ドキュサインのセキュリティに対する姿勢
セキュリティはソフトウェアベースのソリューションにおいてとても重要です。本ブログでは、セキュリティと常時稼働できる高い可用性を重要視しているドキュサインのセキュリティ・アシュアランス・プログラム、認定、テストを含むセキュリティへのアプローチの概要を解説します。
セキュリティはソフトウェアベースのソリューションにおいてとても重要な部分ですが、電子署名を含むビジネスプロセスほどセキュリティに敏感なものはありません。
取引に個人情報や価格の詳細、ビジネス要件、知的財産などの非常に機密性の高い情報が含まれている場合、セキュリティのリスクは一層高まります。だからこそ、ドキュサインは、私たちのビジネスにおいてセキュリティと常時稼働できる高い可用性を重要視しています。また、お客様を保護することはドキュサインの最優先事項であり、当社の包括的なアプローチは、Docusign eSignatureトランザクションのセキュリティ、プライバシー、コンプライアンス、および真正性に対応しています。
これは、ドキュサインの合意・契約をクラウド上で実現するプラットフォーム「Docusign Agreement Cloud」の重要なコンポーネントであり、ドキュサインの電子署名が世界で最も広く使用されている大きな理由の一つでもあります。ドキュサインはフォーチュン500企業、世界最大の金融機関、その他のグローバル企業などのように、世界中の最も厳格なセキュリティの要件を満たしています。
以下にドキュサインのセキュリティアプローチの概要を説明します。これには、セキュリティ・アシュアランス・プログラム、認定、テストなど、いくつかの主要な領域が含まれます。
ドキュサインのセキュリティ・アシュアランス・プログラム
お客様に可能な限り最高レベルのセキュリティを提供するという当社の姿勢は、お客様の電子署名トランザクション全体のセキュリティ、プライバシー、および真正性に対応するために、人・プロセス・プラットフォームなどのセキュリティ・アシュアランス・プログラムに基づいています。
人(People)
ドキュサインではセキュリティは全従業員の責務であると考えています。全従業員がセキュリティを最優先するためのトレーニングを受け、その意識向上に努めています。
セキュリティ関連の活動に100%フォーカスした銀行業務に精通した専門チーム
組織全体のリスク管理・戦略・実装を監督するセキュリティ評議会
全従業員およびサプライヤーの身元調査
専任の最高情報セキュリティ責任者(CISO)による、セキュリティ運用の管理、継続的なセキュリティコミュニティとの連携、常時動的に変化する脅威やトレンド等に対応する取り組み
全従業員を対象とした年間セキュリティトレーニング
コードベースまで定期的なセキュリティ監査、およびコーディングが安全に実装されるための技術者トレーニング
プロセス(Process)
ドキュサインのビジネスプロセス(内部ポリシー、ソフトウェア開発、プラットフォームの監視、等)では、顧客データのセキュリティが最も重視されています。
セキュリティバッジアクセス、警備員などによる有人警備、物理的なアクセス制御、等のオンプレミスのセキュリティポリシー
最小限の特権の原則に基づいて、最小限の要員にアクセスを制限し、すべての重要なシステムに必要な安全な多重認証
アクティブな監視とアラート
計画、設計、実装テスト、リリース、レスポンス等のフェーズを含む、ドキュサインSDLC(ソフトウェア開発ライフサイクル)内のセキュリティレビュー
アプリケーションとアクセスセキュリティに関する第三者による正式なコードレビューと脆弱性の軽減
外部監査人によるドキュサインの鍵管理および暗号化プログラムのテストと検証、およびSSAE 16レポートでの文書化
プラットフォーム(Platform)
ドキュサインの安全なプラットフォームには、ハードウェアとインフラストラクチャ、システムと運用、アプリケーションとアクセス、トランザクションとストレージが含まれます。
万が一ビジネスが中断した場合にも、お客様の重要な文書を引き続き利用できる商用グレードのデータセンター
万が一のサイトの停止に耐え、「常にオン」を維持することが可能な、常時アクティブで、かつ冗長化されたシステムを特徴とするワールドクラスのアーキテクチャ
災害対策データセンター間で、安全でほぼリアルタイムなデータ複製
システムと運用のための物理的および論理的に分離されたネットワーク
24時間365日体制のマルウェア対策
IPベースの攻撃とサービス拒否攻撃を阻止/検出するための商用グレードのファイアウォールと境界ルーター
署名者向けの複数の認証オプション(二段階認証、SMS認証、ID認証)
改ざん防止コントロール、デジタル証明書テクノロジー、二要素暗号化VPNアクセス、等
包括的なアプローチ
ドキュサインは、セキュリティを個別に捉えるのではなく、プライバシーや世界各国の法規制の遵守など、機密性の高いトランザクションを保護するすべての領域を考慮しています。お客様の情報は機密性の高いものとして取り扱い、ドキュサインの従業員はお客様のデータにアクセスすることはできません。さらに、ドキュサインの機能はお客様のドキュメントの強制力と否認防止を保証しています。
機密性を確保するため、お客様のドキュメントはアプリケーションレベルでAES 256ビット暗号化
HTTPSを介したデータのアクセスおよび通信
セキュリティアサーションマークアップ言語(SAML)の使用。シングルサインオンを含む、Webベースの認証と承認のための最新機能をユーザーに提供
署名時に署名者を認証する機能(多要素認証および2要素認証を含む)
ドキュメントが各署名イベントの外側で改ざんされていないことを検証するデジタルチェックサム(数学的ハッシュ値)
すべての当事者が署名プロセスを終えた後に完了証明書を発行
署名の検証と署名者の名前、電子メール、パブリックIPアドレス、署名イベント、時刻、署名場所(ジオロケーション)、改ざん防止された完了ステータスの記録
名前、電子メールアドレス、認証方法、パブリックIPアドレス、エンベロープアクション、および時刻をキャプチャするすべてのエンベロープのデジタル監査証跡
セキュリティ認証とテスト
ドキュサインはお客様のセキュリティと運用を守るため、多大な投資を行っており、サードパーティの監査人による厳格な調査を受けて、実施しているセキュリティ対策を評価および検証しています。
一貫して国内および国際的なセキュリティ基準に準拠
サードパーティの監査、認定、およびオンサイトのカスタマーレビューに関する業界のベストプラクティスの定義における継続的なリーダーシップ
デジタルトランザクションと電子署名を管理する、世界中の適用法、規制、業界標準の遵守
専任の最高法務責任者(CLO)および最高技術責任者(CTO);ドキュサインおよび当社の製品を最新の法務および技術のトレンドに確実に対応
HIPAA、21 CFR Part 11、FTC、FHA、IRS、FINRAなどの特定の規則など、業界の特別な規制に準拠する能力
セキュリティ認定
ISO 27001:2013、27017:2015、27018:2014、SOC 1 Type 2、SOC 2 Type 2、PCI DSS 等
https://www.docusign.com/trust/compliance/certifications
グローバル基準とガイドライン
BCR-P & BCR-C (GDPR対応)、FedRAMP、FISC 等