セキュリティプラクティス
本書は、お客様のご参考のために作成された英語版の参考訳であり、可能な限り正確であるように努めていますが、誤りを含む可能性があることをご了承ください。英語版と齟齬がある場合、英語版の定めが優先し適用されるものとします。
公開日 :2021 年 10 月 1 日
当社は、Slack におけるデータの安全を非常に重視しています。また、当社の創業理念のひとつである透明性の観点から、当社のセキュリティ面での取り組みを可能な限り明確かつ開放的にすることを目指しています。セキュリティに関する追加のご質問がある場合には、ぜひお聞かせください。feedback@slack.com へメールをお送りください。可能な限り早急にご返信します。
プラットフォーム管理
アーキテクチャとデータの分離
Slack のサービスは、Slack のサービスを通じて利用可能になるお客様およびお客様のユーザーのデータへのアクセスを分離および制限するように設計されているプラットフォームとインフラストラクチャの両方の層のマルチテナントアーキテクチャで運用されます。このデータについては、ビジネス上のニーズに基づいて、お客様の Slack のサービスの使用を対象とする Slack(またはその関係会社)との契約により具対的に規定されています(「顧客データ」)。このアーキテクチャでは、異なる顧客ごとにユニークな ID を介して論理的なデータの分離が提供されます。
パブリッククラウドインフラストラクチャ
Slack のサービスは、インターネットを介して「パブリッククラウド」でホストされています。パブリッククラウドとは、その使用または購入を希望するあらゆる人に対してサードパーティプロバイダーによって提供されるコンピューティングサービスです。他のすべてのクラウドサービスと同様に、パブリッククラウドサービスは、プロバイダーが管理するリモートサーバー上で実行されます。
監査
Slack のサービスは、社内の担当者および Slack サービスの定期的な監査を実施する定評ある外部セキュリティ企業によるセキュリティ評価を受け、当社のセキュリティ慣行の健全性を検証し、セキュリティ研究コミュニティで発見された新しい脆弱性に関する Slack のサービスの監視を実施しています。定期的かつ的を絞った Slack のサービスおよび機能の監査に加え、当社のウェブプラットフォームの継続的なハイブリッド自動スキャンを採用しています。顧客は、利用可能な該当する外部監査レポートのコピーをここからダウンロードできます。
認定
認定は Slack サービスで実行され、顧客は利用可能な該当する認定のコピーをここからダウンロードできます。
セキュリティ管理
Slack は、Slack のサービスを通じて処理または送信される顧客の個人データの偶発的または違法な破壊、紛失、改変、および不正な開示またはアクセスからお客様の顧客データを保護するために、適切な技術的および組織的対策を実施して維持します。Slack のサービスには、以下のような多くのセキュリティ管理がありますが、これらに限定されません。
- アクセスロギング。ユーザーと有料チームの管理者のどちらも詳細なアクセスログがご利用になれます。アカウントへのサインイン毎にログを取り、使用した端末の種類や接続した IP アドレスを記録します。チームの管理者と有料プランが適用されるチームのオーナーは、チーム全体の統合されたアクセスログを確認することができます。
- アクセス管理。管理者は、リモートかつオンデマンドですべての接続を遮断し、Slack のサービスの利用を許可されたすべての端末をサインアウトすることも常時できます。
- データの保存。Slack の有料プランが適用されるチームのオーナーは、カスタムメッセージ保存ポリシーをチーム全体またはチャンネル毎に設定することができます。カスタムな保持期間を設定すると、設定した期間を過ぎた古いメッセージとファイルは、Slack のサービスのプロダクションサーバーから毎晩定期的に削除されます。
- ホスト管理。当社のプロダクションホストに関しては自動の脆弱性スキャンを行ない、当社の環境へのリスクとなる発見事項を解決しています。業務用のノートパソコンについては、画面ロックとフルディスクの暗号化の使用を義務化しています。
- ネットワーク保護。高度なシステム監視とロギングに加え、当社では、自社のプロダクション環境全体を通したあらゆるサーバーアクセスについて 2 要素認証を実装しています。ファイアウォールは、AWS セキュリティグループを使用し、業界のベストプラクティスに従って設定されています。
- 製品セキュリティへの取り組み。新しい機能、重要な機能性や設計変更は、セキュリティチームの主導するセキュリティ審査プロセスの対象となります。さらに、当社のコードは、自動静的解析ソフトウェアによる監査、テスト、手動のピアレビューを経て、プロダクション段階へと展開されます。開発中に起こる追加のセキュリティ上の懸念への対応のため、セキュリティチームが開発チームと密接に協業しています。Slack では、セキュリティバグバウンティプログラムも運用しています。世界中のセキュリティ研究者が Slack のサービスのセキュリティを継続的にテストし、本プログラムを通じて問題を報告しています。本プログラムの詳細は、バウンティサイトをご参照ください。
- チーム全体の 2 要素認証。チームの管理者は、ユーザー全員にアカウントへの 2 要素認証設定を要求することができます。設定の方法については当社のヘルプセンターをご参照ください。
管理の中には、顧客が無効にすることができないものがあります。一方で、顧客自身の使用のために顧客が Slack のサービスのセキュリティをカスタマイズできるものもあります。そのため、顧客データの保護は顧客と Slack の共同責任です。少なくとも、Slack は、ISO 27001、ISO 27002 および ISO 27018 などの一般的な業界標準、またはその後継の標準や代替の標準に準拠します。
侵入検知
Slack または正規の外部エンティティは、不正な侵入がないか Slack のサービスを監視します。
セキュリティログ
Slack のサービスの提供に使用されるシステムは、セキュリティの審査と分析を可能にするために、それぞれのシステムログ機能または集中化ログサービス(ネットワークシステムの場合)に情報を記録します。Slack は、セキュリティ、監視、可用性、アクセス、その他の Slack のサービスに関する指標に関する情報を含むプロダクション環境に広範かつ集中化されたロギング環境を整備しています。これらのログは、セキュリティチームの監督下での自動監視ソフトウェアでのセキュリティイベント分析の対象となります。
インシデント管理
Slack はセキュリティインシデント管理のポリシーと手順を維持します。Slack は、法律で許可される範囲内において、Slack が認識した Slack またはその代理人による個々の顧客データの不正な開示について、影響を受ける顧客に対して非合理的な遅滞なく通知します。Slack は、Salesforce Trust の Web サイトまたは Slack System Status のページ(あるいはその両方)にシステムステータス情報を公開します。Slack は、通常、重大なシステムインシデントをメールで顧客に通知し、インシデントが 1 時間以上続く場合は、影響を受ける顧客に連絡を取り、インシデントと Slack の対応に関する電話会議への参加を依頼することがあります。
データの暗号化
Slack のサービスは、業界で認められている暗号化製品を使用して、(1)顧客のネットワークと Slack のサービス間で転送中の顧客データおよび(2)保管時の顧客データを保護します。Slack のサービスは、転送中のすべてのトラフィックを暗号化するための最新の推奨であるセキュアな暗号スイートとプロトコルに対応しています。当社では、変化する暗号化ランドスケープを密接にモニタリングし、新しい暗号化の面での脆弱性の発見に対してサービスの早急な更新で対応し、こうした脆弱性の展開に対してベストプラクティスを実施しています。転送時の暗号化については、既存のクライアントとの互換性を配慮しつつ行っています。
信頼性、バックアップ、およびビジネスの継続
当社では、お客様の業務に Slack のサービスが欠かせないものであることを認識しています。Slack のサービスをお客様の頼れる可用性の高いサービスとすることにコミットしています。当社のインフラストラクチャは、個別のサーバーの障害、あるいはデータセンター全体の障害に関わらず、耐障害性のあるシステムに基づくものです。当社の運用チームは定期的にディザスタリカバリ対策をテストし、不測のインシデントを素早く解決するために 24 時間対応のチームを配置しています。Slack のサービスの設計は、信頼性とバックアップに関する業界標準のベストプラクティスに基づいています。Slack は定期的なバックアップを実行し、必要に応じてソフトウェアとシステムの変更のロールバックを進め、必要なデータを複製します。Slack は、区域のデータレジデンシー要件と地域内の機能によって制限されるような、大規模で壊滅的なイベントのデータ回復について可能な限り顧客を支援します。「大規模で壊滅的なイベント」とは、以下に示す 3 種類の広範囲の事象を意味します。(1)洪水、ハリケーン、竜巻、地震、伝染病などのような自然事象。(2)パイプラインの爆発、輸送事故、公益設備の破壊、ダムの決壊、偶発的な危険物放出などのようなシステムや建造物の障害などの技術的事象。(3)意図的な攻撃者による攻撃、化学的または生物学的攻撃、データまたはインフラストラクチャに対するサイバー攻撃、妨害行為などのような人為的事象。大規模で壊滅的なイベントには、バグ、運用上の問題、その他の一般的なソフトウェア関連のエラーは含まれません。
可用性確保のために、顧客データは当社のホスティングプロバイダーのデータセンターの複数の場所に重複して保管されています。当社のバックアップと修復手続は充分なテストを経ており、大規模な障害からの回復を可能とするものです。顧客データと当社のソースコードは毎晩自動でバックアップされます。本システムに障害が発生すると、運用チームがアラートを受信します。当社のプロセスとツールが想定通りに動作することを確認するため、バックアップは最低でも 90 日間にわたり徹底的にテストされます。
保管中のデータ
お客様の発注書に特に規定されている場合を除き、Slack は特定の主要な地理的領域内に顧客データを保存します。
顧客データの返還
契約終了後 30 日以内に、顧客は Slack のサービスに送信されたそれぞれの顧客データの返還を要求できます(当該データが顧客によって削除されていない範囲内で)。Slack のサービスのエクスポート機能に関する情報は、Slack のヘルプセンターをご参照ください。
顧客データの削除
Slack のサービスはワークスペースのプライマリーオーナーがサブスクリプション期間中いつでも顧客データを消去できるオプションを提供しています。ワークスペースのプライマリーオーナーが削除を開始してから 24 時間以内に、Slack は現在実行中のプロダクションシステムからすべての情報(チームとチャンネル名、Web サーバーのアクセスログの URL に埋め込まれた検索条件を除く)を物理削除します。Slack のサービスのバックアップは 14 日以内に破棄されます(バックアップは 14 日以内に破棄されます。ただし、インシデントの調査の進行中に当該期間が一時的に延長される場合があります)。
顧客が Enterprise Grid の有料サブスクリプションを終了する場合、顧客がアカウントの削除を選択しない時は、サブスクリプションの終了後 90 日以内、Slack が顧客のアカウントの削除を開始してから 14 日以内に、Slack は顧客データのすべてのコピー(チーム名とチャンネル名、Web サーバーアクセスログの URL に埋め込まれた検索条件を除く)を削除し、すべての関連会社および該当するサードパーティのホスティングプロバイダーに確実に削除させます。顧客が Enterprise Grid 以外の Slack のサービスの有料サブスクリプションを終了する場合、顧客のサブスクリプションは、その時点におけるオンラインカスタマーサービス利用規約または無料使用階層に適用されるその他の主要オンラインサブスクリプション契約(「無料サブスクリプション規約」)に従って、Slack のサービスの無料使用階層で継続し、(i)顧客自身がワークスペースを削除するか、(ii)顧客が顧客データを削除するよう Slack に指示するか、または(iii)いずれかの当事者が無料サブスクリプション規約を終了するまで、顧客データは削除されません。当該イベントが発生した場合、Slack は 14 日以内に顧客データのすべてのコピー(チーム名とチャンネル名、Web サーバーアクセスログの URL に埋め込まれた検索条件を除く)を削除するものとし、すべての関連会社および許可されたサードパーティのホスティングプロバイダーに確実に削除させるものとします。
秘密保持
当社では、当社の従業員による顧客データへのアクセスを厳重に管理しています。Slack のサービスの運用の中には、一部の従業員による顧客データの保管と処理を行うシステムへのアクセスを要するものもあります。例えば、Slack のサービスに関するお客様の問題を診断するためには、お客様の顧客データへのアクセスが必要となる場合があります。これらの従業員が、必要範囲を超えた顧客データ閲覧のために許可を使用することは禁じられています。当社では、顧客データへのあらゆるアクセスを確実に記録するための技術的管理手段と監査ポリシーを整備しています。
当社の従業員および関連会社社員の全員が顧客データに関する当社のポリシーの遵守義務を負い、当社では、こうした問題を最重要事項として捉えています。
人事実務
Slack はあらゆる従業員の採用前に身元確認を行っており、従業員は採用時に加え、採用後も継続的にセキュリティ研修を受けます。従業員全員に対して、Slack のサービスのセキュリティ、可用性、機密性を含む当社の広範な情報セキュリティポリシーの確認と署名が求められます。
インフラストラクチャ
Slack は、Amazon Web Services、Inc.(「AWS」)が提供するインフラストラクチャを使用して、Slack のサービスに送信される顧客データをホストまたは処理します。AWS によって提供されるセキュリティに関する情報は、AWS Security Web サイトから入手できます。AWS が受けたセキュリティおよびプライバシー関連の監査および認証に関する情報は、ISO 27001 認証および SOC レポートに関する情報を含めて、AWS Compliance Web サイトから入手できます。