FAQ: ソフトウェアセキュリティ

Lokadはまず第一に、サプライチェーンの専門家であり、私たちの主な目標は技術的な独創性を通じて優れたサプライチェーンの意思決定を提供することです。とはいえ、私たちは毎日重要な財務データを扱っているため、ソフトウェアプラットフォームのセキュリティは優先事項であり、最も重大に取り組んでいる問題です。セキュリティを官僚主義的に後回しにするのではなく、計画と予防を重視する原則的なアプローチを確立することを強く信じています。それは、私たちの特定のソフトウェア設計、スタッフ配置、トレーニングの選択によって証明されています。

対象読者：IT部門
最終更新日：2023年9月21日

セキュリティの原則

エンタープライズソフトウェアの世界で最も有害な幻想の一つは、セキュリティをコンプライアンスチェックリスト、認証、一般的にはあらゆる種類の官僚的な忙しい作業でアプローチできるという考えです。残念ながら、セキュリティの問題の詳細は常に変動しています。悪意のある行為者がソフトウェアまたは人々（またはその両方）を悪用することで問題が発生します。したがって、セキュリティは一般的な原則の合理的な適用によってのみアプローチできます。

設計による安全性

私たちは、設計がソフトウェアセキュリティの最も過小評価されている側面の一つであると考えています。ここでの設計は、ソフトウェアを開発するために行われた基本的な決定をカバーしています。会社が行う設計上の決定は、セキュリティに関しては攻撃面に大きな影響を与えます。合理的なソフトウェア設計により、Lokadはセキュリティの問題のクラス全体を排除しました。たとえば、LokadはSQLデータベースではなく、単純なブロブストレージを使用して厳密に受動的なストレージレイヤーとしています。この選択だけで、SQLインジェクション攻撃などのセキュリティの問題のグループ全体を防ぐことができます。同様に、私たちの永続化のすべてのレイヤーは追加のみです。これは変更が既存のデータの末尾に追加されるバージョン管理のようなものであり、データ全体を上書きすることはありません。すべての変更は追跡され、元に戻すことができます。このステップにより、データの削除（攻撃者を含む誰によっても）やLokadのログの改ざんが非常に困難になります。

ほとんどのエンタープライズソフトウェアベンダーは、コアの設計上の選択肢が彼らのソフトウェア製品の基盤であるという事実を認識していません。その結果、彼らのセキュリティの問題は絶え間ないものです。たとえば、エンタープライズソフトウェアのほとんどで必ず要件とされる設定可能性が、一般的なプログラミング言語（PythonやJavaScriptなど）を介して提供される場合、セキュリティの問題が必ず発生します。これは、一般的なプログラミング言語を完全にセキュアにすることはほぼ不可能であるためです。対照的に、Lokadは、設計上の意図的な選択として、設定可能性をすべてEnvisionというDSL（ドメイン固有のプログラミング言語）を介して提供しています。Envisionは、OS（オペレーティングシステム）やファイルシステムなどのサブシステムと直接的にやり取りする能力を設計上欠いているため、はるかに安全です。

文化による安全性

技術でもプロセスでも、人々が本当に気にしない限り、ソフトウェアを安全にすることはできません。そのため、私たちはLokadを最善の努力で、技術とプロセスの両方が本当に気にする価値のあるものにするよう努めています。エンタープライズソフトウェアの文脈では、これは困難です。なぜなら、関心の対象は抽象的で個々の視点や動機とは切り離されているからです¹。

まず第一に、Lokadは、自社のビジネスの現実と外部に伝えられる情報との間の乖離を特定することができる従業員によって、マーケティングメッセージを可能な限り現実に合わせるよう努めています。これは、好意を得るか批判を受けるかに関係なく行います。これは、多くのエンタープライズベンダーが不合理な（そしてしばしば幻想的な）公的な主張を行うのとは対照的です²。後者が起こると、現実と外部に伝えられる情報との間の乖離を見分ける能力を持つ優れた従業員は関心を失います。この無関心は怠惰を生み、セキュリティの問題が続きます。しばしば、これらの従業員は会社を辞め、乖離を見分けることができない「騙されやすい」従業員が残ります。ガリバリティも無関心と同様に、セキュリティにとっては望ましい特性ではありません。

まず第二に、Lokadは、技術的および非技術的なセキュリティを含む、ビジネスのあらゆる側面に対して、従業員に好奇心と健全な懐疑心の両方を育むよう努めています。これにより、従業員はトレーニングを受け、貢献することが奨励されるため、実践の見直しと更新が柔軟に行えます。このような柔軟性は、悪意のある行為者を予測する際に有用であり、彼らは常により創造的な攻撃方法を考案することで知られています。Lokadにとって幸いなことに、このマインドセットは、サプライチェーンの目的にも非常に望ましいものです。なぜなら、悪い行動は犯罪的である必要はありませんが、サプライチェーンでは一般的です³。

トレーニングによる安全性

私たちは積極的に全スタッフにサイバー脅威をよりよく理解し、それらを軽減する方法をトレーニングしています。デザインや文化とは異なり、セキュリティトレーニングは主にトップダウンのプロセスです。ボトムアップの考え方には一定の場所がありますが、このタイプのトレーニングはほとんどのコンピュータセキュリティリスクに対して本質的に弱いです。要するに、人々に何かをしないようにトレーニングしても、Lokadは誰もそれをすることはないとは想定できません⁴。したがって、私たちはより厳格なアプローチを取ります。トレーニングの一環として、USBフラッシュドライブや他のUSBデバイスを使用しないように促しています。可能な限り二要素認証を使用するようにします。スタッフには、作業ステーションでできるだけ少ない特権で操作するようにトレーニングします。社会工学がどのように機能するか、最も賢い人々をも騙すことができることを誰もが認識しています。

より一般的には、セキュリティトレーニングは、ソフトウェアやプロセスが悪意のある行為者によって再利用や破壊される可能性についての認識を高めることに焦点を当てています。このような微妙な攻撃を防ぐために必要なトレーニングの範囲、スキル、ノウハウを考慮すると、Lokadは一般的には同じ規模の他の企業に比べて非常に少数のインターンを採用しています。つまり、私たちは長期的に安定した、高度に訓練されたチームに賭けることを好みます。

よくある質問（FAQ）

1. 実践

1.1 セキュリティ保証はありますか？

はい。セキュリティ保証は、セキュリティの強化、セキュリティテスト、脆弱性管理など、さまざまな実践の総称です。Lokadでは、セキュリティの強化はまず設計段階で取り組まれます。特定の設計の選択により、脆弱性のクラス全体が排除され、その結果、強化自体の必要性がなくなります。たとえば、Lokadはリレーショナルデータベースなどの「プログラム化された」ストレージレイヤーではなく、シンプルなキーバリューストアを使用しています。これにより、すべてのSQLインジェクションの脆弱性が排除されます。さらに、セキュリティテストは、自動化された手法と手動の手法（サードパーティの侵入テストなど）を組み合わせて取り組まれます。脆弱性管理については、バグ報奨金プログラムと、修正を迅速に展開できるようにするための自動化されたリリース管理プロセスがあります。

1.2 ISO 27001（ISMS）またはSOC 2に準拠していますか？

いいえ。私たちは、これらの認証がソフトウェア企業をより安全にするどころか、逆に注意をそらすものだと強く信じています。これらのコンプライアンスプロセスは、実際にはソフトウェアセキュリティにとっては必要のない文書作成や委員会の設置などの官僚的な考え方を重視しています。率直に言って、文書作成や委員会がソフトウェアセキュリティに実質的な価値をもたらすという考えは、深く議論の余地があり、Lokadはそれをまったく受け入れていません。

ソフトウェアの世界では、セキュリティは通常、ソフトウェアセキュリティに特化したソフトウェアエンジニアの努力を活用することによって達成されます。非専門家の追加チームを作成するのではなく、むしろ少なくすることによって。事実として、HeartbleedやLog4Shellなどの最も深刻なサイバーセキュリティの災害を考えてみてください。これらの災害は、数千もの「認定済み」ソフトウェア企業が問題の根本原因であることが多いサードパーティのコードの校正を優先する代わりに、恣意的な商業的な承認の印を追求することで防ぐことができた可能性があります。

全体的に、私たちはこれらの認証が企業を安全だと思い込ませる（比喩的にも文字通りにも）マーケティングの仕掛けだと考えています。

1.3 OWASPの実践に従っていますか？

はい。OWASPは、ソフトウェアで一般的に見られる脆弱性に対する包括的なチェックリストを提供しています。これは、LokadのエンジニアがOWASPが特定した問題からソフトウェアを保護するために利用する、包括的で高品質なコンパイルです。ただし、Lokadは設計の選択により、OWASPが指摘する一部の一般的な脆弱性のクラス全体を排除しています。たとえば：

パスワード管理： Lokadでは、認証をSSO機能（シングルサインオン、Lokadが推奨するもの）を介して委任することにより、もはやパスワードを「管理」する必要がありません。したがって、パスワードに関連するチェックリストはすべて無効になります。

ログ： Lokadが採用しているイベントソーシング設計により、必要に応じてすべての操作がログに記録されます。システムにとっては、ログに記録されていないアクションは実際には発生していないものとみなされます。これにより、ほとんどのログのチェックリストが無効になります。

データベースのセキュリティ： Lokadの永続化レイヤーにはリレーショナルデータベースは含まれず、2つのプログラム化されていないコンポーネント、つまりイベントソースとキーバリューストアのみが含まれています。この設計の選択により、データベースのチェックリストは完全に無効になります。

より一般的には、可能な限り、最初からこのようなチェックリストの必要性を生み出すエラーの多いエンジニアリングデザインパターンを避けることを好みます。

1.4 GDPRに準拠していますか？

はい。ただし、Lokadが提供するサプライチェーン最適化には個人データは必要ありません。私たちは個人データを負債と考えており、顧客に対して私たちに個人データを転送しないよう強くお勧めしています。この推奨事項は通常、契約上の合意の一部です。個人データを保有せず、したがって個人データを処理しないことにより、GDPRや同様の規制に関連する懸念やプロトコルを大部分排除しています。

1.5 ロカドのソリューションにおいて、個人識別情報（PII）へのアクセスを伴うすべてのサードパーティサービス/ソリューションは、データ保護責任者（DPO）の要件に準拠していますか？

はい。ただし、Practices 1.4で述べたように、Lokadが提供するサプライチェーン最適化には個人データは必要ありません。したがって、私たちは顧客に対して個人データを転送しないよう強くお勧めしています。

ロカドのソリューションには、PIIデータへのアクセス権を持つサードパーティのリストが非常に短いことに注意してください。2023年1月現在、このリストはMicrosoft Azureに制限されています。

1.6 セキュリティのベストプラクティスを実施していますか？

はい。つまり、私たちは慎重な選択を行っています。なぜなら、「最良のソフトウェアセキュリティのプラクティス」が業界全体で合意されていないからです。ソフトウェアセキュリティは、巧妙な新たな脅威や攻撃手法が存在する環境に適応するため、常に進化している性質を持っています。したがって、私たちは最良のソフトウェアセキュリティのプラクティスについて、第三者の意見に絶対的に従うわけではありません。代わりに、私たちは顧客にとって最良のものを定義します。これにより、利用可能な良いプラクティスを取り入れることができ、一般的には推奨されないプラクティスには柔軟に従う必要はありません。これにより、現在の、執行可能な、効果的なソフトウェアセキュリティのプラクティスが確立されます。

1.7 定期的に侵入テストを実施していますか？

はい。計画された侵入テストと計画外の侵入テストの両方を実施しています。計画された侵入テストは通常、契約上の合意に基づき、Lokadを含む主要なソフトウェアベンダーの侵入テストを専門の企業に依頼できる大規模な顧客によって資金提供されます。Lokadのエンジニアリングチームとこれらのセキュリティ専門家との間には通常、ある程度の調整が行われます。計画外のテストは、通常、私たちの公開のバグ報奨金プログラムの一環として行われます。このプログラムでは、フリーランスのセキュリティ専門家が、潜在的なエクスプロイトに対して脆弱性を見つけようと試みることができます。

1.8 定期的に外部監査を実施していますか？

いいえ。ただし、クライアントからの資金提供があれば、外部監査を受けることには喜んで応じます。多くの大規模なクライアントは、契約上の合意においてそのような監査の規定を持っています。ただし、2023年1月現在、クライアントによる侵入テストは、監査を実施するには十分な問題を明らかにしていません。

1.9 ビジネス継続計画はありますか？

はい。Lokadが対応している最大の事態は、会社自体の仮想的な停止です。LokadはSaaSソリューションとして運営されていますが、いくつかの大規模なクライアントは、契約上の合意に基づいて、私たちのコードベースの完全なスナップショットを要求することができます。これらのスナップショットは、合意された第三者とのエスクローに保管され、Lokadの運営が停止した場合、クライアントは自動的にエスクローのコードベースにアクセスし、Lokadサービスの独自のインスタンスを再作成するための許可されたライセンスを取得することができます。

1.10 危機対応計画はありますか？

はい。私たちはすべてのクライアントに対して、組織内の連絡担当者を特定しています。私たちの側では、Lokadの少なくとも2人の従業員（通常は2人のサプライチェーン科学者）が、緊急のメッセージをクライアントに伝えるための主要な担当者と代替担当者として指定されています。実際には、私たちが直面する危機の大部分はソフトウェアセキュリティの問題ではなく、サプライチェーンの問題です。これらの問題は、クライアントから提供されるデータに基づいてLokadが特定する緊急事態です。セキュリティイベントの場合、このチャネルはクライアントにタイムリーに通知するために使用されます。

1.11 クライアントのITシステムの安全性をどのように確保していますか？

Lokadは、クライアントのITシステムへのアクセスを持つべきではないと強く推奨しています。クライアントのITシステムは、Lokadとのデータの送受信のみに使用されるべきです。このアプローチは、LokadでのセキュリティイベントがクライアントのITシステムに広がる可能性を軽減することを目的としています。さらに、SSO（シングルサインオン）プロセスの使用も強く推奨しています。これにより、Lokadへのアクセスに使用されるパスワードが（何らかの方法で）傍受され、後でクライアントのITシステムの1つを危険にさらすという仮想的なシナリオが排除されます。

1.12 ネットワークのセキュリティをどのように確保していますか？

私たちの設計はゼロトラストアーキテクチャを採用しており、つまり、必要な人だけが任意の時点でデータにアクセスできるようにしています。単に私たちのネットワークに存在するだけでは、自動的にステータスや特権を与えられるわけではありません（このポイントはAuthentication 2.1で詳しく説明されています）。したがって、ネットワークのセキュリティには注意を払っていますが、まず最初のステップとして、私たちのネットワークに関連する攻撃面を可能な限り小さくするようにしています。

Lokadは2つの注目すべきネットワークを使用しています。1つ目はMicrosoft Azureで、私たちのソリューションのホスティングに使用されています。Microsoft Azureネットワークのセキュリティは、完全にMicrosoftに委任されています。私たちはMicrosoft Azureが提供するような「高度な」ネットワーキング機能（基本的なロードバランサーを超えるもの）は使用していません。

2つ目は、パリの本社のローカルネットワークです。ローカルネットワークのセキュリティは、Lokadのエンジニアリングチームによって内部的に管理されています。私たちのローカルネットワークには、製品環境に貢献するコンポーネントやシステムはありません。

1.13 ソリューションに統合されているすべてのコンポーネント（サードパーティ製を含む）およびツール（オープンソースを含む）が、開発および本番利用において法的に有効であることを保証していますか？

はい。Lokadは、ほとんどのエンタープライズソフトウェアベンダーと比較して、非常に少ない依存関係を持っています。私たちの主要な依存関係は、信頼性があり広く使用されているオープンソースプロジェクトです（例：Microsoftの.NET、FacebookのReact）。これにより、この特定のポイントにおける私たちの内部監査プロセスは、簡単なものになっています。

1.14 組織やプロセスの大きな変更をセキュリティの観点でどのように管理していますか？

Lokadは、始めから合理的なセキュリティ設計の選択肢と実践を採用しているため、セキュリティに影響を与える（仮にも）ような変更が発生することはまれです。Lokadの歴史全体で、セキュリティの観点から本当に重要なと言えるイベントは3つしかありません。2010年のMicrosoft Azureへの移行、2012年の委任認証の導入（クライアントと従業員の両方に対して）、そして2022年にLokad内部でGoogle認証からMicrosoft Azure ADへの移行です。

これらのイベントのそれぞれについて、Lokadのソフトウェアエンジニアリングチームによって数ヶ月前から準備が行われました。予定された変更の前に、関連するトレーニング資料とトレーニングセッションが実施され、すべてのLokadの従業員の準備が整えられました。最後に、各移行イベントの後、前の「パス」が削除されるようにしました。これはLokadの標準的な手法です。

2023年1月現在、私たちは予定されている大きな変更はありません。もし変更が導入される場合、ほぼ間違いなく同様の方法で進めるでしょう。

1.15 契約の終了はどのように管理していますか？

私たちの契約には、クライアントと合意した契約終了プロセスの詳細が記載されています。契約終了プロセスは、クライアントのデータの最終的な削除で終了します。この契約終了プロセス自体がセキュリティリスクを表すため、このポイントは各クライアントとの議論の対象となり、ケースによっては若干異なる場合があります。セキュリティの観点からは、悪意のある行為者がクライアントをなりすまし、契約の早期終了を引き起こそうとする可能性があります（クライアントの業務を妨害するため）。これを防ぐために、Lokadとクライアントは共同で、社会工学攻撃に対して容易に脆弱ではない契約上強制されるプロセスを採用するよう努めます。このプロセスには通常、書面による確認と義務付けられた遅延が含まれます。

1.16 Lokadのライセンス戦略、関連する費用モデル、および年間保守費用モデルは何ですか？

Lokadは通常、プラットフォームの運用コストに関連する月額一律料金と、クライアントに専属のサプライチェーン科学者（つまり、Lokadが提供するエンジニア）に関連する月額一律料金を請求します。詳細は、クライアントとLokadのサービス契約で交渉され、詳細に記載されます。これらの2つの料金は、Lokadとの「オールインクルーシブ」パッケージを表しています。追加の保守料金、ライセンス料金、サードパーティの統合業者、サードパーティのコンサルタントなどはありません。このパッケージには、サービスの契約上の合意の一環として共同で交渉される範囲とスケールの制限があります。

1.17 Lokadのライセンス、サービス、サポート、保守、トレーニングの条件を提供できますか？

はい、クライアントの要求に応じて、「基本」となる契約テンプレートを提供することができます。ただし、状況はサプライチェーンイニシアチブのスケール、適用される国、およびLokadが期待するサービスの範囲によって大幅に異なります。したがって、可能であれば、見込みのあるクライアントとの初期の議論に参加し、検討されているサプライチェーンイニシアチブの具体的な事項を明確にすることを好みます。これにより、状況に最も適した契約フレームワークを作成することができます。

1.18 トレーニング（オンサイト/オンライントレーニング）を提供していますか？

はい、Lokadはオンサイトおよびリモートのトレーニングを提供しています。これらのセッションの詳細は、契約合意の一環として交渉されます。さらに、Lokadには包括的な公開技術ドキュメントと、詳細な一連の公開サプライチェーン講義があります。これらの講義では、Lokadの技術とサプライチェーンの視点について説明しています。

1.19 Lokadのシステムは関連する法的/地域の基準（例：ISO）に適合していますか？

はい、Lokadは関連する基準に従って運営しています。ただし、Lokadはサプライチェーンの予測最適化を提供しており、そのためLokadは直接的にはオペレーションを制御していません。私たちの影響は主に間接的であり、通常はリソースの割り当ての最適化を通じて行われます。したがって、ISOの基準はここでは関係ありません（Lokadには適用されません）。

1.20 マルウェア保護は、ファイアウォール、プロキシデバイス、および/またはネットワーク上の別個のソリューションとしてネットワーキングレベルで組み込まれていますか？

Practices 1.12を参照してください

1.21 ソフトウェア開発プロセスには、統合された脅威評価が含まれていますか？

はい。これがセキュリティ上の懸念事項を「設計段階」で対処することを優先する主な理由です。設計段階で脅威のクラス全体を排除することにより、全体的な脅威評価の実践をより管理しやすくします。脅威評価は「サプライチェーン攻撃」もカバーしています。これは、ソフトウェアスタックでのサードパーティの依存度を最小限に抑えることに非常に強い重点を置いている別の理由です。なぜなら、依存関係は攻撃面積を_本質的に_増加させるからです。

1.22 インシデント管理プロセスは、少なくとも年に1回リハーサルされますか？

はい。さまざまなタイプのインシデントがあります。最も頻繁なものの1つは、クライアント企業自体が侵害されることです。ランサムウェアの場合、これは時にはLokadのデータが誤って唯一のアクセス可能なデータセットになることにつながります。ID盗難の場合、これは時には盗まれた資格情報を通じてLokadアカウントへのアクセスを試みることにつながります。さまざまなインシデント管理プロセスの詳細は、クライアント企業と共同で確立され、通常はアカウントを管理するLokadのサプライチェーン科学者によって監督されます（管理アカウントを選択したクライアントの場合）。

1.23 リスクおよび脅威マッピングは、少なくとも年に1回レビューされますか？

はい、ただし、これらのレビューは通常、年間を通じて定期的に実施されます。このようなレビューは、ソフトウェア業界での著名なセキュリティ侵害などの重要なイベントによって一般的に推進されます。

1.24 ソリューションの可用性、品質、および/またはセキュリティに影響を与える可能性のある支援機能に対してもリスク評価は実施されますか？

はい。ただし、Lokadプラットフォームは基本的にモノリスであり、Microsoft Azureが提供するBlob StorageやLinux VMなどのいくつかの基本機能以外には依存していません。

1.25 システムプロセスを実行するために必要なアクセス権限のみを持つ専用のシステムアカウントは作成されていますか？

はい、適切なアクセス権限を持つ専用のシステムアカウントを使用してシステムプロセスを実行しています。Lokadはsystemdサービスの形式でデーモンを使用しており、常に可能な限り特権の少ないユーザーとして実行されます。

LokadはSQLデータベースを使用していませんが、プラットフォームはスケジュールされたプロセスやトリガーされたプロセスのアクセス権を指示するために役割ベースのシステムを利用しています。これらのプロセスは、「システム」プロセスではなく、「ユーザーランド」プロセスとして分類されます。

1.26 経営陣によって承認されたエンタープライズリスク管理プログラムの要件を定義する形式化されたリスクガバナンス計画はありますか？

はい、私たちは上級管理職によって承認された形式化されたリスクガバナンス計画を導入しています。

この計画は、エンタープライズリスク管理（ERM）プログラムの要件とガイドラインを明確に示しています。これは、組織全体でリスクを特定、評価、管理、監視するために設計されています。

当社のリスクガバナンス計画は定期的に見直され、更新され、組織の目標と変化するリスク環境に合わせて適切に調整されています。また、ERMプログラムの実施と効果は定期的に上級管理職および関係者に報告され、継続的な監視とサポートが確保されています。

1.27 経営陣によって承認され、関係者に通知され、維持およびレビューするための所有者が割り当てられた物理セキュリティプログラムはありますか？

はい、私たちは上級管理職によって承認された包括的な物理セキュリティプログラムを導入しています。このプログラムは、関係者全員に適切に通知され、認識と遵守が確保されています。

さらに、私たちは維持、更新、定期的なレビューを担当する所有者を指定しています。この所有者は、さまざまなチームや部門と協力して新たな物理セキュリティ上の懸念事項に対処し、プログラムがベストプラクティスと組織の目標に合致していることを確認します。

1.28 システムが存在する施設の場所またはサイトを確立する前に、物理的および環境的なハザードの評価は実施されますか？

はい、物理的および環境的なハザードの評価は、システムの施設の場所またはサイトを決定する際の意思決定プロセスの重要な一部です。当社のシステムはMicrosoft Azureのデータセンターに存在するため、Microsoftはデータセンターを設立する前に、物理的および環境的なハザードを含む潜在的なリスクを詳細に評価しています。選定プロセスでは、自然災害の可能性、アクセス性、インフラの安定性などの要素を分析しています。

Azureのデータセンターを活用することで、これらの評価が包括的に実施され、システムの物理的なセキュリティと環境的な耐久性の最高水準が確保されていると確信しています。

1.29 文書化された内部のコンプライアンスおよび倫理プログラムはありますか？

はい、ただし、「倫理」はトップダウンの方法で強制できるとは考えていません。このようなアプローチは、元の目標に反する望ましくない結果を生み出す傾向があります。

有名な例として、エンロンは倫理規定を持っていました。この規定は尊重、誠実さ、コミュニケーション、卓越性を強調していました。しかし、2001年に明るみに出たエンロン事件では、同社が大規模な会計詐欺に関与していたことが明らかになりました。これは、彼らの倫理規定に明示された原則とは明らかに矛盾していました。したがって、エンロンの公言された書面による倫理と実際の業務プラクティスおよび企業文化との間に完全な不一致がありました。

したがって、Lokadは従業員が私たちのクライアントに本当に関心を持つ機会を得ることに重点を置いています。私たちのモットーの1つは「私たちは正しいことをしていますか？」です。コンプライアンスと倫理は、私たちの評価では、適切な企業文化の副産物であり、特定のプログラムの結果ではありません。

1.30 内部監査、リスク管理、コンプライアンス部門、または同様の管理監督機能はありますか？未解決の規制上の問題の追跡に責任を持っていますか？

はい。Lokadは内部監査、リスク管理、コンプライアンスを専門とする独立した部門を持つほど大規模ではありませんが、これらの領域を優先しています。これらの重要な責任を処理し監督するために、これらのドメインに精通した指定された個人を配置しています。

これらの個人は直接Lokadの最上位の管理層に報告し、未解決の規制上の問題の解決が最優先事項となり、組織の最高レベルで必要な監督を受けるようにしています。

1.31 承認されたワイヤレスポリシーまたはプログラムがあり、適切な関係者に通知され、維持およびレビューするための所有者が指定されていますか？

はい、Lokadには明確に定義されたワイヤレスポリシーがあり、管理者によって承認され、関連する関係者全員に通知され、遵守が確保されています。このポリシーでは、従業員専用とゲスト専用の2つの独立したWi-Fiネットワークの区別がされています。この区別により、ゲストや訪問者に接続性を提供する一方で、主要なオペレーションが安全に保たれます。

ただし、優れたパフォーマンスと高度なセキュリティのために、私たちの主要な接続方法はイーサネットです。Wi-Fiネットワークは主に会議のために設置され、特定のシナリオで柔軟性を提供するために存在しています。

さらに、ポリシーの維持と定期的なレビューを担当する所有者を指定しており、進化するニーズと課題に対応するために、ポリシーが最新かつ効果的であることを確保しています。

2. 認証

2.1 すべてのアクセスに対して認証を強制していますか？

はい。クライアントデータへのアクセスやソリューションの重要な機能を利用するには、事前の認証が必要です。ただし、必然的に、一部の接点は認証の対象外です。たとえば、ログインのウェブページへのアクセスには事前の認証は必要ありません（認証がこのログインのウェブページの目的そのものです）。

全体的には、認証が必要な技術的なエンドポイントは非常に少なく、通常はプラットフォームの計測の一部です（例：マシンが稼働しているかどうかを確認するためのエンドポイントのみ）。認証されていないエンドポイントは、機密データを公開することはありませんし、実際のクライアントデータを公開することはありません。

2.2 すべてのリモートアクセスがセキュリティで保護されていますか？Web接続に対してHTTPSを強制していますか？

はい。リモートアクセスのセキュリティを確保するには、適切な認証、適切な承認、およびトランスポートチャネル自体の暗号化が必要です。これらの提供は、クライアントユーザーとLokadの従業員の両方をカバーしています。Lokadのエンジニアリングチームにとっても、「セキュリティのないローカルアクセス」はありません。ネットワークの「局所性」はセキュリティの回避策として使用されません。

2.3 SSO（シングルサインオン）を提供していますか？Active Directory（AD）をサポートしていますか？

はい。私たちはSAMLプロトコルを介したSSO（シングルサインオン）を提供しています。Active DirectoryはSAMLをサポートしており、Lokadへのアクセスに使用することができます。

2.4 EZToken、Google Authenticator、またはMicrosoft Authenticatorのような2要素認証をサポートしていますか？

はい。2要素認証はSAMLを介した委任認証によって実現されます。SAMLを通じて、Lokadは第一認証要素も第二認証要素も管理しません。このプロセスは委任されています。

2.5 OAuth2認証プロトコルをサポートしていますか？

デフォルトでは、LokadはSAML認証プロトコルをサポートしています。このプロトコルは、Microsoft Office 365やGoogle Workspaceなどの主要な連携アイデンティティシステムでサポートされています。OAuth2をサポートする課題は、OAuth2が実際には「認証プロトコル」ではなく、「認証プロトコル」を設計するための非常に包括的なガイドラインのセットであることです。これにより、OAuth2の実装は企業ソフトウェアの範囲内で大幅に互換性がないことが観察されます。したがって、契約上の合意により、OAuth2が絶対的な要件である場合、クライアント企業が操作するOAuth2のバリアントとの互換性を確保するために専任のリソースが必要です。

その結果、企業ソフトウェアの範囲内で存在するさまざまなOAuth2の実装は、大部分が互換性がないことが観察されます。したがって、契約上の合意により、OAuth2が絶対的な要件である場合、クライアント企業が操作するOAuth2のバリアントとの互換性を確保するために専任のリソースが必要です。ただし、この取り決めには、クライアント企業が操作するOAuth2のバリアントとの互換性を確保するために専任のリソースが必要です。

2.6 LDAP統合をサポートしていますか？

はい、LDAPの上にSAMLを重ねたミドルウェアブリッジを介してサポートしています。ただし、LDAPをサポートする多くの連携アイデンティティシステムもSAMLをサポートしています。したがって、直接SAMLを使用することを推奨します。

2.7 2要素認証を強制していますか？

Lokadの従業員には、はい。クライアントの従業員には強く推奨していますが、最終的には強制することはできません（認証は通常SSOを介して委任されるため）。この問題は、私たちのクライアントのIT部門の手に委ねられています。

2.8 最小パスワードの複雑さを強制できますか？

はい、しかし限定的な範囲でのみです。ソフトウェアセキュリティに関しては、最小パスワードの複雑さを強制することは、現在では大いに認識されている悪い慣行として認識されています。エンドユーザーは、厳しすぎるパスワードの複雑さ要求に対して不適切に（そして予測可能に）反応し、セキュリティのレベル全体が低下します。さらに、そのようなパスワード要求を「膨張ソフトウェア」と見なし、セキュリティに関する重要なソフトウェア（パスワード管理）の複雑さを増加させ、それによってそれ自体（および全体のソリューション）を不当なリスクにさらすと見なしています。https://www.sans.org/blog/nist-has-spoken-death-to-complexity-long-live-the-passphrase/を参照してください。

私たちは、Lokadに専用のパスワードを導入する必要はないため、従来のパスワード/戦略の代わりにSSOを強くお勧めします。

2.9 スケジュールされたパスワードのローテーションを強制できますか？

できますが、しません。最小パスワードの複雑さ（Authentication 2.8を参照）と同様に、スケジュールされたパスワードのローテーションは、現在では大いに認識されている悪いソフトウェアセキュリティの慣行として認識されています。エンドユーザーは、スケジュールされたパスワードのローテーションに対して不適切に（そして予測可能に）反応します。セキュリティは弱体化する可能性さえあります。なぜなら、従業員は頻繁なローテーションに関連する認知負荷を軽減するために、パスワードをわずかに変更するだけだからです。最小パスワードの複雑さと同様に、パスワードのローテーションを「膨張ソフトウェア」と見なし、セキュリティに関する重要なソフトウェア（パスワード管理）の複雑さを増加させ、それによってそれ自体（および全体のソリューション）を不当なリスクにさらすと見なしています。https://www.sans.org/blog/time-for-password-expiration-to-die/を参照してください。

2.10 パスワードをハッシュ化していますか？

はい。パスワードハッシュ関数としてscryptを使用しています。一般的なルールとして、Lokad専用のパスワードを使用する代わりに、SSOを強くお勧めします。

2.11 Lokadのソリューションでは、一定回数の認証失敗後にCAPTCHAを有効にできますか？

はい、ただし認証の委任（SSO経由）を介してです。 CAPTCHAは、いくつかの攻撃ベクトルを緩和するための有用なアプローチですが、Lokadのようなサプライチェーン最適化ソリューションの範囲外に完全に残すべきソフトウェアコンポーネントのカテゴリに属しています。さらに、企業向けソフトウェアの文脈では、CAPTCHAの付加価値は、特にフリーウェアの場合と比較して、はるかに明確ではありません。

2.12 パスワードの一般的なセキュリティポリシーはありますか？それを強制するためのプロセスはありますか？

はい。パスワードに関する一般的なセキュリティポリシーは「パスワードなし」です。Lokad専用のパスワードを導入する必要はないため、SSOを強くお勧めします。

2.13 ユーザー管理を集中管理していますか？

はい。Lokadは、運用するソリューションのために独自の集中ユーザー管理を持っています。このサブシステムはLokadによって実装され、Lokadのエンジニアリングチームを含むLokadの従業員のアクセスもカバーしています。

2.14 一般的な共有ユーザーアカウントを許可していますか？

いいえ。Lokadは、従業員とユーザー（Lokadプラットフォームから見た場合）の間の1対1の関係を強制します。共有ユーザーアカウントの使用は強く推奨しません。実際、ユーザーごとに料金を請求しない理由の1つは、クライアントが従業員間でユーザーアカウントを共有するインセンティブを与えないためです。ただし、クライアント側の「ロボットアップロード」サービスがLokadにデータをプッシュするためのユーザーアカウントに対しては、従業員との対応関係がない場合があります。これは、RBAC（ロールベースのアクセス制御）の一環として、この単一のユースケースに対して最小限の権限を提供する専用の役割（「アップローダー」と呼ばれる）があるためです。

2.15 セキュアなVPN接続を提供していますか？

いいえ。エンドユーザーの接続は、通常TLSを介して暗号化されたチャネルを使用します。

2.16 ユーザーが複数のデバイスからログインできますか？

はい、制限付きで可能です。一般的に、1人のユーザーあたりの上限は6つのデバイスです（複数のデバイスを許可するために料金はかかりません）。各セッションは1つのIPアドレスに制限されます。ただし、Lokadはいくつかの潜在的な脅威や乱用に対抗するためにこの制限を変更する権利を留保します。

2.17 ソリューションには、ユーザーを強制的にロックアウト/ログアウトする機能がありますか（悪意のある場合）？

はい。この機能には、Lokadアカウント内での「オーナー」アクセス権が必要です。

2.18 システムは、指定されたアイドル時間後に非アクティブなユーザーを自動的にログオフしますか？

はい、ただし「アイドル状態」は重要な要素ではありません。Lokadは、指定された時間後にユーザーを自動的にログオフします。ユーザーは「アクティブ」であることでログオフを延期することはできません。指定された時間が経過すると、ユーザーは再認証する必要があります。

2.19 共有アカウントやアクセス資格情報の使用は禁止されており、これらのポリシーの遵守が監視されていますか？

はい。Authentication 2.14を参照してください。

2.20 ユーザーIDとパスワードは別のメディア（電子メールと電話など）を介して通信/配布されますか？

はい、ユーザーの資格情報のセキュリティを優先し、ベストプラクティスに合致する方法で通信されるようにしています。内部的には、ユーザー認証にAzure Active Directoryを利用しています。ユーザーIDと初期パスワードが配布される際、Azure Active Directoryはセキュリティを考慮したデフォルトのパターンに従います。さらに、Azure ADでは二要素認証を強制しており、認証プロセスに追加のセキュリティレイヤーを追加しています。

外部のクライアントの従業員が当社のシステムに接続する場合、シングルサインオン（SSO）とフェデレーテッドアイデンティティシステムの使用を強くお勧めします。これらのシステムは、資格情報の管理においてベストプラクティスをサポートしており、ユーザーIDと認証メカニズムのために別々の通信チャネルや方法を含む安全な方法で資格情報が通信されるようになっています。

なお、セキュリティの高い基準を維持する場合、内部ユーザーまたは外部ユーザーに対して単一要素認証を推奨していません。

2.21 不活性な構成要素のユーザーIDは、一定期間の不活動後に無効化および削除されますか？

はい、セキュリティを確保するために、ユーザーIDを積極的に管理および監視しています。Lokadの従業員に関しては、当社のポリシーにより、最終雇用日にすべてのアクセス権が取り消され、元従業員による雇用後のアクセスがないようにしています。

クライアントに対しては、シングルサインオン（SSO）とフェデレーテッドアイデンティティシステムの使用を推奨しています。このアプローチにより、アクセス管理が効率化されます。たとえば、クライアントが従業員をアイデンティティシステムから削除すると、Lokadへのアクセスも同時に終了します。この方法により、セキュリティが向上するだけでなく、ユーザー管理の効率化も図られます。

注: ユーザーアクセスの終了に関する具体的な事項は、各クライアントとの契約に詳細に記載されています。Lokadは、アカウントの予期せぬ中断の可能性に対する潜在的な運用上の影響を認識し、そのようなシナリオを回避するために積極的な措置を講じています。予期せぬ中断を回避するために、ユーザーアクセスの終了条件は、契約または共同で合意された手順で明示的に記載されており、Lokadのセキュリティ対策がクライアントの運用ニーズに合致していることが保証されています。

3. 認可

3.1 ソリューションは細かいアクセス権を提供していますか？

はい。Lokadのソリューションには、細かいRBAC（ロールベースのアクセス制御）サブシステムが含まれています。これにより、クライアントはLokadアカウント内の「プロジェクト」と「ファイル」へのアクセス（およびアクセス権を持つユーザー）を制御することができます。RBACには独自のWebユーザーインターフェース（ダッシュボード）があります。Lokadアカウント内の「オーナー」指定を持つすべてのユーザーが利用できます。詳細については、ユーザーロールと権限のドキュメントを参照してください。

3.2 ソリューションは、最小特権の原則（PoLP）に従ってアクセスを設定できますか？

はい。Lokadのソリューションには、PoLPを実装するために使用できる細かいRBAC（ロールベースのアクセス制御）サブシステムが含まれています。ただし、ソリューションのDSLであるEnvisionを介して、Lokadはこの原則に関して他の多くのエンタープライズソフトウェアよりも進んでいます。

Envisionを通じて、Lokadは、サプライチェーンの最適化には関係のないシステム特権のスイート全体を排除しました。残されたものは、効率化されているが、まだ非常に設定可能です。同様に、Lokadが提供する独自のファイルシステムも、不要なシステム特権のグループ全体を排除しています。

3.3 最小特権のアクセス権限を強制していますか？

はい、ただし、「最小限の許容」特権が何であるかは、最終的にはクライアントによって決定されます。Lokadは、クライアントのスタッフに「オーナー」指定が誰に利益をもたらすかを一方的に決定することはできません。ただし、この点に関してはガイダンスを提供することができます。実際には、Lokadのサプライチェーンサイエンティストチームによってサポートされる「管理された」クライアントの場合、所望の組織と対応するアクセス権限を明示的に文書化します。

3.4 ソリューションは、指定されたユーザーからシステム内の特定のエンティティを非表示にする機能を持っていますか？

はい。これはPoLPの一形態であり、回答3.1、3.2、および3.3で説明されています。

3.5 データの分類（機密度レベル）に基づいて調整された制御がシステムに設けられていますか？

はい。Lokadは、デフォルトですべての管理データ（アカウントを持つユーザーのリストなど）をアカウントの「オーナー」に制限します。この指定は、RBAC（ロールベースのアクセス制御）の中で最も高く特権のあるものです。Lokadアカウント内の他のすべてのデータは、ユーザー定義の機密度分類に従ってセグメント化することができます。このユーザー定義の分類は、クライアントがアップロードした元のデータとLokadのプラットフォーム内で行われるデータ変換の結果に適用することができます。

アクセス制御と指定に関する詳細な情報については、回答3.1、3.2、および3.3を参照してください。

3.6 ソリューションはリアルタイムでユーザー/ロール/トランザクションの承認またはブロックを制限できますか？

はい、ただし、「リアルタイム」は分散コンピュータシステム（Lokadソリューションなど）の文脈で明確化が必要です。RBAC（ロールベースのアクセス制御）の更新は同期的に行われるため、更新は数秒以内に有効になります（通常はそれ以下）。1時間や1日の待ち時間などの顕著な遅延はありません。

トランザクションの中断に関しては、Lokadにはトランザクションデータベースがないため、関係ありません。ただし、Lokadは長時間実行される非同期操作（Lokadでは「プロジェクト実行」と呼ばれる）を中断することができます。中断がトリガーされると、ファイルの上書きなどのシステムへの影響を即座に（同期的に）防止します。ただし、処理の中断は非同期であり、通常は20秒以内に効果が現れます。

3.7 ソリューションは個人識別情報（PII）へのアクセスを、適切な権限レベルを持つユーザーに制限しますか？

はい、ただし、ソリューションはPIIデータを保持することを意図していません（ソリューションへのアクセス権を持つ従業員の認証識別子を超えて）。これはLokadとクライアントの両方に当てはまります。ソリューション内では、「オーナー」指定を持つ従業員のみがユーザーのリストにアクセスできます。サプライチェーンの最適化の目的で、LokadはPIIデータを必要としません（または利益を得ることはありません）し、この効果に関する契約上の規定があります（Practices 1.4およびPractices 1.5で説明）。

アクセス制御と指定に関する詳細な情報については、回答3.1、3.2、および3.3を参照してください。

3.8 ソリューションは個人識別情報（PII）データの検索フィルターにワイルドカード検索を許可しませんか？

はい。ただし、Lokadアカウント内の「オーナー」指定を持つユーザーは、アカウントにアクセス権限を持つすべてのユーザー（クライアントスタッフを含む）にアクセスできます。Lokadは、クライアントが自分自身のアカウントへのアクセス権限を完全に監査できる必要があるため、この機能を制限することはできません。

3.9 システムにはWAF（Web Application Firewall）技術が装備されていますか？

いいえ。WAFは、「最小限の特権」セキュリティ原則に違反する危険な設計です。WAF自体が「中間者」として動作するため、巨大な特権が付与されます。これにより、WAF自体が攻撃者の主要なターゲットとなり、プラットフォームの攻撃面が大幅に拡大します。ただし、Lokadは自社プラットフォーム上のWebトラフィックと異常なユーザーの振る舞いを注意深く監視しています。ただし、これらの機能はプラットフォーム自体の一部であり、特権を持つ独立したサードパーティのソフトウェアコンポーネントに委任されていません。

従業員 6.6も参照してください。

3.10 ネットワークにはIPS（Intrusion Prevention System）技術が装備されていますか？

いいえ。IPSは、「最小限の特権」セキュリティ原則に違反する危険な設計です。IPS自体が「中間者」として動作するため、巨大な特権が付与されます。これにより、IPS自体が攻撃者の主要なターゲットとなり、プラットフォームの攻撃面が大幅に拡大します。Lokadプラットフォームを侵入から保護するために、私たちの設計は攻撃面積を最小限に抑えることから始まります。私たちは、侵入経路を設計段階で排除することが、事後にそれらを「防止」しようとするよりもはるかに安全だと考えています。

従業員 6.6も参照してください。

3.11 サービスはDoS（Denial-of-Service）保護技術を利用していますか？

はい。LokadはReCaptcha、nginxのレート制限、および独自の特定のコンポーネント（無効な認証時の早期失敗など）を活用しています。

3.12 本番環境へのすべての管理アクセスはジャンプホストまたはバスチョンサーバーを介して行われますか？

はい。私たちは「Teleport」と本質的に同様のシステムを持っています。これにより、すべてのアクセスの完全なトレース性が提供されるだけでなく、従業員のアクセス権限の安全な取り消しが容易になります。

3.13 管理アクセスの付与には明確な承認プロセスがありますか（信頼性のある監査トレイルを生成するもの）？

はい。ログとモニタリング 5.1および5.11を参照してください。

3.14 管理アクセス権限は、変更された役割と職務に対して定期的に（権限を持つ人物によって）チェックされる体制が整っていますか？

はい。管理アクセス権限には2つのレベルがあります。

第1レベル：Lokadのインフラストラクチャをサポートするための管理権限。これらの権限は、LokadのIT部門によって付与および監視されます。

第2レベル：各Lokadアカウント内の管理アクセス権限。これらの権限は、アカウントを管理するサプライチェーンサイエンティストによって付与および監視されます（管理アカウントの場合）。または、Lokad/サプライチェーンサイエンティストが直接管理しない場合は、クライアント企業自体によって付与および監視されます。

3.15 アクセス制限ポリシーは、「最小限の特権」の原則に従っており、必要なおよび承認されたトラフィックのみが許可されていますか？

はい。私たちは、ネットワーキングトラフィックを含むインフラストラクチャのすべてのアクセスレベルにおいて、最小限の特権（PoLP）の原則を適用しています。アクセス制限の厳しさは、ユースケースによって異なります。たとえば、一部のアクセスでは、特定の認証済みユーザーからの特定のIPアドレスのみが許可されます。他のシナリオでは、CDN（コンテンツ配信ネットワーク）のコンテンツのように、どこからでもアクセスできる場合もあります。

認証 3.3も参照してください。

3.16 本番環境からのアウトバウンド接続は制限されていますか？

いいえ、本番環境からのアウトバウンド接続は一律に制限されていません。一部の特殊なサーバー（ロードバランサーなど）はアウトバウンドの制限がありますが、私たちのサーバーの大部分には制限がありません。

私たちの本番VMは、複数の外部APIへのアクセスが必要です。これらのAPIの大部分はMicrosoft Azureでホストされていますが、letsencrypt.orgなどの例外もあります。IPアドレスの厳密なホワイトリストを維持することは、利点を相殺する可能性のある複雑さを導入すると判断しました。アウトバウンド接続の制限は、限定的なセキュリティ上の利点を提供するかもしれませんが、製品環境のセキュリティを損なう可能性もあります。

3.17 セキュリティインシデントを報告するために、顧客/クライアントが24時間365日利用できる連絡手段（電子メール、Webフォーム、電話など）はありますか？

はい、私たちはセキュリティインシデントの報告を容易にするために、security.txtの標準を導入しています。

security.txtアプローチは、特定のテキストファイルをウェブサイトに配置することで、ウェブセキュリティで広く認識されているパターンです。このテキストファイルには、セキュリティの脆弱性を報告する方法が詳細に記載されています。

私たちのsecurity.txtファイルは、https://www.lokad.com/.well-known/security.txt で見つけることができ、セキュリティインシデントの報告手順が最新であることを保証しています。これにより、顧客、クライアント、セキュリティ研究者など、誰でも関連する連絡先情報とセキュリティ懸念を報告するためのガイドラインを簡単に見つけることができます。

なお、‘security.txt’で詳細に説明されているプロセスは変更される場合がありますが、最新かつ正確な情報は常にそのエンドポイントで利用できるようになっています。ファイルに記載されているコミュニケーションチャネル（電子メール、Webフォームなど）は、セキュリティレポートに迅速に対応するために、24時間365日対応していることを確認しています。

4. データ管理

4.1 データはどこにホストおよび処理されていますか？

私たちのSaaS（Software as a Service）プラットフォームは、100% Microsoft Azureでホストされています。具体的には、ヨーロッパ北部のMicrosoft Azureデータセンター（ダブリン拠点）にホストされています。バックアップはヨーロッパ西部のMicrosoft Azureデータセンター（アムステルダム拠点）に保存されています。メジャーなデータセンターの障害が発生した場合、私たちはプラットフォームをダブリンに移行するための予備計画を持っています。2010年のMicrosoft Azureへの移行以来、私たちはこのような状況に直面したことはありません。すべての顧客データはヨーロッパにあり、メジャーなデータセンターの障害が発生してもそこに残ります。

4.2 データの所有者は誰ですか？

私たちのクライアントは、Lokadにアップロードするすべてのデータの唯一の所有者です。また、Lokadアカウントを通じてLokadプラットフォーム上で生成されるデータも、クライアント自身の所有物です。Lokadは、クライアントが依頼したタスクに直接貢献する目的以外で、クライアントのデータを内部的に使用しません。Lokadは、クライアントのデータへのアクセスを（再）販売することはありません。クライアントのデータへのアクセスは、クライアントのタスクに直接貢献するホスティングプロバイダー（たとえば、クライアントの要求に応じて計算を実行するためにクラウドコンピューティングプラットフォームから仮想マシンを借りるなど）を除いて、共有されません。

4.3 データベースの管理は内部または外部で行われていますか？

Lokadのデータレイヤーの管理は、Lokadのエンジニアリングチームによって行われています。前述のように、Lokadのコアプラットフォームにはトランザクションデータベースは含まれておらず（認証 3.6を参照）、代わりにイベントストアを使用しています。このイベントストアは、Lokadによって完全に実装および運用されています。

4.4 ソリューションはRDBMSデータベース（PostgreSQL、Oracle、MySQL）と非SQLデータベース（Cosmos）の切り替えが可能ですか？

理論的には可能ですが、LokadのソリューションはRDMBSを使用していないため、これは無意味です。Lokadのデータ永続化レイヤーは、イベントストアとキーバリューストアを活用しています。このアプローチは、企業向けソフトウェアで一般的に見られるCRUD（作成-読み取り-更新-削除）デザインとは大きく異なります。LokadはSaaSソリューションであり、データの永続性と将来の互換性について完全な責任を負っています（古いデータがアクセス可能であることを保証するため）。

4.5 ソリューションの実行に第三者が関与していますか？

はい、特にLokadが使用している基盤となるクラウドコンピューティングプラットフォームであるMicrosoft Azureが関与しています。ソリューションの実行に関与する第三者のリストは非常に短く、下位レベルのインフラストラクチャホスティングに制限されています。Lokadは、自社のソリューションの開発、管理、運用に第三者を使用していません。特に、エンジニアリングチームとテクニカルサポートチームの両方が内部のチームです。

4.6 レイヤーを分離していますか（ネットワーキング、サーバー、アプリケーション）？

はい、ただし、ネットワークとサーバーレイヤーの低レベルの管理は、Lokadが使用している基盤となるクラウドコンピューティングプラットフォームであるMicrosoft Azureに委任されています。したがって、ネットワークとサーバーレイヤーの分離は、ほとんどLokadが管理する範囲外です。Lokadのソリューション内では、アプリケーションレイヤーに与えられる特権を厳密に制限しており、アプリケーションレイヤーは自分自身のインフラストラクチャ（DNSの管理など）に書き込みアクセスすることはありません。

4.7 データの永久削除を保証するプロセスはありますか？

はい、ただし、すべての手順を完了するには数週間かかる場合があります。プロセスには、クライアント組織内の認可された当事者によって発行される正式な書面による要求が含まれます。実際には、このような要求に関する具体的な規定は、Lokadとそのクライアント間の契約に含まれています。データはまず主要な本番システムから削除され、次にバックアップシステムから削除されます。後者の段階が操作の相対的な「遅さ」の原因です。これは設計上の選択です。データが主要なシステムから削除されると、特別な災害復旧プロセスを介さない限り、それらにアクセスすることはできません。

デフォルトでは、Lokadのソリューションでは、すべての標準的な削除操作はソフトデリート（つまり、永久的な削除ではありません）です。この設計は、クライアントの従業員による意図しないデータ削除や攻撃者による悪意のある削除など、セキュリティ上の問題のクラス全体を回避するために必要です。また、意図的に遅い永久削除プロセスが必要です。これは、攻撃者がクライアントの従業員をなりすますシナリオなどのソーシャルエンジニアリング攻撃を緩和するためです。

4.8 ソリューションはデータのソフトデリート機能を持っていますか？

はい。Lokadのソリューションはイベントソーシングの設計を採用しています。したがって、すべてのソフトウェア削除はソフトデリートであり、これらは必要に応じて追跡および元に戻すことができます。

4.9 直接データベースにアクセスできますか？

はい、Lokadのソリューションの一部であるファイルシステムは、FTPSやSFTPなどのプロトコルを介してアクセスすることができます。このアクセスは広範であり、入力として使用されるすべてのデータおよび出力として生成されるすべてのデータがこのファイルシステムに格納されています。

ただし、Lokadにはトランザクションデータベースがないため、「アクセス可能」なデータベースはありません。Lokadアーキテクチャでの最も近い相当物はイベントストリームですが、このイベントストリームへの直接アクセスは提供していません。ただし、クライアントがこのイベントストリームからの特定の抽出を要求する場合は、契約上の合意に基づいて対応策が講じられる可能性があります（有効なユースケースがある場合）。

4.10 ソリューションは外部データをどのように統合しますか？

ソリューションは、FTPSやSFTPなどのプロトコルを利用して外部データを統合することができます。また、手動でファイルをアップロードするためのWebユーザーインターフェースも利用できます。Lokadのソリューションは、合理的なタブularデータを統合することができます。Lokadのデータの外部統合能力については、Lokad 2.15のITパースペクティブに移動してください。

4.11 システムはリアルタイムデータフィードからの変更データキャプチャ（CDC）を処理する能力を持っていますか？

はい、クライアントとの特定の契約に基づいて提供されます。変更データキャプチャは、特定のデータ標準やデータ転送プロトコルではなく、ソフトウェアの設計パターンです。また、「リアルタイム」の期待値は、サブミリ秒のレイテンシからサブミニットのものまで様々です。この領域の機能は、サプライチェーンの観点から評価する必要があります。私たちの経験では、リアルタイムデータフィードは、サプライチェーンの問題に対処するためにはほとんど関係ありません。

4.12 ソリューション内のすべてのデータをエクスポートできますか？

はい、Lokadアカウント内のファイルシステムを介してアクセス可能なすべてのデータは、FTPSやSFTPなどのプロトコルを介してエクスポートすることができます。

4.13 ソリューションはデータをエクスポートするためのツールを提供していますか？

はい、Lokadのソリューションは、サプライチェーン分析に特化したDSL（ドメイン固有言語）であるEnvisionを提供しています。Envisionには、Lokadアカウント内のデータを再フォーマットするための幅広い機能があります。

4.14 エクスポートされたデータの形式はどのようになりますか？

Lokadプラットフォームは、CSVやXLS（Microsoft Excel）などの一般的なタブラーフォーマットをサポートしています。プラットフォームは、数値、日付、区切り文字、テキストエンコーディング、ヘッダーなどの形式に関する多くのオプションをサポートしています。

4.15 ソリューションはモバイルおよびバックエンドストレージの個人を特定できる情報（PII）データの透過的なデータ暗号化（TDE）を持っていますか？

透過的なデータ暗号化は、Lokadのバックエンドストレージ（Azure Storageのデータ暗号化を介して）およびLokadが発行したデバイス（BitLockerを介して）の両方で使用されています。Lokadは、TDEが有効になっていないデバイスにPIIを保存しません。

4.16 アプリケーション内で使用されるすべてのパスワードとシークレットは、ソースコード、設定ファイル、ビルドパラメータなどのフリーテキスト形式でアクセスできないように暗号化されていますか？

はい。プラットフォームレベルのシークレットは、Microsoft Azureが提供するKey Vaultに格納されています。ユーザーパスワードは、標準のプラクティスに従って内部的にソルト化およびハッシュ化されています。

4.17 ソリューションは、ファイルタイプとサイズに基づいてファイルのアップロードを制限し、悪意のあるコンテンツをスキャンする能力を持っていますか？

はい、一定の範囲で制限されています。ファイルサイズに関しては、サプライチェーンの最適化には大きなファイルの処理が頻繁に必要です。これらのファイルサイズは、私たちが最終的に処理する歴史的なビジネスデータの抽出を反映しています（例：過去の販売注文）。この現実を考慮して、Lokadプラットフォームは最大100GBのファイルサイズをサポートしています。

ファイルタイプに関しては、既知の拡張子と予想される形式のホワイトリストがあります。有効なユースケースの場合、このパラメータを調整することができます。この調整は、契約上に反映されます。

悪意のあるコンテンツをスキャンする能力に関しては、Lokadにはこの機能はありません。私たちのソリューションは、プラットフォームで生成されたコンテンツの共有を重視しています。さらに、私たちが採用している設計自体が、Lokad内で生成されたファイルが安全であることを保証しています（入力ファイルがそうでない場合でも）。逆に、Lokadを介したユーザーがアップロードしたコンテンツの共有は、設計上で重要ではありません。

4.18 推奨されるデータ保持期間は何ですか？

LokadはSaaSですので、適切なデータ保持期間を選択する責任を負っています。この期間はデータの種類によって異なります。クライアントからデータ抽出パイプラインを介してLokadに送信されるトランザクションの履歴データは、通常、Lokadサービスの期間にわたって保持されます。実際、履歴データは通常、Lokadサービスの範囲外でも任意の長期間保持する価値があります。一方、プラットフォームの詳細なパフォーマンスを反映した計測データは、予期しない遅延のトラブルシューティングにのみ有用です。このデータは非常に細かく、通常は数週間以上保持されません。

4.19 データ構造のドキュメントを提供していますか？

はい、「共同手順マニュアル」の一部として提供しています。Lokadは、ほとんどのエンタープライズソフトウェアとは異なり、リレーショナルデータベースを使用していません。代わりに、イベントソーシングのパラダイムを使用しています。ただし、クライアント企業の関心事であるデータ構造は、イベントソースではなく、Lokadのプラットフォーム内のEnvisionスクリプトによって生成されるフラットファイルにあります。これらのフラットファイルは、クライアント企業の特定の要件に合わせて設計されています。これらのファイルのドキュメントは、「共同手順マニュアル」に含まれています。これは、通常のLokadの取り組みの成果物の一つです。

4.20 他の顧客のデータのセグメンテーションはシステム設計の一部ですか？

はい、Lokadはマルチテナントアプリですが、データはテナント（つまり、クライアントアカウント）ごとに設計段階で分離されています。このパーティショニングは、バックエンドの設計の第一級の要素です。この設計により、プラットフォーム内での日常的な機能の開発中に、1つのテナントのデータを他のテナントに公開するプログラミングのミスが防止されます。Lokadが使用する主要な基礎ストレージであるMicrosoft AzureのBlob Storageは、このような厳格なパーティショニングを設計段階で容易にします。

4.21 開発およびテスト環境で顧客データが使用されないようにするために、効果的な対策が講じられていますか？

はい、デフォルトでは、ソフトウェアエンジニアリングチームは顧客データに直接アクセスすることはありません。ソフトウェアエンジニアリングチームが顧客データにアクセスせずにスムーズに操作できるように、広範な「モック」データ環境と「モック」データセットを開発しています。Lokadはまた、自社プラットフォームをデータ解析の目的（たとえば、Microsoft Azureから得られたクラウドコンピューティングリソースの詳細な消費を分析する）に使用しています。この「ドッグフーディング」の実践により、Lokadは開発およびテストの目的に非重要なデータの豊富な供給源も持っています。

ただし、診断目的で最小限の（読み取り専用）顧客データの断片にアクセスするために特別な制限されたパイプラインを開発しています。このパイプラインは、取得されるデータの厳格かつ完全に自動化された最小化を自動的に保証します。このパイプラインはまた、診断操作の終了時にデータの削除も自動的に保証します。この制限されたパイプラインの詳細については、4.22を参照してください。

4.22 開発またはテストにおいて顧客データの限定的な使用が必要な場合、開発およびテスト環境でデータが安全かつ完全に破棄されることを保証するための定義済みのプロセスはありますか？

はい、通常はパフォーマンステストなどの診断目的で顧客データの例外的な使用に対応するために、特別な（読み取り専用）データパイプラインを開発しています。このデータパイプラインは、ソフトウェアエンジニアリングチームの制限された部分のみがアクセスできるようになっています。

このデータパイプラインは、関心の診断のために取得される顧客データの断片を自動的に最小化するように設計されています。この機能により、通常、クライアントアカウントに存在する元のデータの非常に小さな部分で操作できるようになります。さらに、エンジニアリングチームがデータを手動で選択する必要がなくなります。

最後に、このデータパイプラインは、診断操作の終了時に取得したデータを自動的に削除します。

4.23 顧客データの物理的な場所は、バックアップおよび高可用性システムを含めて、すべて把握および文書化されていますか？

はい。すべての顧客データは、Microsoft Azureの物理的に保護されたデータセンターに保存されています。バックアップも含まれます。顧客データはローカルに保持されず（つまり、Lokadの施設には保管されません）、従業員のデバイスにも保管されません。

4.24 物理的なサーバーの場所へのアクセスは、作業を実行するために必要な従業員に制限されていますか？

はい、ただし、Lokadの顧客のデータはMicrosoft Azureの安全なデータセンターに保存されており、Lokadは物理的なアクセス権限を持っていません。Microsoftのデータセンターの物理的な場所は一般に公開されており、Lokadのデータセンターの選択は公に文書化されています。

4.25 主要口座番号（PAN）は、合法的な業務目的のために絶対に必要な場合にのみ保存されていますか？

Lokadは、クライアントのPANを受け取らず、保存せず、管理しません。

PAN（Primary Account Number）は通常、クレジットカードまたはデビットカードの主要な番号を指します。これはカードの表面にエンボス加工または印刷された番号のシーケンスであり、カードに関連付けられた銀行口座を一意に識別するために使用されます。

支払い処理には、PANを管理する第三者のみに頼っています。ただし、Lokadが受け取る取引の大部分は電信送金を通じて実行されるため、PANの管理の問題は完全に排除されています。

Lokad自身のカードのために、私たちはいくつかのPANを安全に管理しています。これには、銀行自体から提供されるガイダンスに従います。

4.26 暗号化されていない主要口座番号（PAN）は、エンドユーザーメッセージング技術（例：電子メール、インスタントメッセージング、チャット）を介して送信されませんか？

はい、暗号化されていないPAN（主要口座番号）は、電子メールなどの安全でないチャネルを介して送信されません。Lokadは、プラットフォーム上に組み込まれた安全な通信チャネルを提供しており、これは機密情報を送信するための優れた代替手段です。安全でないチャネルの使用が重大なビジネスリスクを引き起こす場合は、このチャネルの使用をお勧めします。

注意: Lokadは設計上、クライアントのPANを受け取らず、保存せず、管理しません。したがって、暗号化されていないPANの転送はありません。

PANの保存も参照してください。

4.27 クラウドコンピューティングサービスプロバイダーとの契約はありますか？この契約には、クラウドコンピューティングサービスプロバイダーの情報セキュリティに関連する条項が含まれていますか？

はい、LokadはMicrosoftとのAzureクラウドコンピューティングサービスに関するエンタープライズ契約（EA）を締結しています。エンタープライズ契約には、サービスの使用に関連するさまざまな条件が含まれており、クラウド環境のセキュリティに関する取り組みについての約束も含まれています。

主要なクラウドサービスプロバイダーの1つであるMicrosoft Azureは、セキュリティに重点を置いています。Azureには、クラウド内のデータを保護するための包括的なセキュリティ機能とプラクティスがあり、これらはしばしば企業の顧客との契約に反映されています。

具体的な契約の詳細を公開することはできませんが、Microsoftとの10年以上にわたる協力の結果、この契約が私たちのセキュリティ要件と基準を満たしていると確信しています。

4.28 クライアントの詳細/データの処理に関与するサブコントラクターはいますか？

いいえ、Lokadはクライアントの詳細やデータの処理をサブコントラクターに委託していません。Lokadのプラットフォームに関しては、Microsoft Azureからコンピューティングリソース（主に仮想マシンとBlobストレージ）を購入していますが、それ以外のクライアントデータに関しては第三者は関与していません。

Lokadのプロフェッショナルサービスの提供に関しては、フルタイムのLokad従業員（この場合、サプライチェーンの科学者）のみがクライアントの詳細やデータにアクセスします。Lokadには長期インターンシップの学生がいくつかいますが（他の多くの類似企業よりもはるかに少ないです）、彼らはシニアサプライチェーンの科学者の直接かつ厳格な監督の下で運営されています。

注意: インターンは、フルタイムのサプライチェーンの科学者と同じ機密保持契約の対象です。

5. ロギングと監視

5.1 アクセスログ（ユーザー、日付、最終接続日など）を提供していますか？

はい。LokadはCSVファイル形式のアクセスログを提供しています。現時点では、これらのログはLokadのサポートスタッフにリクエストすることができます。ログの抽出は、“オーナー"指定のユーザーのみがアクセスできるLokadアカウントに配置されます。既にLokadプラットフォームのバックエンドに存在する完全な監査トレイルへのより直接的なアクセス方法（専用のWebインターフェースを介して）を導入する予定です。

5.2 ソリューションのすべてのコンポーネントのログを集約していますか？

はい。Lokadのイベントソーシング設計は、ログだけでなく、ソリューションで発生するすべての状態変更を集約します。ログは、他の状態変更とともに、同じイベントストアによって管理される少数のイベントストリームに集約されます。内部的には、ソリューションの状態に影響を与えないログは、それに影響を与えるログから分離されます。

純粋に技術的な観点からは、意図的にイベントストア内で集約されないいくつかのパフォーマンスに関連するログがあります。これらのログには、Lokadの内部パフォーマンスプロファイリング計器によって生成される関数呼び出しの実行中にかかるミリ秒数など、詳細なパフォーマンス測定が含まれます。これらのパフォーマンスログには、「セキュリティに関連する」資料として評価されるものは含まれていません。

5.3 アプリケーションで行われた変更と操作をログに記録していますか？すべてのトランザクションを追跡していますか？

はい。Lokadのイベントソーシング設計により、必要に応じてすべてがログに記録されます。実際に、ソリューション自体は、ソリューション内で記録されたイベントの集合です。したがって、ログはソリューションのアーキテクチャの基本的な側面です。このイベントソーシング設計により、状態の変更を反映するログの漏れが偶然に防止されます。このようなイベントソーシングフレームワークでは、通常のトランザクションデータベース（MySQL、Oracleなど）のような通常の意味でのトランザクションは存在しません。これらのトランザクションは、状態の変更に関連するすべての情報を含むイベントに置き換えられます。

5.4 フォレンジック目的で、さまざまなコンポーネントのログ形式を正規化していますか？

はい。監査および/またはセキュリティの観点からの「ログ」は、基礎となるイベントの変換です。イベントは技術的にはシリアライズされたオブジェクトです。ログを取得するために、LokadソリューションはこれらのイベントをCSVファイルに変換してコンパイルします。日付形式、数値形式、およびCSV抽出で使用されるユーザー識別子を正規化します。

5.5 サードパーティへのログエクスポートをクエリプロトコルを介して提供していますか？

はい、クライアントとの契約に基づいて提供しています。

5.6 ソリューションではスローされたすべての例外を追跡していますか？

はい。Lokadのイベントソーシング設計により、ソリューションでスローされたすべての例外を追跡し、最初に問題が発生した条件を再現することができます。特定された後、Lokadのエンジニアリングチームはすべての観察された例外を解消します。この特定の目的のために専用のツールを開発しており、修正されていない例外のバックログは非常に限られています。

5.7 ソリューションは、異なるコンポーネント/サービスの健全性をリアルタイムで監視する機能を持っていますか？

はい。当社のサブシステムは、ヘルスチェックに専用のモニタリングエンドポイントを備えて設計されています。2023年1月現在、これらのモニタリングエンドポイントで提供される情報を継続的に集約するモニタリングツールは、Lokadのエンジニアリングチームのみがアクセスできます。

前述のように、分散システムに関しては、「リアルタイム」という表現はかなり曖昧です。システムの健全性監視の目的では、期待されるレイテンシは数秒から1分程度です。

5.8 ソリューションはサードパーティのモニタリングツールを統合する機能を持っていますか？SNMPやJMXをサポートしていますか？または、SNMPおよびJMXイベントをサードパーティのモニタリングソリューションに送信する機能を持っていますか？

はい、クライアントとの契約に基づいて提供しています。

5.9 ソリューションは、スケジュールに従って開始しなかったバッチジョブを監視し、その終了を監視する機能を持っていますか？

はい。Lokadのソリューションには、Lokadプラットフォーム内で長時間実行されるタスク（Envisionスクリプトの実行など）をオーケストレートするための独自の内部ジョブスケジューラ（「Runflow」と呼ばれる）があります。このスケジューラは、ウェブユーザーインターフェースを介して構成でき、任意のジョブシーケンスに対してスケジュールと実行時間枠を指定することができます。

5.10 ソリューションは、積極的なアラートを生成する能力を持っていますか？エラーを相関分析し、積極的なアクションを取る能力はありますか？

はい。ソリューションのジョブスケジューラであるRunflowは、実行中のシーケンスが遅れていることをクライアント/Lokadにアラートできます。アラートはシーケンスの完了前に送信されることがあります。Lokadのソリューションは、Envision（DSL）を通じて、積極的なアクションを取るための包括的な機能を提供しています。Lokadプラットフォームはこの機能を提供していますが、実際のロジックを実装するには、エンジニアがEnvisionを介して実装する必要があります。なぜなら、「エラー」として認識されるサプライチェーンの状況は異なる場合があるためです。

5.11 ソリューションは監査データの保持能力を持っていますか？データは監査ユーザーの活動を監査するためにMISデータベースにアーカイブおよび削除されますか？

はい。Lokadのソリューションは、イベントソーシングの設計により、非常に広範な監査トレイルを保持しています。これは、通常はトランザクションデータベースではなくイベントストアを利用するより一般的な設計で得られるものよりも大きいです。Lokadのソリューションは、管理情報システム（MIS）を別のサブシステムとして分離していません。実際には、イベントストリーム自体が監査トレイルです。一般的に、Lokadはクライアントとのサービス期間中に生産データを保持します。サービス終了時には、交渉された契約条件に応じて、クライアントデータは削除されますが、バックアップシステム内での最終的な削除は契約終了後数か月後に行われる場合があります。

5.12 システムには自己監視メカニズム（技術的および機能的）が組み込まれていますか？

はい、Lokadプラットフォームには、さまざまなレベルで複数の自己監視メカニズムが統合されています。

クラウドホステッドプラットフォームは、Lokadのソフトウェアエンジニアリングチームによって監視されています。Lokadプラットフォームはマルチテナントであるため、この監視は主に「システム」の観点で行われ、プラットフォームの機能（パフォーマンスプロファイルを含む）が標準に準拠していることを確認します。この目的のために、独自の計測レイヤーを設計しています。一方、「機能」の監視は通常、特定のサプライチェーンの仕様に依存するため、サプライチェーンサイエンティストのチーム（Lokadが提供するエンジニア）によって提供されます（契約による）。

Lokadのサプライチェーンサイエンティストは、通常、特定のクライアントアカウントのクラス（例：航空宇宙）に特化しています。彼らはLokadアカウントを使用して、クライアントのビジネスの観点から正しい数値がLokadによって提供されていることを確認するためのモニタリングインストルメンテーションを作成します。

5.13 ログは適時かつ体系的にレビューおよび分析され、異常および侵害の兆候を検出するために行われていますか？

はい。Lokadプラットフォームの継続的な活動をレビューすることは、私たちの日常業務の一部です。私たちのプラットフォームの設計は、このプロセスを容易にするようになっています。

ログとモニタリング 5.2も参照してください。

5.14 ログ管理システムは、他のシステムの管理に関与していない人々によって管理されていますか？（つまり、職務の分離）

はい。プラットフォームのログと一般的な活動の監視は、サプライチェーンサイエンティストによって行われますが、インフラストラクチャの一般的な管理は、当社のIT部門内の特定の従業員によって行われます。

5.15 アプリケーションレベルの脆弱性スキャンは定期的かつ体系的に実施されていますか？

はい、ただし、そのようなスキャンはセキュリティプロセスのごく一部です。従業員 6.6を参照してください。

5.16 有効なファイアウォールルールの定期的なレビューのための定義済みのプロセスはありますか？

はい、当社の本番マシンは非常に厳格なルールで構成されており、非常に限られた数のポートを開いています（Microsoft Azureを介して構成されています）。当社のインフラストラクチャの設定はスクリプト化されており、その進化は通常のコードレビュープロセスに従っています。この慣行は、定期的なレビューを容易にするだけでなく、最初からルールを手動でレビューする必要性を軽減します。

5.17 ネットワークにはIDS（侵入検知システム）技術が装備されていますか？

いいえ。IDSは「最小特権」セキュリティ原則に違反する危険な設計です。コンポーネントは「中間人」として操作するために非常に大きな特権を与えられます。これにより、IDS自体が攻撃者の主要なターゲットとなり、プラットフォームの攻撃面を大幅に拡大します。ただし、LokadはWebトラフィックと自社プラットフォーム上の異常なユーザーの振る舞いを注意深く監視しています。ただし、これらの機能はプラットフォーム自体の一部であり、特権を持つ孤立したサードパーティのソフトウェアコンポーネントに委任されていません。

従業員 6.6も参照してください。

6. 従業員

6.1 従業員はNDA（機密保持契約）を持っていますか？

はい、すべてのLokadの従業員は、雇用契約においてNDAの規定の対象となります。

6.2 従業員はセキュリティ意識とセキュリティトレーニングを受けていますか？

はい、機密データと/または機密データと接触するエンジニアリングシステムと接触するLokadの従業員には、セキュリティ意識とセキュリティトレーニングが提供されます。このポイントに関する詳細については、講義サプライチェーンのためのサイバーセキュリティが、機密クライアントデータを扱うサプライチェーンサイエンティストに捧げられています。

6.3 Lokadでは、クライアントデータへのアクセス権限を持つのは誰ですか？

クライアントは、Lokadアカウントにアクセス権限を持つユーザーのリストを明示的に定義します。これらのユーザーは、Lokadアカウント内で構成されたアクセス権限に応じて、クライアントのさまざまなクラスのデータにアクセスできる場合があります。権限を管理するためのLokadソリューション内のWebアプリケーション（「Hub」と呼ばれる）があります。

Lokad側では、各クライアントアカウントにアクセス権限を持つ従業員の簡単なリストがあります。まず第一に、このリストにはサプライチェーンサイエンティスト（Lokadが提供するエンジニア）が含まれます。これらのサプライチェーンサイエンティストは、クライアントのデータに毎日アクセスすることが期待されています。内部的には、Lokadはクライアントアカウントへのアクセスを、それらのアカウントに割り当てられたサプライチェーンサイエンティストのみに制限しています。つまり、サプライチェーンサイエンティストAは、クライアントアカウントBにアクセスできません（クライアントとの合意によって管理される）。

次に、このリストには当社のプラットフォームのシステム管理を担当するエンジニアリングチームも含まれます。原則として、クライアントデータへの直接アクセスはまれであり、クライアント自身またはサポートするサプライチェーンサイエンティストから報告された状況を調査するためにのみ行われます。Lokadは、クライアントデータへのアクセスをクラウドコンピューティングプラットフォームを除いて、いかなる第三者とも共有しません。

6.4 従業員のワークステーションのセキュリティはどのように確保されていますか？

ソフトウェアエンジニアリングチームを除いて、Lokadの従業員は会社提供のデバイスで管理者特権を持たずに作業しています。すべてのワークステーションは、ハードウェアの紛失、盗難、または第三者（修理など）への信頼によって引き起こされるデータの盗難から保護するために、フルディスク暗号化が設定されています。

当社の従業員が使用するワークステーションには、クライアントのデータは含まれていません。作業内容に応じて、従業員はいくつかのExcelシートを自分のマシンにダウンロードすることがありますが、当社のポリシーは、すべてのクライアントデータを厳密にクラウドで安全に保管することです。

6.5 従業員のスマートフォンのセキュリティはどのように確保されていますか？

Lokadの従業員は、会社発行のスマートフォンを持っていません。カレンダーリマインダーなどの非重要データは、個人の（会社発行ではない）デバイスを介してプッシュされる場合がありますが、ワークステーションと同様に、スマートフォンにはクライアントのデータは含まれていません。

6.6 アンチウイルスソフトウェアを使用していますか？

はい、当社のワークステーションにはMicrosoft Defenderがあります。ただし、Microsoft Defender以外のアンチウイルスソフトウェアはありませんが、このクラスのツールは、コンピューティングセキュリティの観点から見ると、むしろ有害な結果をもたらす傾向があると考えています。事例として、2020年のSolarWindsハックは、最も大きなコンピュータセキュリティの災害の1つとされており、最初にセキュリティを向上させるために作られたソフトウェアが原因で発生しました。一般的に、セキュリティを目的としたほとんどのソフトウェア製品は、かなり高いシステム特権を必要とします。その結果、これらのソフトウェア製品は自身の攻撃ベクトルとなります。当社のコンピュータセキュリティに対する考え方は、「少ないほど良い」というものであり、非常に複雑な技術要素をアプリケーションの環境に追加することは、ほとんどの場合、それをより安全ではなく、むしろ安全性を低下させると考えています。

6.7 ソフトウェア開発者は定期的に脅威評価手法、セキュアなコーディング基準、よく知られたセキュリティチェックリスト、およびフレームワークの使用方法についてトレーニングを受けていますか？

はい。ただし、ほとんどのよく知られたチェックリストは、主に「設計上のセキュリティリスク」を反映しています。可能な限り、セキュリティの落とし穴の原因を設計段階で排除することを優先します。詳細は従業員6.2を参照してください。

6.8 Lokadのサブコントラクター/外部労働者とのすべての契約には、機密保持契約（NDA）が含まれていますか？このNDAは顧客情報をカバーしていますか？

はい、両方ともですが、Lokadは現時点ではサブコントラクター/外部労働者に頼っていません。Lokadのソフトウェアエンジニアリングチームとサプライチェーンサイエンティストチームは、Lokadの直接的な常勤雇用と監督の下で完全にスタッフされています。

ただし、Lokadがサブコントラクターとの関与を必要とする場合、彼らは当社の正規の従業員と同じIP（知的財産）およびNDAの条件に従う必要があります。これらの契約には、Lokadのクライアントに関する情報に関する条項が含まれています。

6.9 Lokadの外部労働者全員にLokadの内部情報とセキュリティ導入トレーニング（および継続的な関連トレーニング）が提供されていますか？

Lokadは現時点ではサブコントラクター/外部労働者に頼っていません。Lokadのソフトウェアエンジニアリングチームとサプライチェーンサイエンティストチームは、Lokadの直接的な常勤雇用と監督の下で完全にスタッフされています。

ただし、Lokadが外部労働者との関与を必要とする場合、これが必要となります。すべてのサブコントラクター/外部労働者は、当社の正規の従業員と同じセキュリティプロセスとトレーニング要件に従う必要があります。

先に述べたように、Lokadは現在、外部労働者に頼っていないため、このようなトレーニングは行われていません。

詳細は従業員6.8を参照してください。

6.10 Lokadのサービス提供に参加するすべての企業との契約（すべての請負業者、コンサルタントなど）は、バックグラウンドチェックを使用して外部労働者をスクリーニングすることを要求していますか？これらのバックグラウンドチェックは、情報へのアクセスレベルと従業員の役割の重要性に応じて行われていますか？

Lokadは、執筆時点ではサブコントラクター/外部労働者に頼っていません。Lokadのソフトウェアエンジニアリングチームとサプライチェーン科学者チームは、Lokadの直接の正規雇用と監督の下で完全にスタッフされています。

ただし、Lokadが外部労働者との関与を必要とする場合、これが必要となります。すべてのサブコントラクター/外部労働者は、当社の正規の従業員と同じセキュリティプロセス、バックグラウンドチェック、トレーニング要件に従う必要があります。

注意: 歴史的に見て、サイバースパイなどの最大かつ最悪の事件は、完璧な経歴を持つ人々によって犯されています。これは、Lokadが外部労働者に頼ることをためらい、直接の無期限雇用契約を強く希望する理由の一つです。

6.11 雇用終了時に管理アカウントは自動的に無効化または削除されますか？

はい。すべてのLokadの従業員は、連邦統合IDプロバイダー（Microsoft Azure Active Directory）を通じてアクセス権を受け取ります。雇用終了時に、該当する場合はこのアクセスが取り消され、関連するすべての管理権限が自動的に無効化されます。

注意: Lokadのほとんどの従業員は、職務の実行には必要ありませんので、管理権限は与えられません。

6.12 機密データ、金融データ、銀行データ、支払いカードデータなどにアクセス権を持つすべてのスタッフに対して犯罪経歴調査を実施していますか？

はい、バックグラウンドチェックは、実施される業務の要件に厳密に従って行われます。

Lokadは支払いカードデータを内部で管理していないことに注意してください。これは第三者によって管理されています。したがって、Lokadのスタッフはクライアントの支払いカードデータにアクセスすることはありません。

6.13 Lokadは、作業が行われる場所に非承認の人物がアクセスできないようにするためにどのような予防措置を講じていますか？

建物レベルでは、Lokadは24時間365日の第三者監視とスタッフのセキュリティを備えたオフィスビルで運営しています。

オフィスレベルでは、Lokadの施設は建物自体とは独立したセキュアなアクセスポイントを持っています。この最後のレイヤーにより、建物内の他の企業の従業員がLokadのオフィスにアクセスすることはありません。

注意: クライアントや潜在的な候補者などの特別な訪問者は、Lokadのスタッフによって物理的に歓迎され、入場が許可される必要があります。

6.14 設備内に訪問者は許可されていますか？

“設備"が「クライアントのデータが保存および処理される場所」を意味する場合、いいえ。クライアントのデータはMicrosoft Azureのデータセンターに保存されています。これらのデータセンターは一般には公開されておらず、Lokad自体もアクセスできません。

ただし、Lokadは時折、法人本部への訪問者を歓迎します。私たちのオフィスは一般には公開されていませんが、クライアントの訪問、面接待ちの求職者など、特別な事情が発生することがあります。そのような訪問は事前に計画され、その訪問者は私たちのオフィスにいる間は常にLokadのスタッフに同行します。

6.15 紙のデータ記録（およびデータを含む取り外し可能な電子メディア）は、夜間に安全な防火キャビネットに保管されていますか？

Lokadは紙のデータ記録を使用せず、取り外し可能な電子メディアも使用しません。物理的な記録を保管する必要がないため、Lokadには防火キャビネットの必要はありません。

たまに文書を印刷することがありますが（Lokadはほとんど文書を印刷しません）、プリンターの横にはシュレッダーもあります。Lokadのデフォルトの方針は、機密文書を印刷しないことですが、理論的に印刷する必要がある場合は、使用後すぐに印刷した文書をシュレッドすることもデフォルトの方針です。

6.16 クリアデスクポリシーはありますか？もしある場合、どの程度ですか？

はい、Lokadはクリアデスクポリシーを厳格に実施しています。このポリシーは、デジタル環境を通じて「設計によって」強制されています。

法的に印刷する必要があるわずかな文書や、必要に応じて印刷される場合を除いて（たとえば、展示会のポスターなどですが、通常は外部委託されます）、Lokadの作業環境は厳密にデジタルです。

したがって、一日の終わりには、Lokadの従業員はクリアするものは何もありません。従業員のコンピューターセッションがロックされた後（これは厳密に強制されるポリシーです）、指定されたデスクは実質的にクリアされます。

6.17 ファックスはどこに届き、誰がアクセスできますか？

Lokadは、物理的または仮想のファックス機を所有したことはありません。この技術に関して立場を変えるための説得力のあるユースケースは知りません。

6.18 解雇時に構成資産（コンピューター、携帯電話、アクセスカード、トークン、スマートカード、キーなど）の返却を確認するプロセスはありますか？

はい、私たちはプロセスだけでなく、この取り組みをサポートし、事務的なエラーの量を最小限に抑えるためのIT資産管理ソフトウェアも持っています。

ただし、Lokadのセキュリティは、構成資産の返却のタイムリーさに依存しないように意図的に設計されています。Lokadは、従業員がどれだけ規律正しく訓練されていても、構成資産が紛失または盗難される可能性があると仮定しています。実際には、これは非常にまれなことですが、エンジニアリングの観点からは逆の仮定を行っています。そのため、構成資産はリモートで無効にすることができます。さらに、適用可能な場合は完全なドライブ暗号化を適用します。

より一般的には、私たちの作業環境は、クライアントデータをワークステーション、ノートブック、携帯電話に永続的に保存する必要がないように設計されています。この設計により、他の予防措置が失敗した場合の構成資産の重要性が大幅に軽減されます。

6.19 人事（HR）ポリシーと/または手順は、管理者によって承認され、関係者に通知され、維持およびレビューするための所有者が指定されていますか？

はい、私たちの人事ポリシーと手順は上級管理職によって正式に承認されています。私たちは明確なコミュニケーションを重視しており、これらのポリシーと手順は完全な理解と遵守を確保するために、関連する関係者全員に広く普及されています。

さらに、ポリシーと手順の継続的なメンテナンス、更新、定期的なレビューを担当する所有者を指定しています。これにより、私たちの実践が現在の状況、関連業界の標準、および組織の目標と一致していることが確保されます。

6.20 組織に関連する個人が使用する、クライアントデータにアクセスできる会社所有のモバイルデバイス以外の個人所有（BYOD）のモバイルデバイスはありますか？

いいえ、Lokadは個人所有（BYOD）のモバイルデバイスでのクライアントデータへのアクセスを許可していません。私たちは従業員に高品質な会社所有のハードウェアを提供しており、個人デバイスの必要性を排除しています。この提供により、従業員が劣悪な会社のハードウェアに不満を抱いて自分のデバイスを使用する一般的なシナリオが解決されます。

さらに、私たちの運用プロトコルは、会社所有のデバイスでもクライアントデータを永久に保存しないように設計されています。すべてのデータ処理はクラウドベースのプラットフォーム内で行われます。従業員のデバイスでは、クライアントデータ（もしアクセスされる場合）は一時的にかつ最小限のセグメントで処理され、最大限のセキュリティが確保されます。

ノート