Alibaba Cloudセキュリティポリシーについて(セキュリティホワイトペーパー解説)

Alibaba Cloudではプライバシーポリシーやパブリッククラウドサービスの運用体制等を記載したセキュリティホワイトペーパーの日本語版を公開しています。

本ページでは、セキュリティホワイトペーパーの内容について、一部抜粋して紹介します。セキュリティホワイトペーパーの内容は日々更新されるため、最新の内容はAlibaba CloudのWebサイトをご確認ください。

Alibaba Cloud セキュリティホワイトペーパーの最新版(Ver.4.1)は下記からダウンロードいただけます。

Alibaba Cloudセキュリティホワイトペーパー

Alibaba Cloudのプライバシーポリシー(お客様のデータの取り扱い)について

お客様のデータの種類

Alibaba Cloudではお客様のデータを下記の2種類に分類しています。

お客様の個人情報

  • ご利用申し込みの際にお客様が提示するお名前、住所などの個人情報
  • サービスのご利用に伴って生成される利用履歴等のデータ
    (例)-クラウドプロダクトの利用によって生成されるトラフィックログや操作ログなど
    (例)-クラウドプロダクトの利用によって生成される課金データ

 

 

お客様コンテンツ

  • お客様ご自身で各種クラウドプロダクトに保存されたデータ

個人情報の取り扱いについて

Alibaba Cloudでは利用目的を超えた個人情報の利用、取得は一切行いません。

お客様申し込みの際に、定めた利用目的を達成するために必要な範囲内で個人情報を利用、または共同利用および第三者提供しますが、偽りその他不正の手段により個人情報を取得することはありません。

SBクラウドでも個人情報の取り扱いについて、同様のポリシーを公開しております。
個人情報の取扱いについて|SBクラウド株式会社

個人情報の開示、訂正等および利用停止について

情報に対する権利はお客様側にあるため、お客様からのAlibaba Cloudに依頼することにより開示、修正及び利用停止が可能です。

中国リージョン利用時は実名認証が必要

「中国サイバーセキュリティ法(正式名称:中华人民共和国网络安全法) 第24条」では、クラウドサービス等を提供する通信事業者はユーザーに対して実名の提供を求める義務があります。

そのため、中国リージョンのサービスを利用いただく際には、Alibaba Cloudコンソールから実名の申請が必要となります。申請後、承認されたアカウントのみが中国リージョンのサービスを利用可能です。

お客様のコンテンツの取り扱い

お客様のコンテンツの保存場所

お客様がサービス利用の際に指定された場所(リージョンの選択により指定)にコンテンツが保存されます。お客様の指定がない限り、保存場所の変更もしくはデータの移行を行うことはありません。

お客様のコンテンツの取り扱い

クラウドサービスを提供および維持するために必要な場合、または各国の法律もしくは政府機関の拘束力ある命令を遵守するために必要な場合を除き*、お客様がクラウドサービス上で処理するデータへアクセスすることはありません。

*各国リージョンの法令に従います。例えば、日本リージョンであれば日本法に従いますが、日本リージョンのコンテンツが他国(中国など)の法律等指示に従うことはありません。

お客様情報開示依頼への対応方法

各国の法令に基づく政府機関からのユーザー情報開示依頼には所定の手続きを必要としています。有効な召喚令状等を用いて手順の沿った依頼があり、Alibaba Cloudの内部で正式に定められたプロセスを経た上でないと、お客様の情報を開示することはありません。

ユーザーからの開示依頼に対して必ずしも対応できるわけではなく、依頼の内容に関わらずAlibaba Cloudにて開示を拒否する場合もあります。ただし、可能な限り政府機関の調査に協力するという方針を示しています。

また、公共の安全に対する脅威、またはあらゆる人への危害リスクを伴う緊急事態においてはAlibaba Cloud独自の判断で情報を開示することも明記されています。

参考リンク ALIBABA CLOUD INTERNATIONAL LAW ENFORCEMENT USER INFORMATION REQUEST GUIDE

コンプライアンスについて

Alibaba Cloudのコンプライアンス基本方針

  • Alibaba Cloudは、さまざまなチャネルを通じてお客様に透明性を提供することに長い間取り組んできました。
  • Alibaba Cloudは、関連する内部業務をユーザーに開示するなど、透明性を高める方法を提供しています。
  • お客様は、Alibaba Cloudチケットシステムを通じてAlibaba Cloudの認証や説明レポートなどの情報をリクエストできます。
  • 各国の政府機関及び第三者機関の認証を取得することで、プラットフォーム及びサービスの安全性を証明し、お客様に安心してご利用頂けるように努力し続けています。

日本リージョンにおける認証取得状況

日本リージョンにて取得した認証一覧

  • ISO20000(ITサービスマネジメントシステム)
  • ISO27001(情報セキュリティマネジメントシステム)
  • ISO22301(事業継続マネジメントシステム)
  • CSA STAR(クラウドサービスセキュリティ)
  • ISO90001(品質マネジメントシステム)
  • ISO27017(クラウドセキュリティ)

なお、「ISO27001」については、SBクラウドが提供している「テクニカルサポートサービス」業務でも「JISQ150001(個人情報保護マネジメントシステム)」と合わせて取得しております。

SOCレポート

  • SOC(Service Organization Control)レポートは、Alibaba Cloud の内部統制の方針および活動の有効性を示す、独立系第三者監査機関による一連の監査レポートです。これらのレポートはお客様と監査機関が運用とコンプライアンスの背後にある内部統制方法を把握するのに役立つように設計されています。Alibaba Cloud SOC レポートは次の3つのタイプに分類されます。

 -SOC 1 TYPE II: 財務報告に関する内部統制のレポート
 -SOC 2 TYPE II: セキュリティ、可用性、機密性に関するレポート
 -SOC 3: セキュリティ、可用性、機密性に関するレポート

SOC1、SOC2レポートはお客様とAlibaba Cloud間でNDA締結の上で開示することが可能ですが、SOC3レポートはAlibaba CloudのWebページにて公開されています。
Service Organization Control (SOC) Reports

FISC安全対策基準 第9版改訂への対応

Alibaba Cloudは公益財団法人金融情報システムセンター(FISC)が策定した「金融機関等コンピュータシステムの安全対策基準・解説書(通称:FISC安全対策基準)」に準拠したクラウドサービスを提供しています。

各国のクラウド関連認証の取得状況

各国の基準に準拠しており、第三者による監査を受けたうえで認証を取得しております。

 

f:id:sbc_abm:20200514205056p:plain
出典:Alibaba Cloud Security & Compliance Center

 

Alibaba Cloudは中国初のMLP2.0認定クラウド事業者

Alibaba Cloud は中国国内のサイバーセキュリティ等級評価である MLPS 2.0 認定を取得した最初のクラウドサービスプロバイダーです。また、Alibaba Cloudはユーザーに対して中国サイバーセキュリティ法対策支援ソリューションを数多く提供しております。

Alibaba Cloudセキュリティアーキテクチャーについて(構造・責任・役割)

プラットフォームセキュリティの考え方

Alibaba Cloud プラットフォーム上におけるセキュリティはお客様との共同責任であり、クラウドサービス基盤の安全、セキュリティサービスと機能の提供、アプリケーションのセキュリティなど様々なレイヤでの考慮が必要と考えています。

 

f:id:sbc_abm:20200514205333p:plain
出典:Alibaba Cloudセキュリティホワイトペーパー

 

責任共有モデルについて

Alibaba Cloudとお客様がそれぞれでセキュリティ対策を実施することで、プラットフォーム上に構築されたお客様アプリケーション等のセキュリティを担保します。

f:id:sbc_abm:20200514205529p:plain
出典:Alibaba Cloudセキュリティホワイトペーパー

 

お客様と事業者の役割

Alibaba Cloudではお客様と事業者の役割を下記の通り定義しています。

 

担当 役割
お客様 クラウドプラットフォーム上で構築されたシステムの全般的なセキュリティ対策
(クラウドのセキュリティプロダクトやサードパーティーのソリューションを利用)
  • アカウント管理
  • アクセス権限管理
  • インフラやネットワークセキュリティ
  • データセキュリティ(暗号化等)
  • ISO90001(品質マネジメントシステム)
  • アプリケーションのセキュリティ
Alibaba Cloud データセンター、クラウドプラットフォーム及び各種プロダクトのセキュリティー
  • デンターセンターのセキュリティ
  • プラットフォームのハードウェア、ソフトウェア、ネットワークのセキュリティ
  • サービス品質を維持しながら、設備の脆弱性の早期検知と修正
  • サードパーティーによる定期的なセキュリティ監査の実施
  • エンドユーザーへセキュアなプラットフォーム提供
  • エンドユーザーへ必要なセキュリティ機能の提供

 

Alibaba Cloudセキュリティアーキテクチャー全体像

f:id:sbc_abm:20200514205701p:plain
出典:Alibaba Cloudセキュリティホワイトペーパー

 

クラウドプラットフォームセキュリティ

f:id:sbc_abm:20200514204800p:plain

物理的セキュリティ

災害検知と対応

  • 各データセンターに災害検知システム及び消火設備を配備しています。
  • 災害時に早期対応ができるように従業員による定期的な訓練を実施しています。

電源設備

  • データセンターの24時間稼働を保証するため、すべての電源設備を冗長化し、メインとバックアップの電源とも同じキャパシティで設計しています。
  • 停電に備え、更に無停電電源装置(UPS)とディーゼル発電機を配備しています。

温度と湿度の管理

  • 温度と湿度レベルの常時監視しています。
  • 全空調設備の冗長化しています。

データセンターへの入退室管理

  • 運用担当の従業員のみに入退室権限を付与しています。
  • 権限の内、従業員または外部監査等で部外者の一時的な入退室が必要な場合、事前に申請をし、承認された者のみ運用担当の従業員の立会いのもと入退室を可能としています。
  • データセンター内の高セキュリティエリアは生体認証による入退室管理を実施しています。

データセンター監視体制

  • カメラ等の監視設備を完全配備の上、常時監視しています。
  • すべてのメンテナンス作業ログを収集し、常時監視しています。
  • サーバへのアクセスは踏み台サーバ(Bastion Host)を介して実施しています。
  • 踏み台サーバにて作業ログを収集し、常時監視しています。

ストレージデバイスのリサイクル/廃棄

  • 不要となったディスク装置はデータセンター内で破壊する設備を配備しています。
  • デバイスがリサイクルまたは廃棄される場合、ストレージメディアに対して上書き、消磁、物理的破壊などのデータ消去対策を実施しています。

 

ハードウェアセキュリティ

ファームウェアセキュリティ

  • ファームウェアベースラインスキャン: ファームウェアのバージョンおよびその他の関連情報を定期的にスキャンして、潜在的な例外が存在するかどうかチェックしています。
  • 高性能GPU インスタンス保護: 重要なGPU レジスタを保護して、ユーザの仮想マシンでGPU フラッシュを変更できないようにし、GPU などの機密性の高い資産が変更されないように対策しています。
  • BIOS セキュアアップデート: Alibaba Cloud によって署名されたBIOS イメージのみが、関連するサーバーにフラッシュされ、悪意のあるBIOS のフラッシュの発生を防止しています。
  • BMC ファームウェア保護: ホストオペレーティングシステムでの不正なBMC ファームウェアのフラッシュを防止しています。

仮想化基盤セキュリティ

テナント分離

  • CPU/メモリ/ストレージ/ネットワークが分離された仮想環境を提供しています。

Security Hardening

  • Hypervisorに必要最低限のコードとライブラリーのみでカスタマイズし、脆弱性が含まれるリスク低減しています。

ホットフィックスパッチ適用

  • 仮想レイヤがホットフィックスパッチ適用をサポートするため、エンドユーザーに影響することなくセキュリティ脆弱性のパッチを早期に適用しています。

データ削除

  • 仮想化の機能として、エンドユーザーの解約をトリガーに、付与されていたディスクスペースとメモリスペースを完全に削除しています。

 

アカウントと権限管理

アカウント管理

    • 全従業員に固有のアカウントIDを付与しています。
    • システムへアクセスする際のパスワードポリシーを設定しています。
    • 全アカウントを厳密に管理し、異動や退職時に適切に対処を実施しています。

   異動時に適切なアカウント移行を実施
   退職と同時にアカウントを削除(アカウント削除と同時に即座に社内NWから切断、全システムへのアクセス不可)

 

権限管理

  • アカウントID保持の従業員でも、各システム利用にはアクセス権限付与を必須としています。
  • 従業員の役割に応じた権限付与:不要なシステムアクセスを禁止する運用としています。
  • システムをリスクレベル別に分類の上、分類毎の権限付与承認プロセスを運用しています。
  • 付与された権限には有効期限が設定され、定期的な申請を必須としています。(システムのリスクレベルによって有効期限が異なっています)
  • 一定期間利用がない権限を強制削除しています。退職時はアカウントと同時に即座に権限を削除しています。

 

監視・運用とオペレーション

Secure Product Lifecycle(SPLC)

プロダクト開発のライフサイクル全体にセキュリティが組み込まれるように設計されたプロセスを導入することで、セキュリティを考慮したプロダクト設計、開発と運用が可能になります。

 

f:id:sbc_abm:20200514210452p:plain
出典:Alibaba Cloudセキュリティホワイトペーパー

 

リアルタイム異常検知

  • Alibaba Cloud内部のSOC(Security Operation Center)によるプラットフォーム全体の監視をリアルタイムで実施しています。
  • プラットフォームとオペレーションのログを2軸で分析と監視を行っています。
    RealTime Computeを活用した全ログのリアルタイム収集・分析・異常検知
    MaxComputeによるログデータ保存とオフライン分析・異常検知

定期脆弱性診断

  • 定期的にプラットフォームの脆弱性診断を実施し、十分にセキュリティ対策が取れているかを確認し、プロアクティブに脆弱性の修正を実施しています。

変更管理

  • 変更管理プロセスを定め、プラットフォームに新機能や機能変更を行う場合には必ずプロセスを適用しています。
  • 事前に変更内容のレビュー、実装、セキュリティ対策を含めた事前審査・テスト、変更後の確認及び運用開始、変更に関わる全てのフェーズが定められ、これに合格しないと変更を適用できないように運用しています。

 

クラウド製品セキュリティ

Alibaba Cloudでは、Elastic Compute Service(ECS)、Object Storage Service(OSS)、Virtual Private Cloud(VPC)、Relational Database Service(RDS)、MaxCompute など、多様なクラウド製品を取り揃えております。パブリッククラウドサービスは、共有責任の原則に基づき、Alibaba Cloudとお客様がそれぞれでセキュリティ対策を実施しますが、これら数多くのクラウドサービスのご利用にあたってお客様にご活用いただけるセキュリティサービスや機能を提供しており、アプリケーションのセキュリティに至るまで様々なレイヤでのセキュリティを担保しております。

 

<参考リンク>
Alibaba Cloudセキュリティホワイトペーパー
Alibaba Cloud Security&Compliance Center