST SP 800- 53 R3 MA- 2 NI ST SP 800- 53 R3 MA- 4 NI ST SP 800- 53 R3 MA- 5

Bus i nes s Cont i nui t y Management & Oper at i onal Res i l i enc e Equi pment Power Fai l ur es 事業継続管理と運用の再開 機器の電源障害

BCR- 08 Pr ot ec t i on meas ur es s hal l be put i nt o pl ac e t o r eac t t o nat ur al and man- made t hr eat s bas ed upon a geogr aphi c al l y- s pec i f i c Bus i nes s I mpac t As s es s ment

The c l oud i nf r as t r uc t ur e pr ov i der s ' dat a c ent er s hav e 24x7 uni nt er r upt i bl e power s uppl y ( UPS) and emer genc y power s uppor t , whi c h may i nc l ude gener at or s . Regul ar mai nt enanc e and t es t i ng i s c onduc t ed f or bot h t he UPS and gener at or s . Dat a c ent er s have made ar r angement s f or emer genc y f uel del i ver y.

クラウド インフラストラクチャ プロバイダ ーのデータ セ ンターは、常時、無停電電源装置 ( UPS) と発電機を含む非 常電源を保有しています。UPS と発電機は定 期的に整備と動 作確認が行われています。データ センターは緊急時の燃料 供給の方策を立てています。

● A. 11. 2. 2, A. 11. 2. 3, A. 11. 2. 4

NI ST SP800- 53 R3 PE- 1 NI ST SP800- 53 R3 PE- 12 NI ST SP800- 53 R3 PE- 13 NI ST SP80 0- 53 R3 PE- 14

Bus i nes s Cont i nui t y Management & Oper at i onal Res i l i enc e I mpac t Anal ys i s 事業継続管理と運用の再開 影響分析

BCR- 09 Ther e s hal l be a def i ned and doc ument ed met hod f or det er mi ni ng t he i mpac t of any di s r upt i on t o t he or gani z at i on ( c l oud pr ovi der , c l oud c ons umer ) t hat mus t i nc or por at e t he f ol l owi ng:

• I dent i f y c r i t i c al pr oduc t s and s er vi c es • I dent i f y al l dependenc i es , i nc l udi ng pr oc es s es , appl i c at i ons , bus i nes s par t ner s , and t hi r d par t y s er vi c e pr ovi der s

• Under s t and t hr eat s t o c r i t i c al pr oduc t s and s er vi c es • Det er mi ne i mpac t s r es ul t i ng f r om pl anned or unpl anned di s r upt i ons and how t hes e v ar y over t i me • Es t abl i s h t he maxi mum t ol er abl e per i od f or di s r upt i on

• Es t abl i s h pr i or i t i es f or r ec ov er y

• Es t abl i s h r ec over y t i me obj ec t i v es f or r es umpt i on of c r i t i c al pr oduc t s and s er vi c es wi t hi n t hei r maxi mum t ol er abl e per i od of di s r upt i on

• Es t i mat e t he r es our c es r equi r ed f or r es umpt i on

Ar c GI S Onl i ne c l oud i nf r as t r uc t ur e pr ov i der s per f or m bus i nes s i mpac t anal ys i s ( BI A) meet i ng I SO 27001 s t andar ds r equi r ement s .

Cus t omer s may v i ew i nf r as t r uc t ur e and appl i c at i on s t at us i nf or mat i on on t he f ol l owi ng das hboar ds : AWS: ht t p: / / s t at us . aws . amaz on. c om MS Az ur e: ht t p: / / www. wi ndows az ur e. c om/ en-us / s uppor t / s er v i c edas hboar d/ Ar c GI S Onl i ne: ht t p: / / s t at us . ar c gi s . c om

Ar c GI S Onl i ne のクラウド インフラストラクチャ プロバイ ダーは、 I SO 27001 標準の要件に適合したビジネス インパ クト評価（BI A) を実施しています。顧客は基盤とアプリ ケーションのステータス情報を下記のダッシ ュボードで参照 できます：

AWS: ht t p: / / s t at us . aws . amaz on. c om

MS Az ur e: ht t ps : / / az ur e. mi c r os of t . c om/ j a- j p/ s t at us / Ar c GI S Onl i ne: ht t p: / / s t at us . ar c gi s . c om

● ● A. 17. 1. 1 A. 17. 1. 2

NI ST SP 800- 53 R3 CP- 1 NI ST SP 800- 53 R3 CP- 2 NI ST SP 800- 53 R3 RA- 3

Bus i nes s Cont i nui t y Management & Oper at i onal Res i l i enc e Pol i c y

事業継続管理と運用の再開 ポリシー

BCR- 10 Pol i c i es and pr oc edur es s hal l be es t abl i s hed, and s uppor t i ng bus i nes s pr oc es s es and t ec hni c al meas ur es i mpl ement ed, f or appr opr i at e I T gov er nanc e and s er vi c e management t o ens ur e appr opr i at e pl anni ng, del i ver y and s uppor t of t he or gani z at i on' s I T c apabi l i t i es s uppor t i ng

bus i nes s f unc t i ons , wor kf or c e, and/ or c us t omer s bas ed on i ndus t r y ac c ept abl e s t andar ds ( i . e. , I TI L v 4 and COBI T 5) . Addi t i onal l y, pol i c i es and pr oc edur es s hal l i nc l ude def i ned r ol es and r es pons i bi l i t i es s uppor t ed by r egul ar wor kf or c e t r ai ni ng.

Ar c GI S Onl i ne' s c l oud i nf r as t r uc t ur e pr ovi der s hav e dev el oped Bus i nes s Cont i nui t y doc ument at i on t hat al i gn wi t h I SO 27001 and FedRAMP Moder at e Requi r ement s .

Ar c GI S Onl i ne のクラウド インフラストラクチャ プロバイ ダーは、 I SO 27001 と FedRAMP Moder at e 要件に合致する 事業継続の文書を作成しています。

● Cl aus e 5. 1( h) A. 6. 1. 1 A. 7. 2. 1 A. 7. 2. 2 A. 12. 1. 1

NI ST SP 800- 53 R3 CM- 2 NI ST SP 800- 53 R3 CM- 4 NI ST SP 800- 53 R3 CM- 6 NI ST SP 800- 53 R3 MA- 4 NI ST SP 800- 53 R3 SA- 3 NI ST SP 800- 53 R3 SA- 4 NI ST SP 800- 53 R3 SA- 5

Bus i nes s Cont i nui t y Management & Oper at i onal Res i l i enc e Ret ent i on Pol i c y 事業継続管理と運用の再開 保持ポリシー

BCR- 11 Pol i c i es and pr oc edur es s hal l be es t abl i s hed, and s uppor t i ng bus i nes s pr oc es s es and t ec hni c al meas ur es i mpl ement ed, f or def i ni ng and adher i ng t o t he r et ent i on per i od of any c r i t i c al as s et as per es t abl i s hed pol i c i es and pr oc edur es , as wel l as appl i c abl e l egal , s t at ut or y, or r egul at or y c ompl i anc e obl i gat i ons . Bac kup and r ec ov er y meas ur es s hal l be i nc or por at ed as par t of bus i nes s c ont i nui t y pl anni ng and t es t ed ac c or di ngl y f or ef f ec t i venes s .

Es r i bac ks up Ar c GI S Onl i ne i nf r as t r uc t ur e dat a r egul ar l y.

Cus t omer dat a i s r epl i c at ed t o r edundant i nf r as t r uc t ur e. Ar c GI S Onl i ne pr ovi des c us t omer s wi t h t he abi l i t y t o del et e t hei r dat a; howev er i t i s t he c us t omer ' s r es pons i bi l i t y t o manage dat a r et ent i on t o t hei r own r equi r ement s . A KBA des c r i bi ng bac ki ng up c us t omer dat a i s av ai l abl e at :

ht t p: / / s uppor t . es r i . c om/ en/ knowl edgebas e/ t ec har t i c l es / det ai l / 41166

Es r i は Ar c GI S Onl i ne の基盤データを定期 的にバックアッ プしています。顧客のデータは冗長インフラ ストラクチャ にレプリケートされます。Ar c GI S Onl i ne は 顧客に自分の データを削除する機能を提供していますが、 顧客自身の要求 に基づいてデータ保持を管理する責任は顧客 にあります。顧 客データのバックアップに関するサポート技 術情報は下記を ご参照ください：

ht t p: / / s uppor t . es r i . c om/ en/ t ec hni c al - ar t i c l e/ 000011795

● ● Cl aus es 9. 2( g) 7. 5. 3( b) 5. 2 ( c ) 7. 5. 3( d) 5. 3( a) 5. 3( b) 8. 1 8. 3 A. 12. 3. 1 A. 8. 2. 3

NI ST SP 800- 53 R3 CP- 2 NI ST SP 800- 53 R3 CP- 9

Change Cont r ol & Conf i gur at i on Management New Dev el opment / Ac qui s i t i on 変更制御と構成管理 新規開発及び調達

CCC- 01 Pol i c i es and pr oc edur es s hal l be es t abl i s hed, and s uppor t i ng bus i nes s pr oc es s es and t ec hni c al meas ur es i mpl ement ed, t o ens ur e t he devel opment and/ or ac qui s i t i on of new dat a, phys i c al or vi r t ual appl i c at i ons , i nf r as t r uc t ur e net wor k and s ys t ems c omponent s , or any c or por at e, oper at i ons and/ or dat ac ent er f ac i l i t i es hav e been pr e- aut hor i z ed by t he or gani z at i on' s bus i nes s l eader s hi p or ot her ac c ount abl e bus i nes s r ol e or f unc t i on.

Es r i mai nt ai ns s epar at e non- pr oduc t i on s ys t ems f or t es t i ng and v al i dat i ng new devel opment and s ys t ems i nf r as t r uc t ur e c apabi l i t i es as out l i ned i n t he i nt er nal Ar c GI S Onl i ne Conf i gur at i on Management Pl an, al i gni ng wi t h FI SMA Low r equi r ement s .

FI SMA Low 要件に合致した内部 Ar c GI S Onl i ne 構成管理計 画に概説されているように、Es r i は本番運用ではないシス テムを、新しい開発やシステム インフラストラクチャ機能 のテストと検証を行うために、本番運用シス テムとは分離し て保持しています。

● A. 14. 1. 1 A. 12. 5. 1 A. 14. 3. 1 A. 9. 4. 5 8. 1* ( par t i al ) A. 14. 2. 7 A. 18. 1. 3 A. 18. 1. 4

NI ST SP 800- 53 R3 CA- 1 NI ST SP 800- 53 R3 CM- 1 NI ST SP 800- 53 R3 PL- 1 NI ST SP 800- 53 R3 PL- 2 NI ST SP 800- 53 R3 SA- 1 NI ST SP 800- 53 R3 SA- 3 NI ST SP 800- 53 R3 SA- 4 Change Cont r ol &

Conf i gur at i on Management Out s our c ed Devel opment 変更制御と構成管理 開発の外部委託

CCC- 02 Ext er nal bus i nes s par t ner s s hal l adher e t o t he s ame pol i c i es and pr oc edur es f or c hange management , r el eas e, and t es t i ng as i nt er nal dev el oper s wi t hi n t he or gani z at i on ( e. g. I TI L s er vi c e management pr oc es s es ) .

Mi c r os of t appl i es t hei r Sec ur i t y Devel opment Li f ec yc l e, wher eas Amaz on t ypi c al l y does not out s our c e dev el opment of t hei r s of t war e. Bot h pr ov i der s s ol ut i ons al i gn wi t h t he I SO 27001 s ec ur i t y s t andar d.

Mi c r os of t は Mi c r os of t セキュリティ開発ライフサイクル に従っています。Amaz on は通常はソフトウェアの開発をア ウトソースしません。両方のプロバイダーの ソリューション は I SO 27001 セキュリティ標準に適合します。

● ● A18. 2. 1 A. 15. 1. 2 A. 12. 1. 4 8. 1* ( par t i al ) 8. 1* ( par t i al ) A. 15. 2. 1 8. 1* ( par t i al ) A. 15. 2. 2

NI ST SP 800- 53 R3 SA- 4 NI ST SP 800- 53 R3 SA- 5 NI ST SP 800- 53 R3 SA- 9

Change Cont r ol & Conf i gur at i on Management Qual i t y Tes t i ng 変更制御と構成管理 品質テスト

CCC- 03 Or gani z at i on s hal l f ol l ow a def i ned qual i t y c hange c ont r ol and t es t i ng pr oc es s ( e. g. I TI L Ser vi c e Management ) wi t h es t abl i s hed bas el i nes , t es t i ng, and r el eas e s t andar ds t hat f oc us on s ys t em avai l abi l i t y, c onf i dent i al i t y, and i nt egr i t y of s ys t ems and s er v i c es .

Ar c GI S Onl i ne c onduc t s t es t i ng and val i dat i on pr i or t o r el eas e i n al i gnment wi t h FI SMA Low r equi r ement s . Cl oud i nf r as t r uc t ur e pr ov i der s ens ur e c hanges ar e t es t ed i n v ar i ous t es t envi r onment s and s i gned of f pr i or t o depl oyment i nt o pr oduc t i on and ens ur i ng al i gnment wi t h t he I SO 27001 s t andar d.

Ar c GI S Onl i ne は、FI SMA Low 要件に従い、 リリース前に検 証と実証を行っています。クラウド インフラストラクチャ プロバイダーは、 I SO 27001 標準に従い、変更が様々な環 境でテストされ、運用に実装する前にサイン オフすること を保証しています。

● A. 6. 1. 1 A. 12. 1. 1 A. 12. 1. 4 A. 14. 2. 9 A. 14. 1. 1 A. 12. 5. 1 A. 14. 3. 1 A. 9. 4. 58. 1* par t i al A. 14. 2. 28. 1* par t i al A. 14. 2. 3

Change Cont r ol & Conf i gur at i on Management Unaut hor i z ed Sof t war e I ns t al l at i ons 変更制御と構成管理 未承認のソフトウェアのイン ストール

CCC- 04 Pol i c i es and pr oc edur es s hal l be es t abl i s hed, and s uppor t i ng bus i nes s pr oc es s es and t ec hni c al meas ur es i mpl ement ed, t o r es t r i c t t he i ns t al l at i on of unaut hor i z ed s of t war e on or gani z at i onal l y- owned or managed us er end- poi nt devi c es ( e. g. , i s s ued wor ks t at i ons , l apt ops , and mobi l e dev i c es ) and I T i nf r as t r uc t ur e net wor k and s ys t ems c omponent s .

Al l c hanges i nt o pr oduc t i on go t hr ough t he Change Management pr oc es s des c r i bed i n CCC- 05.

運用版のすべての変更に、CCC- 05 に記載された変更管理プ ロセスを実施します。

● A. 6. 1. 2 A. 12. 2. 1 A. 9. 4. 4 A. 9. 4. 1 A. 12. 5. 1 8. 1* ( par t i al ) A. 14. 2. 4

NI ST SP 800- 53 R3 CM- 1 NI ST SP 800- 53 R3 CM- 2 NI ST SP 800- 53 R3 CM- 7 NI ST SP 800- 53 R3 CM- 8 NI ST SP 800- 53 R3 SA- 6 NI ST SP 800- 53 R3 SA- 7 NI ST SP 800- 53 R3 SI - 1 NI ST SP 800- 53 R3 SI - 3 Change Cont r ol &

Conf i gur at i on Management Pr oduc t i on Changes 変更制御と構成管理 運用の変更

CCC- 05 Pol i c i es and pr oc edur es s hal l be es t abl i s hed f or managi ng t he r i s ks as s oc i at ed wi t h appl yi ng c hanges t o: • bus i nes s - c r i t i c al or c us t omer ( t enant ) - i mpac t i ng ( phys i c al and v i r t ual ) appl i c at i ons and s ys t em- s ys t em i nt er f ac e ( API ) des i gns and c onf i gur at i ons • i nf r as t r uc t ur e net wor k and s ys t ems c omponent s Tec hni c al meas ur es s hal l be i mpl ement ed t o pr ovi de as s ur anc e t hat al l c hanges di r ec t l y c or r es pond t o a r egi s t er ed c hange r eques t , bus i nes s - c r i t i c al or c us t omer ( t enant ) , and/ or aut hor i z at i on by, t he c us t omer ( t enant ) as per agr eement ( SLA) pr i or t o depl oyment .

Es r i mai nt ai ns s epar at e non- pr oduc t i on s ys t ems f or t es t i ng and v al i dat i ng new devel opment and s ys t ems i nf r as t r uc t ur e c apabi l i t i es as out l i ned i n t he i nt er nal Ar c GI S Onl i ne Conf i gur at i on Management Pl an, al i gni ng wi t h FI SMA Low r equi r ement s .

FI SMA Low 要件に合致した内部 Ar c GI S Onl i ne 構成管理計 画に概説されているように、Es r i は非本番運用システム を、新しい開発やシステム インフラストラクチャ機能のテ ストと検証を行うために、本番運用システム と分離して保持 しています。

● ● A. 12. 1. 4 8. 1* ( par t i al ) A. 14. 2. 2 8. 1* ( par t i al ) A. 14. 2. 3

I SO/ I EC 27001: 2013

F I SMA - - L OW I MPACT -Cont r ol Domai n Cont r ol

I D

Updat ed Cont r ol Spec i f i c at i on サ ー ビ ス

プ ロ バ イ ダ ー

テ ナ ン ト / 顧 客 Ar c GI S Onl i ne Res pons e

( 日 本 語 訳 )

Dat a Sec ur i t y & I nf or mat i on Li f ec yc l e Management Cl as s i f i c at i on データ セキュリティと情報 ライフサイクル管理 分類

DSI - 01 Dat a and obj ec t s c ont ai ni ng dat a s hal l be as s i gned a c l as s i f i c at i on by t he dat a owner bas ed on dat a t ype, v al ue, s ens i t i v i t y, and c r i t i c al i t y t o t he or gani z at i on.

Es r i c l as s i f i es dat as et s t hey own ac c or di ng t o t he Es r i Tec hnol ogy Cont r ol Pl an and t hen i mpl ement s a s t andar d s et of Sec ur i t y and Pr i v ac y at t r i but es . Es r i t r eat s al l Cus t omer Dat a i n ac c or danc e wi t h t he c ommi t ment out l i ned i n DSI - 02. Dat as et s upl oaded t o Ar c GI S Onl i ne ar e owned by t he c us t omer and t hey ar e r es pons i bl e f or c l as s i f yi ng t hei r dat as et and handl i ng ac c or di ngl y. I t i s Cus t omer ' s s ol e r es pons i bi l i t y t o ens ur e t hat Cus t omer Cont ent i s s ui t abl e f or us e wi t h Onl i ne Ser v i c es . Exampl es of dat as et s not r ec ommended f or Onl i ne Ser v i c es i nc l ude: I nt er nat i onal Tr af f i c i n Ar ms Regul at i ons ( I TAR) , Unc l as s i f i ed Cont r ol l ed Tec hni c al I nf or mat i on ( UCTI ) , and Pr ot ec t ed Heal t h I nf or mat i on ( PHI ) .

Es r i は、Es r i テクノロジ コントロール プ ランに従って、 保有するデータセットを機密区分し、セキュ リティとプライ バシー属性の標準セットを実装しています。 Es r i は顧客の 全データを DSI - 02 に概説されたコミットメ ントに従って処 理しています。

Ar c GI S Onl i ne にアップロードされたデータ セットは、顧客 によって保有され、顧客はデータセットを分 類し適切な方法 で処理する責任があります。顧客のコンテン ツがオンライン サービスでの使用に適切であるかを確認する ことは、顧客側 の責任です。オンライン サービスに推奨されないデータ セットの例： I nt er nat i onal Tr af f i c i n Ar ms Regul at i ons ( I TAR) , Unc l as s i f i ed Cont r ol l ed Tec hni c al I nf or mat i on ( UCTI ) , and Pr ot ec t ed Heal t h I nf or mat i on ( PHI ) .

● ● A. 8. 2. 1 NI ST SP 800- 53 R3 RA- 2

Dat a Sec ur i t y & I nf or mat i on Li f ec yc l e Management Dat a I nvent or y / Fl ows データ セキュリティと情報 ライフサイクル管理 データ保存/ フロー

DSI - 02 Pol i c i es and pr oc edur es s hal l be es t abl i s hed t o i nv ent or y, doc ument , and mai nt ai n dat a f l ows f or dat a t hat i s r es i dent ( per manent l y or t empor ar i l y) wi t hi n t he s er vi c e' s appl i c at i ons and i nf r as t r uc t ur e net wor k and s ys t ems . I n par t i c ul ar , pr ovi der s s hal l ens ur e t hat dat a t hat i s s ubj ec t t o geogr aphi c r es i denc y r equi r ement s not be mi gr at ed beyond i t s def i ned bounds .

Ar c GI S Onl i ne i s a FI SMA Low aut hor i z ed s ol ut i on by t he Uni t ed St at es Depar t ment of Agr i c ul t ur e ( USDA) . Thi s i nc l udes t he r equi r ement t o adher e t o r obus t c ont i nuous moni t or i ng r equi r ement s and s ec ur i t y c ont r ol s ar e r evi ewed at a mi ni mum of ev er y t hr ee ( 3) year s . As f or c l oud pr ov i der s of Amaz on Web Ser vi c es and Mi c r os of t Az ur e, t hey wi l l not move Ar c GI S Onl i ne dat a f r om Es r i ' s c hos en phys i c al r egi ons ( Al l r es i de on U. S. s oi l ) .

Ar c GI S Onl i ne は米国農務省 ( USDA) から FI SMA Low を取 得しています。これには、高い信頼性で継続 的にモニタリン グする要件とセキュリティ コントロールを最低 3 年ごとに レビューする要件が含まれています。クラウ ド プロバイ ダーである Amaz on Web Ser vi c es や Mi c r os of t Az ur e は、 Ar c GI S Onl i ne のデータを Es r i が指定した 物理的な領域以 外には移動しません（すべてのデータは、米 国内にありま す）。

● ● Cl aus e4. 2 5. 2, 7. 5, 8. 1

Dat a Sec ur i t y & I nf or mat i on Li f ec yc l e Management eCommer c e Tr ans ac t i ons データ セキュリティと情報 ライフサイクル管理 eコマース トランザクション

DSI - 03 Dat a r el at ed t o el ec t r oni c c ommer c e ( e- c ommer c e) t hat t r aver s es publ i c net wor ks s hal l be appr opr i at el y c l as s i f i ed and pr ot ec t ed f r om f r audul ent ac t i v i t y, unaut hor i z ed di s c l os ur e, or modi f i c at i on i n s uc h a manner t o pr event c ont r ac t di s put e and c ompr omi s e of dat a.

Es r i s t or es no payment i ns t r ument number i nf or mat i on ( e. g. c r edi t c ar d) wi t hi n t hei r s ys t ems f or Pr oduc t s & Ser vi c es . Es r i ut i l i z es a t hi r d par t y pr ov i der whi c h has been audi t ed by a Payment Car d I ndus t r y St andar d c er t i f i ed audi t or t o ens ur e your i nf or mat i on r emai ns s ec ur e. Payment i nf or mat i on i s t r ans mi t t ed di r ec t l y t o t he pr ovi der vi a HTTPS f or s ec ur e t r ans mi s s i on s o t hat payment dat a i s nev er t r ans mi t t ed or s t or ed by Es r i Pr oduc t s & Ser v i c es .

Es r i は支払方法の数値情報 ( 例： クレジッ ト カード番号) を、Es r i の製品とサービス システムに保存 しません。Es r i は Payment Car d I ndus t r y St andar d が認定 した監査人が監 査するサード パーティ プロバイダーを利用 しており、情報 がセキュリティ保護されていることを保証し ます。支払情報 は、セキュリティ保護された HTTPS でプロバイダーに直接 送信されるので、支払いデータが Es r i の製 品とサービスに 送信または保存されることは絶対にありませ ん。

● ● A. 8. 2. 1 A. 13. 1. 1 A. 13. 1. 2 A. 14. 1. 2 A. 14. 1. 3 A. 18. 1. 4

NI ST SP 800- 53 R3 AC- 1 NI ST SP 800- 53 R3 AC- 2 NI ST SP 800- 53 R3 AC- 22 NI ST SP 800- 53 R3 AU- 1

Dat a Sec ur i t y & I nf or mat i on Li f ec yc l e Management Handl i ng / Label i ng / Sec ur i t y Pol i c y データ セキュリティと情報 ライフサイクル管理 処理 / ラベル付け / セキュ リティ ポリシー

DSI - 04 Pol i c i es and pr oc edur es s hal l be es t abl i s hed f or t he l abel i ng, handl i ng, and s ec ur i t y of dat a and obj ec t s whi c h c ont ai n dat a. Mec hani s ms f or l abel i nher i t anc e s hal l be i mpl ement ed f or obj ec t s t hat ac t as aggr egat e c ont ai ner s f or dat a.

Ar c GI S Onl i ne c us t omer s r et ai n owner s hi p of t hei r dat a and may i mpl ement a l abel i ng and handl i ng pol i c y and pr oc edur es t o meet t hei r r equi r ement s .

Ar c GI S Onl i ne の顧客は顧客のデータの所有 権を保持し、ラ ベリング、処理取り扱いポリシー及び手順を 、顧客の要求に 基づいて、確立することができます。

● ● A. 8. 2. 2 A. 8. 3. 1 A. 8. 2. 3 A. 13. 2. 1

NI ST SP 800- 53 R3 AC- 1 NI ST SP 800- 53 R3 MP- 1 NI ST SP 800- 53 R3 PE- 1 NI ST SP 800- 53 R3 PE- 16 NI ST SP 800- 53 R3 SI - 1 NI ST SP 800- 53 R3 SI - 12

Dat a Sec ur i t y & I nf or mat i on Li f ec yc l e Management Non- Pr oduc t i on Dat a データ セキュリティと情報 ライフサイクル管理 非本番運用データ

DSI - 05 Pr oduc t i on dat a s hal l not be r epl i c at ed or us ed i n non-pr oduc t i on envi r onment s .

Ar c GI S Onl i ne c us t omer s r et ai n owner s hi p of t hei r own dat a.

Ar c GI S Onl i ne pr ovi des c us t omer s t he abi l i t y t o mai nt ai n and devel op pr oduc t i on and non- pr oduc t i on or gani z at i on envi r onment s . I t i s t he r es pons i bi l i t y of t he c us t omer t o ens ur e t hat t hei r pr oduc t i on dat a i s not r epl i c at ed t o t he non- pr oduc t i on env i r onment s .

Mov ement or c opyi ng of Cus t omer Dat a by Es r i out of t he pr oduc t i on envi r onment i nt o a non- pr oduc t i on env i r onment i s pr ohi bi t ed exc ept wher e c us t omer c ons ent i s obt ai ned f or t r oubl es hoot i ng t he s er v i c e, or at t he di r ec t i ve of Es r i ' s l egal depar t ment .

Ar c GI S Onl i ne の顧客は顧客自身のデータの 所有権を保持し ます。Ar c GI S Onl i ne は顧客に本番運用/ 非本番運用の組織 サイトの環境を管理、作成する機能を提供し ます。 サービスのトラブルシューティングのため顧 客が同意した場 合または Es r i の法務部の指示があった場合 を除き、Es r i が顧客データを本番運用環境から非本番運用 環境へ移動、コ ピーすることは禁じられています。

● A. 8. 1. 3 A. 12. 1. 4 A. 14. 3. 1 8. 1* ( par t i al ) A. 14. 2. 2.

Dat a Sec ur i t y & I nf or mat i on Li f ec yc l e Management Owner s hi p / St ewar ds hi p データ セキュリティと情報 ライフサイクル管理 所有者/ 管理責任

DSI - 06 Al l dat a s hal l be des i gnat ed wi t h s t ewar ds hi p, wi t h as s i gned r es pons i bi l i t i es def i ned, doc ument ed, and c ommuni c at ed.

Dat a s t or ed wi t hi n Ar c GI S Onl i ne meet s FI SMA Low c at egor i z ed r equi r ement s . Cus t omer s ar e r es pons i bl e f or i mpl ement i ng wor kf l ows t o enf or c e t hi s c at egor i z at i on l evel . Cus t omer s r et ai n f ul l owner s hi p of t hei r dat a.

Ar c GI S Onl i ne に格納されたデータは、FI SMA Low で分類さ れた要求を満たします。この分類レベルを実 施するための ワークフローを実装する責任は、顧客にあり ます。顧客は、 顧客のデータに対するすべての所有権を保持 します。

● A. 6. 1. 1 A. 8. 1. 2 A. 18. 1. 4

NI ST SP 800- 53 R3 CA- 2 NI ST SP 800- 53 R3 CA- 2 ( 1) NI ST SP 800- 53 R3 PS- 2 NI ST SP 800- 53 R3 RA- 2 NI ST SP 800- 53 R3 SA- 2

Dat a Sec ur i t y & I nf or mat i on Li f ec yc l e Management Sec ur e Di s pos al データ セキュリティと情報 ライフサイクル管理 安全な廃棄

DSI - 07 Pol i c i es and pr oc edur es s hal l be es t abl i s hed wi t h s uppor t i ng bus i nes s pr oc es s es and t ec hni c al meas ur es i mpl ement ed f or t he s ec ur e di s pos al and c ompl et e r emov al of dat a f r om al l s t or age medi a, ens ur i ng dat a i s not r ec over abl e by any c omput er f or ens i c means .

When a s t or age devi c e has r eac hed t he end of i t s us ef ul Ar c GI S Onl i ne c l oud i nf r as t r uc t ur e pr ov i der s pr oc edur es i nc l ude a dec ommi s s i oni ng pr oc es s t hat i s des i gned t o pr event c us t omer dat a f r om bei ng expos ed t o unaut hor i z ed i ndi v i dual s . The Cl oud i nf r as t r uc t ur e pr ovi der s us e t he t ec hni ques det ai l ed i n DoD 5220. 22‐ M ( “Nat i onal I ndus t r i al Sec ur i t y Pr ogr am Oper at i ng Manual “) or NI ST 800‐88 ( “Gui del i nes f or Medi a Sani t i z at i on”) t o des t r oy dat a as par t of t he dec ommi s s i oni ng pr oc es s . I f a har dwar e dev i c e i s unabl e t o be dec ommi s s i oned us i ng t hes e pr oc edur es , t he dev i c e wi l l be degaus s ed or phys i c al l y des t r oyed i n ac c or danc e wi t h i ndus t r y s t andar d pr ac t i c es .

記憶装置が寿命になった際に、Ar c GI S Onl i ne のクラウド インフラストラクチャ プロバイダーの手順には、許可され ていない個人に顧客データがさらされないよ うにする廃棄プ ロセスが含まれています。クラウド インフラストラクチャ プロバイダーは、 DoD 5220. 22‐M ( “Nat i onal I ndus t r i al Sec ur i t y Pr ogr am Oper at i ng Manual “) ま たは NI ST 800 ‐88 ( “Gui del i nes f or Medi a Sani t i z at i on”) に詳しく 述べられた手法を使用して、廃棄プロセスの 一環としてデー タを破壊します。ハードウェア デバイスがこれらのプロセ スで廃棄できない場合は、デバイスを消磁す るか、業界標準 の方法で物理的に破壊します。

● A. 11. 2. 7 A. 8. 3. 2

NI ST SP 800- 53 R3 MP- 6 NI ST SP 800- 53 R3 PE- 1

Dat ac ent er Sec ur i t y As s et Management データ センター セキュリ ティ

資産管理

DCS- 01 As s et s mus t be c l as s i f i ed i n t er ms of bus i nes s c r i t i c al i t y, s er v i c e- l evel expec t at i ons , and oper at i onal c ont i nui t y r equi r ement s . A c ompl et e i nv ent or y of bus i nes s - c r i t i c al as s et s l oc at ed at al l s i t es and/ or geogr aphi c al l oc at i ons and t hei r us age over t i me s hal l be mai nt ai ned and updat ed r egul ar l y, and as s i gned owner s hi p by def i ned r ol es and r es pons i bi l i t i es .

Ar c GI S Onl i ne c l oud i nf r as t r uc t ur e pr ov i der s hav e es t abl i s hed

pol i c i es and pr oc edur es f or addr es s i ng t hei r as s et s al i gni ng wi t h I SO 27001 s t andar ds .

Ar c GI S Onl i ne クラウド インフラストラクチャ プロバイ ダーは、I SO 27001 標準に従って資産を明記 するポリシー及 び手順を確立しています。

● Annex A. 8

Dat ac ent er Sec ur i t y Cont r ol l ed Ac c es s Poi nt s データ センター セキュリ ティ

制御されたアクセス ポイン ト

DCS- 02 Phys i c al s ec ur i t y per i met er s ( e. g. , f enc es , wal l s , bar r i er s , guar ds , gat es , el ec t r oni c s ur v ei l l anc e, phys i c al aut hent i c at i on mec hani s ms , r ec ept i on des ks , and s ec ur i t y pat r ol s ) s hal l be i mpl ement ed t o s af eguar d s ens i t i ve dat a and i nf or mat i on s ys t ems .

Ar c GI S Onl i ne' s c l oud i nf r as t r uc t ur e pr ovi der s hav e phys i c al s ec ur i t y meas ur es f or t hei r dat a c ent er s t hat c ompl y wi t h hi gh i ndus t r y s t andar ds f or phys i c al s ec ur i t y c ont r ol s . For mor e i nf or mat i on, v i s i t t hei r r es pec t i v e c ompl i anc e s i t es bel ow.

Mi c r os of t Az ur e:

ht t ps : / / www. mi c r os of t . c om/ enus / t r us t c ent er / Compl i anc e Amaz on Web Ser v i c es :

ht t ps : / / aws . amaz on. c om/ c ompl i anc e/

Ar c GI S Onl i ne クラウド インフラストラクチャ プロバイ ダーは、物理的なセキュリティ コントロールの高度な業界 標準に適合した、データ センターの物理的なセキュリティ 対策を取っています。詳細は、各プロバイダ ーのコンプライ アンス サイトをご参照ください。

Mi c r os of t Az ur e:

ht t ps : / / www. mi c r os of t . c om/ j a- j p/ t r us t c ent er / c ompl i anc e Amaz on Web Ser v i c es :

ht t ps : / / aws . amaz on. c om/ c ompl i anc e/

● A. 11. 1. 1 A. 11. 1. 2

NI ST SP 800- 53 R3 PE- 2 NI ST SP 800- 53 R3 PE- 3 NI ST SP 800- 53 R3 PE- 6 NI ST SP 800- 53 R3 PE- 7 NI ST SP 800- 53 R3 PE- 8

Dat ac ent er Sec ur i t y Equi pment I dent i f i c at i on データ センター セキュリ ティ

機器の識別

DCS- 03 Aut omat ed equi pment i dent i f i c at i on s hal l be us ed as a met hod of c onnec t i on aut hent i c at i on. Loc at i on- awar e t ec hnol ogi es may be us ed t o v al i dat e c onnec t i on aut hent i c at i on i nt egr i t y bas ed on known equi pment l oc at i on.

Cl oud i nf r as t r uc t ur e pr ov i der s mai nt ai n a c ur r ent , doc ument ed and audi t ed i nvent or y of equi pment and net wor k c omponent s f or whi c h i t i s r es pons i bl e. The c l oud i nf r as t r uc t ur e pr ov i der s managed aut omat ed mec hani s ms t o det ec t di s c r epanc i es i n devi c e c onf i gur at i on by c ompar i ng t hem agai ns t t he def i ned pol i c i es .

Cl oud i nf r as t r uc t ur e pr ov i der s manage equi pment i dent i f i c at i on i n al i gnment wi t h t he I SO 27001 s t andar d.

クラウド インフラストラクチャ プロバイダ ーは、プロバイ ダーが責任を負っている設備とネットワーク コンポーネン トの最新の状態を文書化し、監査された目録 を保有していま す。クラウド インフラストラクチャ プロバ イダーは、デバ イスの構成と定義されたポリシーを比較して 不一致を自動的 に検知する仕組みを持っています。クラウド インフラスト ラクチャ プロバイダーは、I SO 27001 標準に従って機器を 識別する仕組みを使用しています。

● NI ST SP 800- 53 R3 I A- 4

Dat ac ent er Sec ur i t y Of f - Si t e Aut hor i z at i on データ センター セキュリ ティ

オフサイト承認

DCS- 04 Aut hor i z at i on mus t be obt ai ned pr i or t o r el oc at i on or t r ans f er of har dwar e, s of t war e, or dat a t o an of f s i t e pr emi s es .

Al l Ar c GI S Onl i ne c us t omer dat a r es i des on Uni t ed St at es s oi l wi t hi n t he c onf i nes of t he Amaz on Web Ser vi c e US Regi ons ( Eas t , Wes t ) , and Mi c r os of t Az ur e US Regi ons ( Sout h Cent r al , Eas t , Wes t ) . Ar c GI S Onl i ne c us t omer s wi l l be not i f i ed i f Es r i pr opos es s t or i ng any of t hei r dat a out s i de US s oi l .

Ar c GI S Onl i ne の顧客データはすべて米国内 の Amaz on Web Ser vi c e の US リージョン( Eas t , Wes t ) と Mi c r os of t Az ur e US リージョン ( Sout h Cent r al , Eas t , Wes t ) 内に限 定して格納されています。もし Es r i が米国 以外にデータの 保存を提案した場合、Ar c GI S Onl i ne の顧客 はその旨を事前 に通知されます。

● A. 11. 2. 6 A. 11. 2. 7

NI ST SP 800- 53 R3 AC- 17 NI ST SP 800- 53 R3 MA- 1 NI ST SP 800- 53 R3 PE- 1 NI ST SP 800- 53 R3 PE- 16

Dat ac ent er Sec ur i t y Of f - Si t e Equi pment データセンター セキュリ ティ

オフサイト機器

DCS- 05 Pol i c i es and pr oc edur es s hal l be es t abl i s hed f or t he s ec ur e di s pos al of equi pment ( by as s et t ype) us ed out s i de t he or gani z at i on' s pr emi s es . Thi s s hal l i nc l ude a wi pi ng s ol ut i on or des t r uc t i on pr oc es s t hat r ender s r ec ov er y of i nf or mat i on i mpos s i bl e. The er as ur e s hal l c ons i s t of a f ul l over wr i t e of t he dr i v e t o ens ur e t hat t he er as ed dr i v e i s r el eas ed t o i nv ent or y f or r eus e and depl oyment , or s ec ur el y s t or ed unt i l i t c an be des t r oyed.

Ar c GI S Onl i ne c l oud i nf r as t r uc t ur e pr ov i der s hav e es t abl i s hed pol i c i es and pr oc edur es f or addr es s i ng of f - s i t e equi pment al i gni ng wi t h I SO 27001 s t andar ds and NI ST 800- 88 Gui del i nes on Medi a Sani t i z at i on, whi c h addr es s es t he pr i nc i pl e c onc er n of ens ur i ng t hat dat a i s not uni nt ent i onal l y r el eas ed.

Ar c GI S Onl i ne のクラウド インフラストラクチャ プロバイ ダーは、I SO 27001 標準と、データを気付か ずに放出される ことがないように保証するメディア サニタイズに関する NI ST 800- 88 ガイドラインに従って、組織の 構外で使用され る装置のためのポリシー及び手順を確立して います。

● ● A. 8. 1. 1 A. 8. 1. 2

NI ST SP 800- 53 R3 CM- 8

Dat ac ent er Sec ur i t y Pol i c y

データ センター セキュリ ティ

ポリシー

DCS- 06 Pol i c i es and pr oc edur es s hal l be es t abl i s hed, and s uppor t i ng bus i nes s pr oc es s es i mpl ement ed, f or mai nt ai ni ng a s af e and s ec ur e wor ki ng envi r onment i n of f i c es , r ooms , f ac i l i t i es , and s ec ur e ar eas s t or i ng s ens i t i ve i nf or mat i on.

Cl oud i nf r as t r uc t ur e pr ov i der pol i c i es pol i c y def i ne and es t abl i s h c ont r ol s f or mai nt ai ni ng a s af e and s ec ur e wor ki ng envi r onment i n of f i c es , r ooms , f ac i l i t i es , and s ec ur e ar eas s t or i ng s ens i t i ve i nf or mat i on. Ac c es s t o medi a s t or age ar eas i s r es t r i c t ed and audi t ed. Ac c es s t o al l c l oud pr ov i der bui l di ngs i s c ont r ol l ed, and ac c es s i s r es t r i c t ed t o t hos e wi t h c ar d r eader or bi omet r i c s f or ent r y i nt o Dat a Cent er s . Fr ont des k per s onnel ar e r equi r ed t o pos i t i v el y i dent i f y Ful l - Ti me Empl oyees ( FTEs ) or aut hor i z ed Cont r ac t or s wi t hout I D c ar ds . St af f mus t wear i dent i t y badges at al l t i mes , and ar e r equi r ed t o c hal l enge or r epor t i ndi v i dual s wi t hout badges . Al l gues t s ar e r equi r ed t o wear gues t badges and be es c or t ed by aut hor i z ed c l oud pr ov i der per s onnel .

クラウド インフラストラクチャ プロバイダ ーは、オフィ ス、部屋、施設、機微な情報を保存する安全 なエリア内での 安全とセキュリティが確保された労働環境を 維持するための ポリシーを確立しています。メディアを保存 するエリアへの 入室は制限、監視されています。クラウド プロバイダーの 建物への立ち入りは規制されており、データ センターへの入 室はカード読み取り装置や生体認証で制限さ れています。受 付の職員は、フルタイムの雇用者や I D カー ドを持たない認 可された請負業者の身元を確認する必要があ ります。スタッ フは常に I D バッジを付けることが求められ 、I D バッジを 付けていない人物を身元確認して報告をしな ければなりませ ん。ゲストはゲスト バッジを付けて、正規のクラウド プロ バイダーの職員が同行する必要があります。

● ● A. 11. 1. 1 A. 11. 1. 2