セキュリティのプラクティス(アーカイブ済)

本書は、お客様のご参考のために作成された英語版の参考訳であり、可能な限り正確であるように努めていますが、誤りを含む可能性があることをご了承ください。英語版と齟齬がある場合、英語版の定めが優先し適用されるものとします。

有効日 :2018 年 5 月 24 日

当社は、Slack におけるデータの安全を非常に重視しています。また、当社の創業理念のひとつである透明性の観点から、当社のセキュリティ面での取り組みを可能な限り明確かつ開放的にすることを目指しています。

セキュリティに関する追加のご質問がある場合には、ぜひお聞かせください。feedback@slack.com へメールをお送りください。可能な限り早急にご返信します。

---

秘密保持

当社では、Slack のサービスを通じて利用可能になるお客様およびお客様のユーザーのデータへの当社の従業員によるアクセスを厳重に管理しています。このデータについては、お客様の Slack のサービスの使用を対象とする Slack との契約により具対的に規定されています（「顧客データ」）。Slack のサービスの運用の中には、一部の従業員による顧客データの保管と処理を行うシステムへのアクセスを要するものもあります。例えば、Slack のサービスに関するお客様の問題を診断するためには、お客様の顧客データへのアクセスが必要となる場合があります。これらの従業員が、必要範囲を超えた顧客データ閲覧のために許可を使用することは禁じられています。当社では、顧客データへのあらゆるアクセスを確実に記録するための技術的管理手段と監査ポリシーを整備しています。

当社の従業員および関連会社社員の全員が顧客データに関する当社のポリシーの遵守義務を負い、当社では、こうした問題を最重要事項として捉えています。

人事実務

Slack はあらゆる従業員の採用前に身元確認を行っており、従業員は採用時に加え、採用後も継続的にセキュリティ研修を受けます。従業員全員に対して、Slack のサービスのセキュリティ、可用性、機密性を含む当社の広範な情報セキュリティポリシーの確認と署名が求められます。

コンプライアンス

Slack のサービスに適用することができるセキュリティ関連の監査および証明書は次のものです。

• ISO 27001 および ISO 27018:Slack は ISO 27001 および ISO 27018 の準拠を実現しました。ISO 27001 認定書はここからまた ISO 27018 認定書はここからダウンロードできます。適用の声明書のコピーは要求に応じてアカウントマネージャーから入手できます。
• サービス組織管理（SOC）レポート:Slack は SOC 2 の監査を受けており、Slack の最も直近のレポートのコピーはお客様のアカウントマネージャーから要請があれば入手できます。さらに SOC3 のレポートはここからダウンロードして入手できます。
• PCI:Slack は PCI レベル 4 の業者であり、支払いカード業界データセキュリティ基準の SAQ-A を完了しています。当社は第三者を使用してクレジットカード情報をセキュアに処理します。Slack は現在のところ PCI 認定のサービスプロバイダーではありません。

Slack のサービスをホストする環境によって、ISO 27001 の準拠、FedRAMP 許可、PCI 証明書および SOC レポートを含むそのデータセンター用の複数の証明書が維持されています。それらの証明書と準拠についての詳細は、AWS Security の Web サイト、AWS Compliance の Web サイト、Google Security の Webサイト および Google Compliance の Web サイトでご確認ください。

チームメンバーと管理者のためのセキュリティ機能

インフラストラクチャレベルでの取り組みに加え、当社では、Slack のサービスの有料版のチームの管理者に対して、チームのユーザーが顧客データを保護するための追加のツールを提供しています

アクセスロギング

ユーザーと有料チームの管理者のどちらも詳細なアクセスログがご利用になれます。アカウントへのサインイン毎にログを取り、使用した端末の種類や接続した IP アドレスを記録します。

チームの管理者と有料プランが適用されるチームのオーナーは、チーム全体の統合されたアクセスログを確認することができます。管理者がリモートかつオンデマンドですべての接続を遮断し、Slack のサービスの利用を許可されたすべての端末をサインアウトすることも常時容易に行えます。

チーム全体の 2 要素認証

チームの管理者は、ユーザー全員にアカウントへの 2 要素認証設定を要求することができます。設定の方法については当社のヘルプセンターをご参照ください。

シングルサインオン

有料プランが適用されるチームの管理者は、様々なシングルサインオンプロバイダーと Slack のサービスインスタンスを統合することができます。「スタンダード」プラン適用のチームは、Google アプリ認証を認証プロバイダーとすることができ、「プラス」プラン適用のチームは、OneLogin、Okta、Centrify や Ping Identity 等のプロバイダーで SAML SSO を有効化することができます。

データの保存

Slack の有料プランが適用されるチームのオーナーは、カスタムメッセージ保存ポリシーをチーム全体またはチャンネル毎に設定することができます。カスタム保存期間を設定すると、お客様の設定した期間より古いメッセージやファイルは毎晩消去されます。

顧客データの削除

Slack はワークスペースのプライマリーオーナーがサブスクリプション期間中いつでも顧客データを消去できるオプションを提供しています。ワークスペースのプライマリーオーナーが削除を開始してから 24 時間以内に、Slack は現在実行中のプロダクションシステムからすべての情報（チームとチャンネル名、Web サーバーのアクセスログの URL に埋め込まれた検索条件を除く）を物理削除します。Slack のサービスのバックアップは 14 日間以内に破棄されます。*

顧客データの返還

Slack のサービスのエクスポート機能に関する情報は、当社のヘルプセンターをご参照ください。

送受信時と保存時のデータ暗号化

Slack のサービスは、転送中のすべてのトラフィックを暗号化するための最新の推奨であるセキュアな暗号スイートとプロトコルに対応しています。格納中の顧客データは暗号化されます。

当社では、変化する暗号化ランドスケープを密接にモニタリングし、新しい暗号化の面での脆弱性の発見に対してサービスの早急な更新で対応し、こうした脆弱性の展開に対してベストプラクティスを実施しています。転送時の暗号化については、既存のクライアントとの互換性を配慮しつつ行っています。

ログイン状態

当社では、お客様の業務に Slack のサービスが欠かせないものであることを認識しています。Slack をお客様の頼れる可用性の高いサービスとすることにコミットしています。当社のインフラストラクチャは、個別のサーバーの障害、あるいはデータセンター全体の障害に関わらず、耐障害性のあるシステムに基づくものです。当社の運用チームは定期的にディザスタリカバリ対策をテストし、不測のインシデントを素早く解決するために 24 時間対応のチームを配置しています。

ディザスタリカバリ

可用性確保のために、顧客データは当社のホスティングプロバイダーのデータセンターの複数の場所に重複して保管されています。当社のバックアップと修復手続は充分なテストを経ており、大規模な障害からの回復を可能とするものです。顧客データと当社のソースコードは毎晩自動でバックアップされます。本システムに障害が発生すると、運用チームがアラートを受信します。当社のプロセスとツールが想定通りに動作することを確認するため、バックアップは最低でも 90 日間にわたり徹底的にテストされます。

ネットワーク保護

高度なシステム監視とロギングに加え、当社では、自社のプロダクション環境全体を通したあらゆるサーバーアクセスについて 2 要素認証を実装しています。ファイアウォールは業界のベストプラクティスに従い構成され、AWS セキュリティグループの設定により不要なポートは遮断されます。

ホスト管理

当社のプロダクションホストに関しては自動の脆弱性スキャンを行ない、当社の環境へのリスクとなる発見事項を解決しています。業務用のノートパソコンについては、画面ロックとフルディスクの暗号化を義務化しています。

ロギング

Slack は、セキュリティ、監視、可用性、アクセス、その他の Slack のサービスに関する指標に関する情報を含むプロダクション環境に広範かつ集中化されたロギング環境を整備しています。これらのログは、セキュリティチームの監督下での自動監視ソフトウェアでのセキュリティイベント分析の対象となります。

インシデント管理と応答

セキュリティ侵害の発生時には、Slack はお客様の顧客データへの権限のないアクセスに関して早急にお知らせします。Slack では、こうした事象への対応のためのインシデント管理ポリシーおよび手続を整備しています。

セキュリティに関する外部監査

定評ある外部セキュリティ企業と Slack のサービスの定期監査実施に関する契約を結び、当社のセキュリティ慣行の健全性を検証し、セキュリティ研究コミュニティで発見された新しい脆弱性に関する Slack のサービスの監視を実施しています。定期的かつ的を絞った Slack のサービスおよび機能の監査に加え、当社のウェブプラットフォームの継続的なハイブリッド自動スキャンを採用しています。

製品セキュリティへの取り組み

新しい機能、機能性や設計変更は、セキュリティチームの主導するセキュリティ審査プロセスの対象となります。さらに、当社のコードは、自動静的解析ソフトウェアによる監査、テスト、手動のピアレビューを経て、プロダクション段階へと展開されます。開発中に起こる追加のセキュリティ上の懸念への対応のため、セキュリティチームが開発チームと密接に協業しています。

Slack では、セキュリティバグバウンティプログラムも運用しています。世界中のセキュリティ研究者が Slack のサービスのセキュリティを継続的にテストし、本プログラムを通じて問題を報告しています。本プログラムの詳細は、バウンティサイトをご参照ください。

*Slack のサービスのバックアップは、かかる期間が一時的に延長されるインシデントの調査が進行中の間を除き、14 日以内に破棄されます。