Graffer AI Studio セキュリティホワイトペーパー

本書の目的

本書は、「Graffer AI Studio」の利用を検討されている方、⼜は既に利用いただいている方に向けて、当社のポリシーや、セキュリティへの取り組みをご確認いただくとともに、当社のクラウドサービスを安全に利用いただくための留意事項をご確認いただくことを目的としております。

Graffer AI Studioのご紹介

Graffer AI Studioは生成AIのビジネス活用を実現する、法人向けAIプラットフォームです。東証プライム企業や行政機関での実績もある高度なセキュリティを担保し、生成AI活用の第一歩として、さらに、その先の業務改革や企業競争力強化に向けて、課題や業務に応じて活用できる幅広い機能、拡張アプリケーションを取り揃えています。

用語の定義

本書で利用される用語の定義は以下のとおりです。

用語	説明
契約ユーザー	当社サービスの契約者（法人・自治体・官公庁等）を指します。
管理ユーザー	当社サービスの契約者（法人・自治体・官公庁等）のうち、管理権限を持っているユーザーを指します。
一般ユーザー	当社サービスの契約者（法人・自治体・官公庁等）のうち、管理権限を持っていないユーザーを指します。

情報セキュリティの役割及び責任

当社は、提供するサービスの性質上、当社と契約ユーザーで情報セキュリティ責任を共有する「責任共有モデル」を採用しており、責任範囲を以下にて定義しております。当社は、当社の責任範囲内においてセキュリティ対策を実施するとともに、契約ユーザーが、適切なセキュリティ対策を実施する上で必要な情報や機能を提供します。

当社

ポータルサイト、各種管理画⾯
Web アプリケーション
保存データ（契約ユーザーコンテンツ、設定情報、各種ログデータ)
ミドルウェア/OS
ハードウェア

契約ユーザー（法人・自治体・官公庁等）

ユーザー管理のデータアカウント
パスワード管理
サービスの設定内容
インターネット環境
当社サービスにアップロードするコンテンツの管理

1 当社のセキュリティ方針

1.1 情報セキュリティのための方針群

当社は情報セキュリティに関する最上位方針として、「情報セキュリティ方針」（https://graffer.jp/legal/isms-policy）を定め、ホームページ上で公開し、お客様が安心して当社製品を利用できるよう取り組みを行っています。また、より詳細な個別方針は本書に掲載しています。これらのポリシーや方針群は、年に一回、見直しを行っています。

1.2 情報セキュリティ個別方針

当社は情報セキュリティに関する最上位方針である、「情報セキュリティ方針」に定めた事項に基づき情報セキュリティへの取り組みを実施しておりますが、「情報セキュリティ方針」に記載のない、個別のトピックに関しては以下のような方針で取り組みを行っています。

当社は特定した情報資産に対して管理責任者を設け、管理責任者によってアクセス制御を実施します。
当社は物理的及び環境的セキュリティに配慮し、適切な管理策を実施します。
当社は事業、及びサービスの継続のために、定めたルールに基づいてバックアップを取得します。
当社は安心して当社サービスを利用していただくために脆弱性の管理プロセスを定め、脆弱性の管理を行います。
当社は契約ユーザーのコンテンツを保護するために、適切な暗号化策を行います。
当社は供給者やサプライチェーンに関わるリスクを認識し、社内で定めたプロセスにそって管理を行います。

1.3 クラウドセキュリティ個別方針

当社はクラウドサービス固有のリスクを考慮し、以下の個別方針のもとクラウドサービスの提供及び利用を実施します。

当社従業員によるクラウドサービス利用者の資産へのアクセスや、不正操作等のリスクを考慮し、強固な認証やログの取得などの管理策を実施します。
仮想環境のセキュリティや、クラウドサービス利用者データの分離など、クラウドサービス固有のリスクを考慮して定期的にリスクアセスメントを実施します。また、その結果に基づき、必要かつ適切なセキュリティ対策を実施します。
サービスに対して、クラウドサービス利用者に影響のある変更が施される場合はクラウドサービス利用者への通知を行います。
クラウドサービス利用者アカウントのライフサイクル管理など、クラウドサービス利用者が安全に当社サービスを利用していただくための機能や情報を提供します。
調査及びフォレンジックを支援するための、違反の通知及び情報共有の体制を構築します。

2 セキュリティに関する情報提供

2.1 サービスのセキュリティ仕様

2.1.1 情報のバックアップ

当社は、契約ユーザー及びエンドユーザーに係るアカウントデータや当社サービスにアップロードされたコンテンツデータ等の当社サービスの利用に当たって作成し、又は作成されたデータのバックアップに関して、以下に則って実施しています。なお、バックアップデータは、サービスに障害が発生した際に当社によって復旧する際に利用し、契約ユーザーの希望するタイミングで復元することはできません。

項目	ポリシー
頻度	毎日
保管期間	15日間
保管場所	日本国内
保管方法	暗号化して保管

2.1.2 暗号による管理策の利用方針

当社では、当社セキュリティ方針に則り、伝送データ、及びデータベースやファイルストレージに格納させるデータについては全て「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」記載の暗号技術にて暗号化を行っています。なおサービス性質上、暗号化は全て当社の責任範囲の基実施しており、お客様側で実施いただく暗号化施策はございません。

2.1.3 暗号鍵の管理

当社サービスにおける暗号化で利用される鍵は、当社が社内規定に則り、責任を持って保管しています。当社サービスにおいて、契約ユーザーが暗号鍵を管理することはございません。

2.1.4 クロックの同期

当社のサービスは、Amazon Time Sync Service を参照し、世界標準時 (UTC) の現在の正確な現在時刻を表示するように設定しています。

2.1.5 ユーティリティプログラムの使用

当社は、サービスの開発・運用において利用可能な、ユーティリティプログラムを特定し、従業員が容易に利用できないよう、適切な制限を行っています。また、当社製品の契約ユーザーにはユーティリティプログラムは提供しておらず、また当社サービスの利用においてユーティリティプログラムを利用することはできません。

2.1.6 ネットワーク

当社サービスは、IPv6に対応しておらず、IPv4の環境下でのみご利用ができます。

2.2 当社が実施するセキュリティ対策

2.2.1 技術的脆弱性の管理

当社は、システムのアップデート時などに脆弱性試験を実施し、さらに年に1度、第三者による脆弱性診断やペネトレーションテストを実施しています。これらの対応により技術的脆弱性の管理を行っており、特定された脆弱性は社内手順に沿って対応してます。また、当社は深刻な脆弱性（ゼロデイ脆弱性やブラウザ等、当社責任範囲外の脆弱性など）を発見した場合は、必要に応じて契約ユーザーにメールや管理画面での通知を通じて注意喚起を行います。

2.2.2 変更管理

当社サービスに関する変更は、当社の変更管理プロセスに基づいて実施しています。また、契約ユーザーに悪影響を与える可能性のある変更が生じる場合に、契約ユーザーに対してメールや管理画面での通知等を通じて、事前にその情報を連絡しています。

2.2.3 容量・能力の管理

当社は、サービス提供のために利用している、サーバやネットワークなどの容量・能力を定期的に監視し、異常が発生した場合には手順に基づいて対応を行う仕組みを整備しています。

2.2.4 仮想コンピューティング環境における分離

当社は、契約ユーザーが、別の契約ユーザーデータを閲覧することができないよう、また当社の従業員が、契約ユーザーデータを必要以上に閲覧することができないよう、適切な分離を行っています。

2.2.5 仮想マシンの要塞化

当社が仮想マシンを利用する際には、不要なポートを閉じる等の仮想サーバの要塞化を行っています。また、マルウェアに対する対策として脆弱性スキャン実施しています。

2.2.6 装置のセキュリティを保った処分又は再利用

当社はクラウドサービスを提供するための装置を保持しておらず、供給者が保持している装置を利用しています。当社は供給者管理プロセスを通じて、当社がクラウドサービスを提供するために利用していた装置は、物理的に破壊するなど、安全な手法で破棄されていることを確認しております。

2.2.7 情報セキュリティインシデントへの対応

当社サービスにおいて発生した情報セキュリティインシデントについての対応方針を以下に記載しています。

項目	規定内容
当社がインシデント管理を行う領域	本書「情報セキュリティの役割及び責任」に定めた範囲に準ずる
契約ユーザーがインシデント管理を行う領域
当社がインシデント情報を通知する条件	利用者に悪影響を及ぼす場合
当社が開示する内容	インシデント対応の状況や注意喚起など
当社からのインシデント通知方法	https://www.grafferstatus.jp
当社のインシデント通知目標時間(第一報)	72時間
契約ユーザーや外部関係者から当社へのインシデント通知方法	「お問い合わせ窓口」記載のお問い合わせ窓口から連絡

2.2.8 セキュリティに配慮した開発

当社は、契約ユーザーやエンドユーザーに安心して当社サービスを利用していただくために、当社の社内規則に則り、セキュリティに配慮した開発を行っています。

2.3 コンプライアンス

2.3.1 知的財産権

当社は、知的財産権の侵害を起こさぬよう、適切に事業を運営するとともに、契約ユーザーデータに起因する知的財産権の侵害が外部から報告された場合、適切に対処し、契約ユーザーに改善の要求を行います。契約ユーザーからの問い合わせは、「お問い合わせ窓口」によって行うことができます。

2.3.2 セキュリティコンプライアンス監査

当社は、ISMS認証^*及び、Pマークについて資格を有する第三者の監査機関による審査を受け、それぞれの認証を取得しています。これらのセキュリティコンプライアンス監査の結果は当社の経営陣に報告し、経営陣によって対応の計画や指示がなされます。

* ISMS認証取得組織詳細 / 株式会社グラファー |https://isms.jp/lst/ind/CR_IS_x0020_689557.html

2.3.3 第三者機関による技術的試験

当社は、年に 1 回以上、第三者機関にによる技術的試験（ペネトレーションテストや脆弱性診断）を受けています。これらの技術的試験の結果は当社の経営陣に報告し、経営陣によって対応の計画や指示がなされます。

2.3.4 顧客主導の監査及びペネトレーションテスト

当社は、契約ユーザーまたは契約ユーザーとなる見込みのある者が当社に対してセキュリティコントロール審査やペネトレーションテストを実施希望する場合は、当社の社内規定に反しない範囲で受け入れを行っております。ご希望をされる方はお問い合わせ窓口からご連絡ください。*

*最終的な受け入れの判断は当社が行いますので、受け入れを保証するものではありません。当社の競合にあたる企業であるなどの理由により、お断りさせていただくケースもございますので、ご了承ください。

2.3.5 証拠の収集と提出

当社は、当社サービス上で発生するインシデントの解決に繋がる証拠を特定し、保管しています。これらの情報は、契約ユーザーにおいて不正アクセス等のインシデントが発生した際に、当社経営陣並びに法務部門の判断の元、契約ユーザーに提供することが可能です。ご希望される場合は、「お問い合わせ窓口」記載の連絡先にご連絡ください。

3 提供するセキュリティ機能

3.1 アカウント管理

3.1.1 アカウントの登録及び秘密認証情報の管理

当社は、契約ユーザーに対し、契約ユーザーの管理ユーザーログの取得・閲覧の機能を提供しています。契約ユーザーはこれらのログをサービスの監視や、監査に利用することができます。

これらのログを含むシステムに関するログは、適切なアクセス制御を実施し、法令や規制に従った保持期間および当社が定めるログの保持期間に基づき保管しています。

3.1.2 アカウント管理及びアクセス制限

当社は契約ユーザー組織の管理者ユーザーにより、一般ユーザーのアクセス制御（組織への登録・無効化）を実施できる機能を提供しています。

3.1.3 特権的アクセス権の管理

当社は、契約ユーザーの管理者アカウントのログイン認証の仕組みとして、通常のID・パスワードを用いた認証の他、SAML認証によるシングルサインオン（SSO）機能や多要素認証機能も提供しており、契約ユーザーで機能利用有無を選択可能です。

3.2 情報の管理

3.2.1 情報のラベル付け機能

当社は、サービス上で、契約ユーザーが、データの名前付けやラベル付けを行うことにより、データを適切に管理できる機能としてグループ機能等を提供しています。

3.2.2 情報へのアクセス制限

サービスサイトへのアクセスについては、契約ユーザーの管理ユーザーによって、利用の制限を行うことができます。

3.3 監視及び監査

3.3.1 イベントログ取得

3.3.2 クラウドサービスの監視

当社は、管理画面から、サービスの利用状況を監視する機能を提供しています。また、ステータスページ https://www.grafferstatus.jp/ からサービスの稼働状況を配信しています。

4 お問い合わせ窓口

本書に関するお問い合わせや、「情報セキュリティインシデントへの対応」に定める顧客からのインシデント報告は以下から受け付けております。

株式会社グラファー
〒151-0051 東京都渋谷区千駄ヶ谷一丁目5番8号
Tel：03-3405-7007
E-mail：support@graffer.jp

2023年11月21日初版

2024年10月17日第二版

株式会社グラファー
代表取締役石井大地