Phrase

セキュリティ

セキュリティステートメント

はじめに

このセキュリティステートメントは、Phraseが提供する製品、サービス、アプリケーションに適用されます。お客様データの保護と信頼性は、私たちの最優先事項です。私たちのセキュリティシステムは、高い回復力、透明性、第三者評価の原則に基づいており、世界的に認識されたセキュリティ基準に従っています。私たちは、マルチテナントモデルと論理的アクセス制御を備えたパブリッククラウドサービスに基づくPhraseのアーキテクチャが、翻訳や翻訳メモリなどの顧客の機密データに最良の価値と保護を提供すると信じています。

認証

Phrase a.s.(旧Memsource a.s.)は ISO 27001認証を取得しており、私たちが導入した情報セキュリティマネジメントシステム(ISMS)がISO基準に適合していることを証明しています。ISO証明書は2020年から2023年までの期間で更新されました。

私たちは、クラウドプロバイダとしてAmazon Web Services(AWS)を使用しています。AWSは広範なセキュリティ基準に準拠しています。これには、SOC 1/ISAE 3402、SOC 2、SOC 3、FISMA、DIACAP、FedRAMP、PCI DSSレベル1、ISO 9001、ISO 27001、ISO 27017、ISO 27018が含まれます。

当社は、PCI DSS準拠の第三者決済プロバイダを使用し、MasterCard SecureCode、Verified by VISA、SafeKeyなどの追加セキュリティメカニズムも利用しています。

監査と脆弱性検出

Phraseのサービスは、毎年第三者によるペネトレーションテストを受けています。テストは、OWASP ASVS基準に従って実施されます。

私たちは、第三者がホストする脆弱性開示プログラムを運営しており、独立した研究者が私たちのアプリケーションやサービスで見つけた脆弱性を責任を持って開示できるようにしています。

私たちは、毎月の自動脆弱性スキャンのために第三者サービスを使用しています。

私たちの情報セキュリティマネジメントシステムは、ISO 27001基準への準拠を確認するために、年次内部監査および第三者監査を受けています。

データ管理

あなたのPhraseアカウントのデータは保護されています。あなたが適切なユーザー権限を付与したユーザーのみが、あなたのコンテンツにアクセスできます。データをメールで送信する代わりに、ユーザーはPhraseで認証後にデータにアクセスします(アクセス制御を参照)し、すべてのユーザーアクションはログに記録されます。

すべての保存データは、Linux LUKS(aes-xts-plain64:sha256)またはAWS暗号化(AES256)を使用して暗号化されています。

データセンターとロケーション

PhraseサービスはAmazon Web Services(AWS)プラットフォーム上でホストされています。物理サーバーはAWSデータセンターにあります。ユーザーコンテンツは、AWS S3に保存されたバックアップにも含まれています。

プロダクション環境

私たちは、開発、QA、プレプロダクション、プロダクション環境を別々に維持しています。

Phraseプロダクション環境へアクセスするには、認可され訓練を受けたPhraseエンジニアリングチームのメンバーがVPNを使用し、固有で強力なパスワードおよび2FAによる認証を行います。

変更管理

Phraseは、変更が承認され、意図した通りに機能することを保証するために設計された正式なIT変更管理プロセスを使用しています。

Phraseの変更管理システムは、これらの原則に従います:

  • すべてのソフトウェア開発は、Phraseのポリシーおよび特定コンポーネントのドキュメントに記載されたベストプラクティスに従います。
  • すべての変更は、ドキュメント化され、関連するチームリーダーによって承認済みとなります。<1>
  • すべての変更は、プロダクション環境に展開する前にQAおよびプレプロダクション環境でテストされます。変更は、あらかじめ定められた基準を満たす場合にのみ承認されます。開発およびQA環境はテストデータを使用し、実際のお客様データは含まれていません。
  • Phraseサービスの適用されたセキュリティ対策やリスクプロファイルに影響を与えるすべての変更は、Phraseの情報セキュリティチームによって評価されます。
  • 重大な変更がある場合、ペネトレーションテストおよび/または脆弱性テストが実施されます。

アクセス制御

Phraseのアクセス管理は、以下の原則に従います:

最小特権の原則

任意のユーザーのアクセス権は、割り当てられた職務または機能を完了するために絶対に必要なリソースにのみ制限されるべきであり、それ以上は認められるべきではありません。

職務分離の原則

可能な限り、単一の人物が詐欺、悪用、またはその他の危害の可能性があるタスクまたはタスクのセットを最初から最後まで完了または制御する責任を負うべきではありません。<4>

パーソナライズされたプロファイル

可能な限り、ユーザープロファイルはパーソナライズされており、特定のユーザーのアイデンティティに結びついています。

単一のアイデンティティ

可能な限り、ユーザープロファイルは単一の認証プロバイダ(Google IDなど)と単一の認証情報を使用します。認証プロバイダがサポートしている場合、マルチファクター認証が有効になります。

ユーザーの責任

ユーザーは、認証手段(ユーザー名、パスワード、マルチファクター認証手段)の保護および自身のプロファイルの下で行われるすべての操作に責任を負います。ITシステム/アプリケーションの管理者は、技術的プロファイルの使用および保護に責任を負います。

イベントログ記録

システムおよびアプリケーションのイベントに関連するログ、ならびにユーザーのPhraseアカウント内でのあらゆるユーザー活動に関連するログも保存します。第三者サービスの形で集中管理されたログがあります。

プラットフォームのお客様の使用に関する監査ログはPhraseエンジニアが利用でき、ご要望に応じて提供可能です。

ログイン履歴(IPアドレス、国、ユーザーエージェントの識別を含む)は、各ユーザーが利用でき、UIを介してアクセス可能です。

通信の暗号化

すべての通信はデフォルトで暗号化されています。これには、Phraseサーバーとユーザーのウェブブラウザ、Phrase CAT Desktop Editor、モバイルアプリケーション間の通信が含まれます。

Phraseは、転送中のデータに対して業界標準の暗号化を使用しています。それらはTLS 1.2によって暗号化されています。Phraseへの接続のアイデンティティは、安全な認証機関によって検証されています。

冗長性とバックアップ

冗長アーキテクチャは、高いサービス稼働時間を提供します。すべてのデータは、いくつかの冗長データベースインスタンスに保持されています。すべてのデータは、AWS S3にホストされた非常に耐久性のあるストレージに対して、ほぼリアルタイムの増分バックアップと日次のフルバックアップを通じてバックアップされています。バックアップは、Linux LUKS(aes-xts-plain64:sha256)またはAWS暗号化(AES256)を使用して暗号化されています。

災害復旧とインシデント対応

当社は、インシデントに対して迅速かつ効果的に対応できるよう促進する災害復旧およびインシデント対応ポリシーを適用しています。これにより、私たちは高い サービスの可用性を維持し、最小限のデータ損失で災害イベントから迅速に回復する努力をしています。私たちの災害復旧のパフォーマンスは、復旧時間目標(RTO)と復旧ポイント目標(RPO)によって測定されます。

RTOは、ビジネスプロセスが災害(または中断)の後に、ビジネスの継続性の中断に伴う受け入れがたい結果を回避するために復旧されなければならない目標時間です。Phraseは、サービスのすべてのコンポーネントに対して8時間のRTOを達成することがテストで証明されました。

RPOは、時間で測定される最大許容データ損失量です。それは、コンピュータシステムまたはネットワークの障害が発生した場合に、通常の操作を再開するために必要なバックアップストレージ内のファイルまたはデータの年齢です。RPOは、すべてのデータベースインスタンスの完全な回復を必要とするインシデントをカバーします。インシデントによって影響を受けるのが1つのデータベースインスタンスのみの場合、プロダクション環境はシームレスに別のインスタンスに切り替わります。Phraseは、壊滅的な障害が発生した場合でも4時間のRPOを達成します。

物理的セキュリティ

Phraseのほとんどの資産はクラウドベースですが、当社のポリシーにより、物理的な施設およびそこに保管される情報資産の保護が確保されています。<1>

当社の施設は、24時間年中無休で常駐するセキュリティサービスによって保護されています。建物の入口はCCTVカメラで監視されています。セキュリティは、非常口を含む建物へのすべてのアクセスポイントを制御します。

一般的に、Phraseの施設はPhraseの従業員と長期契約者のみがアクセス可能です。これらの人々は、制限エリアを除く一般オフィスエリアへのアクセスを許可するトークンの保有者です。

訪問者は、24時間営業の受付で登録されます。登録に基づいて、彼らはリフトエリアへのアクセスのみが与えられます。Phraseの施設にアクセスするには、常にPhraseの従業員に同行してもらう必要があります。すべてのPhrase従業員は、訪問中、訪問者に常に付き添い、Phraseに属する情報資産への不要なアクセスを許可しない責任があります。

機密情報のハードコピーは、Phraseオフィス内のロックされたクローゼットにのみ保管できます。これらの文書へのアクセスは、職務の遂行に必要な従業員のみに許可されます。

機密IT資産は、サーバールームに保管されています。サーバールームへのアクセスは、指定されたPhraseの従業員による確認後にのみ許可されます。Phraseの情報資産は、他のテナントの機器とは別にロックされたラックに保管されています。

従業員ポリシー

Phraseの職員は、本書および関連するポリシードキュメントに記載された法律、規則、手続きに従って行動する義務があります。彼らは、Phraseによって委託された資産のセキュリティに責任を負います。前述の義務のいずれかの違反や不正行為は、適用される労働法に従って懲戒処分につながる可能性があります。

中央管理され、自動的に更新されるアンチマルウェアソリューションがすべてのコンピュータにインストールされています。  すべてのデバイスには完全なディスク暗号化が有効になっており、強力なパスワードおよび/または生体認証によって保護されています。Phraseのユーザーは、自分のデバイスを使用する際にもこれらのポリシーに従う必要があります。クリーンデスクポリシーは、デバイスを不在時に保護するためのルールと、内部および機密情報を指定された保護エリアにのみ安全に保管するためのルールを提供します。

ユーザーは、すべての仕事関連アカウントに対して、ユニークで複雑かつ推測されにくいパスワードを作成する必要があります。内部Phraseネットワークへのリモートアクセスは、当社管理のVPNを通じてのみ可能です。

すべての見込みのPhraseの従業員および契約者は、プライバシー法に従ってバックグラウンドチェックの対象となります。セキュリティ意識トレーニングは、私たちのオンボーディングプロセスの一部であり、毎年繰り返されます。すべての従業員および契約者は、契約上の取り決めの一部として機密保持の義務の対象となります。

バグバウンティプログラム

弊社製品におけるセキュリティ上の脆弱性を発見しましたか?それを私たちのバグバウンティプログラムに送信すると、報酬を得ることができます。私たちのバグバウンティはIntigriti(Intigriti.comへのリンク)によって管理されており、参加するには検証済みの研究者である必要があります。見つけた脆弱性の説明とIntigritiのユーザー名をsecurity@phrase.com宛にメールでお送りください。ご招待できるよう手配いたします。