You are here

ja-jp-min-sec-cont-annex

Primary tabs

最低限のセキュリティ管理付録

以下の最低限のセキュリティ要件は、ナイキが、ナイキ・データを取り扱う委託先業者の情報技術システムに期待する保護の水準の指針とされることが意図されている。これらのセキュリティ要件は、一般に認められた情報セキュリティ慣行及び情報保護ガバナンス慣行に基づいている。

本セキュリティ要件は、(1)ナイキのシステム及びネットワークと統合され、又はナイキ・データを取り扱う全ての委託先業者のシステム及びネットワーク(委託先業者要員等のシステム及びネットワークを含む。)、並びに(2)あらゆる形態のナイキ・データに適用される。委託先業者は、ナイキの供給業者リスク評価プロセスを完了した旨を表明及び保証し、委託先業者によって評価において特定されたあらゆる安全装置及び管理を維持し、付録Cにおいて義務付けられる更なる措置を講じるものとする。

1.     ポリシー及び手順

1.1           委託先業者は、ポリシーの作成、維持、見直し、承認及び関係者への伝達のための確立されたライフサイクル・プロセスを維持する。 これには、アプリケーション及びインフラストラクチャ開発基準、セキュリティ・ポリシー、データ・ストレージ、インシデント管理並びにIT運用管理などが含まれる。

1.2           委託先業者は、文書化され、承認され、毎年見直され、関係する委託先業者人員に伝達される、ベースライン・セキュリティ構成の定義及び保守のためのポリシー及び手順を実施及び維持する。

1.3           委託先業者は、企業の情報セキュリティ・マネジメント・システム(ISMS)及び以下を定めたセキュリティ・ポリシーを実施及び維持する。

(a)        分離された情報セキュリティ(以下「IS」という)の役割と責任

(b)        ISの役割と重要性

(c)        ポリシーの目的 

(d)        従業員及び第三者のセキュリティ責任

(e)        プライバシー及びデータ・セキュリティを含む規制要件

委託先業者は、かかるポリシーが適切なレベルのシニア・マネジメントによって承認され、関係する委託先業者人員に伝達されていることを確保する。 

1.4           委託先業者は、以下を含む暗号鍵の生成、配布及び保管のための手順を実施及び維持する。すなわち、強力な鍵の作成、安全な方法を用いた配布、鍵の安全な保管、定期的な鍵の交換(暗号期間)、鍵の期限切れ管理及び漏洩の疑いがある場合の鍵の失効又は変更。

2.     資産管理

委託先業者は、文書化され、実施され、委託先業者人員に伝達される、資産の識別、分類及び管理(調達から廃棄まで)に関するポリシー及び手順を実施及び維持する。

3.     事業継続性及び災害復旧

3.1           委託先業者は、文書化され、承認され、毎年見直され、委託先業者人員に伝達される事業継続性及び災害復旧のためのポリシー及び手順を実施及び維持する。

3.2           委託先業者は、有害事象が生じた場合に、運用を維持するために、重要なシステムが特定され、文書化され、手順が整備されていることを確保する。

3.3           委託先業者は、(a)自動化され、所定の承認されたスケジュールに従って行われるバックアップ、(b)バックアップ・ジョブ・エラーが生じた場合に生成され、迅速に処理されるアラート及び(c)システム障害又はデータ破損が生じた場合における回復力についての保証を得るために定期的にテストされるバックアップ・プロセスを実装し、維持する。

4.     変更管理

4.1           委託先業者は、文書化され、承認され、毎年見直され、委託先業者人員に伝達される包括的な変更管理ポリシーを実施し、維持する。システムの各レイヤー(アプリケーション、データベース、オペレーティング・システム、仮想化テクノロジー及びマイクロサービス。)について、ポリシーには変更の種類、承認要件及びテスト要件を定めなければならない。

4.2           委託先業者は、実働システムに変更が加えられる前に、見直し、承認及びテストのための確立された変更管理プロセスにしたがってシステム/アプリケーションの変更を行う。

4.3           委託先業者は、変更管理ポリシーに沿って、要求され、承認され、実施され、証拠が保持される緊急の変更を行う。

5.     人員のセキュリティ

5.1           委託先業者は、委託先業者人員がナイキ・データを取り扱うこと又はナイキのコンピューター・ネットワーク、情報システム、データベース、セキュア・アプリケーション又はナイキの施設の非公開エリアにアクセスすることを許可する前に、(適用法で認められる範囲で)すべての委託先業者人員についての適切な身元調査(犯罪歴チェックを含む。)を実施する。委託先業者は、重罪又は暴力若しくはハラスメントを含む特定の反復的な軽犯罪について有罪判決を受けたことのあるいかなる委託先業者人員もナイキの施設の非公開エリアにおいてサービスを提供することがないことを確保するものとする。

5.2           委託先業者は、すべての委託先業者人員がナイキ・データを取り扱う前に充分かつ適切なプライバシー及び情報セキュリティ研修を無事に完了し、委託先業者要員等が充分かつ適切なプライバシー及び情報セキュリティ研修を自己の人員に対して定期的に提供することを義務付けられることを確保するものとする。

5.3           全ての委託先業者人員は、ナイキ・データを機密に維持すること、及び委託先業者の情報セキュリティ・ポリシー及び手順に従うことを要求されなければならない。 委託先業者は、(a)委託先業者が定める情報セキュリティ・ポリシー及び手順の遵守を求めるために管理監督を行い、(b)委託先業者が定める情報セキュリティ・ポリシー及び手続違反に対して懲戒処分(解雇を含む。)を行わなければならない。

6.     情報セキュリティ

6.1           委託先業者は、自己のネットワーク、アプリケーション(データベースを含む。)、インフラ及びプラットフォームのセキュリティを確保するものとする。

6.2           委託先業者は、アプリケーションレベルで、コンフリクトのある活動が分離され、定期的に見直されることを確保する。これには以下の事項が含まれる:

6.2.1       委託先業者は、実稼働環境から分離された開発環境で開発を行うこと。

6.2.2       アプリケーション管理は、アクセス権管理から分離されること。

6.2.3       データベース管理(及びその他の形態の直接データ更新特権)は、アプリケーション管理、セキュリティ管理及び開発業務を遂行する委託先業者人員から分離されること。

6.2.4       アクセス権を承認する委託先業者人員は、委託先業者のシステムでアクセス権を許諾する人とは別の者とされること。 

6.3           委託先業者は、アプリケーション、データベース、データベース管理システム、オペレーティング・システム、支援システム及び関連するネットワークを含む重要なシステム及びネットワークについて、1年毎に包括的なリスク評価を実行しなければならない。委託先業者は、結果に従って、プロセス又はコンフィギュレーションを調整し、定期的に結果を再検討しなければならない。

6.4           委託先業者は、機密度に応じて適宜データが保護されるようにポリシー及び手順を実施し、維持する。

6.5           委託先業者は、アクセスが限定される安全な場所にシステム・ファイル及びソースコードを保管する。

6.6           委託先業者は、アプリケーション、データベース及びオペレーティング・システムの各レベルの情報技術へのアクセス要求は、適切な委託先業者の管理者によって検討され、承認されることを確保する。

6.7           委託先業者は、特定の委託先業者人員又は委託先業者要員等の状況(解雇、異動。)に変更があった場合、適切な措置が講じられるようにするため、システムから委託先業者の経営管理者に警告されることを確保する。

6.8           委託先業者は、委託先業者人員又は委託先業者要員等の職務が、システム(アプリケーション、データベース及びオペレーティング・システムのレベル。)へのアクセスを必要とする職務でなくなった場合、委託先業者人員又は委託先業者要員等によるアクセスを速やかに削除されることを確保する。

6.9           委託先業者は、完全で正確なアカウントの集計を利用して、定期的にユーザー・アカウントとシステム・アカウントの両方について、資格審査を実施する。

6.10        委託先業者は、委託先業者によって提供及び/又は使用されるシステム・アーキテクチャ(クラウド・ストレージ又はインフラストラクチャを含む。)に相応しい安全なコンフィギュレーションのための業界基準に適合する境界セキュリティ管理、及び状況に応じて連携セキュリティ管理を実施し、維持する。

6.11        委託先業者は、業界基準及びクラウド・プロバイダーの推奨事項に沿って、クラウド・リソース、サービスとしてのソフトウェア、及びウェブ・アプリケーションのセキュリティのためのベスト・プラクティスを実施及び維持する。委託先業者のセキュリティ義務の範囲を制限するものではないが、ナイキがかかるリソースのための最小構成管理要件を提供する場合には、委託先業者はかかる要件を遵守しなければならない。

6.12        委託先業者は、委託先業者によって提供及び/又は使用されるシステム・アーキテクチャに相応しい境界管理(例えば、ソーシャル・エンジニアリング、倫理的ハッキング等。)の定期的な評価を実行又は委託する。これには1年毎の侵入テスト並びに四半期ごとの脆弱性スキャンが含まれる。

6.13        委託先業者は、オペレーティング・システム、データベース、ネットワーク・デバイス及び境界管理システム(例えば、ファイヤーウォール。)を含み、システム構成の定期的な評価及び監視を実施する。

6.14        委託先業者は、ウイルス及び/又はマルウェア対策ソフトウェアをインストールし、最新のものに更新して、維持する。

6.15        委託先業者の情報技術セキュリティ管理では、オペレーティング・システム、アプリケーション及びデータベースのレベルで、セキュリティ活動が監視され、記録される。発見されたセキュリティ違反については、委託先業者のシニア・マネジメントに報告される。

6.16        委託先業者(又は委託先業者要員等)は、ナイキ・データが取り扱われる建物及びデータセンターにおいて、物理的及び環境的セキュリティ管理を実施し、維持する。これには、アクセス管理のための適切な電子システム、セキュリティ監視及び熱/煙検知が含まれる。

6.17        委託先業者は、紙ファイル、サーバー、コンピューティング装置及びバックアップ・システムが維持されている自己の施設の物理的なセキュリティを確保するものとする。

6.18        委託先業者は、パソコン、ラップトップ、デスクトップ又はその他のストレージ機器(携帯機器を含む。)を紛失又は盗難から保護するものとする。

6.19        ナイキ・データを取り扱う場合、委託先業者は適用されるルール等に従ってナイキ・データを保護し、取り扱うことを確保する。

6.20        委託先業者は、技術的に実現可能であり、且つ、ビジネス要件によって決定される場合には、仕事の分類と機能に基づいて委託先業者人員に特権を割り当てる職務に基づくアクセス管理を実施及び維持し、かかる者の知る必要性に基づいてアクセスを制限する。

6.21        委託先業者が管理するユーザー、特権及びサービス・アカウントでは、委託先業者人員のみがナイキ・データ及びナイキ・データを取り扱うシステム・コンポーネントへのアクセスを提供され、パスワード保護のためのベスト・プラクティスによって保護されていなければならない。これには、以下の事項が含まれる:

(i)                 パスワードの最小文字数

(ii)                無効なログインの試行及びセッションのアイドル時間後のロックアウト

(iii)              最小ロックアウト期間

(iv)              パスワード再使用

(v)                パスワードの複雑さ 

6.22        委託先業者は、特権アクセスを提供するため又はシステム・コンポーネントを管理するために、共有の、汎用の又はシステムが生成するIDを使用しない。

6.23        委託先業者は、システムID又はアカウントの指定された所有者以外の誰ともパスワードを共有してはならない。

6.24        委託先業者は、ソーシャル・エンジニアリングによって委託先業者人員のアカウントにアクセスされるのを防止するため、自己のITサポートサービスに、パスワードのリセットのための身元確認又はアクセス・トラブルシューティングを含む適切な措置を取ることを要求する。

6.25        委託先業者は、ナイキ・データへの許可されるリモートアクセス方法を文書化し、使用制限を定め、不正なリモートアクセスを監視し、リモートアクセス・セッションの機密及び完全性を保護するために暗号を使用し、一定期間使用されない場合には自動的にリモートアクセス・セッションの接続を切断することによりリモート接続を保護する。

6.26        託先業者は、暗号を使用する場合には、国立標準技術研究所(NIST)の暗号基準に基づく強力な暗号とセキュリティ・プロトコルを使用する。暗号鍵へのアクセスは、必要最小限の管理人に制限され、できるだけ少ない場所に、できるだけ少ない形式により安全に保管される。 暗号鍵は、鍵を暗号化するデータとは分離して保管される鍵暗号鍵を用いて暗号化され、鍵はNISTの暗号期間のベスト・プラクティスに従って変更される。

6.27        委託先業者は、保管時又は転送時においてすべてのナイキ・データが業界標準又はそれ以上の暗号によって保護されることを確保するものとする。本サービスを提供するために必要でない限り、委託先業者は、ナイキ・データをロック解除、リバースエンジニアリングせず、その他ハッシュ化、暗号化又は匿名化されたナイキ・データを漏洩しない。

6.28        託先業者は、適切なシステム、デバイス及びプロセスでのセキュリティ・ログのためのベスト・プラクティスを実施し、維持する。これには、疑わしい不正活動の監視、ログの分離及び保護、並びに時間に基づく関連付けが含まれる。  委託先業者は、システム、デバイス及びアプリケーションのセキュリティ・ソフトウェアのパッチ及びアップデートの適時の検討及びインストールのためのプロセスを実施し、維持する。

6.29        委託先業者は、ビジネス及び脆弱性管理活動の過程で判明した脆弱性を適時に修復するプロセスを実施、維持する。

6.30        委託先業者は、以下を用いることを含め、オープンネットワーク経由での伝送中、ナイキ・データを保護する。オープンな公共ネットワーク経由での伝送中、ナイキ・データを保護するための強力な暗号化及びセキュリティ・プロトコル及び   ワイヤレスネットワーク経由でのナイキ・データの認証及び伝送のため、又は機密ネットワークに接続するための強力な暗号化を実装するための業界ベスト・プラクティス。

6.31        委託先業者は、ラップトップ、携帯電話及び記憶媒体を含むナイキ・データが保管され、又は取り扱われるあらゆるデバイスのセキュリティに関するポリシー及び対策を実施し、維持する。委託先業者は、ナイキの書面同意を取得し、かつ、機器が業界標準の暗号化によって保護されていない限り、いかなるラップトップ、タブレット、フラッシュ・ドライブ、携帯電話その他同種の携帯機器にもナイキ・データを保存しないものとする。

6.32.       委託先業者は、少なくとも12か月にわたり、メディア、アプリケーション、オペレーティング・システム及び装置(すべてのアクセス及び流出のロギングを含む。)内における認証及びアクセス制御メカニズムを実施及び維持し、当該アクセス制御ログを保管するものとする。

6.33.       委託先業者は、ネットワーク・ベースの侵入防止及び検知メカニズムを使用して侵入防止及び検知システムを実施及び維持するものとする。

6.34.       委託先業者は、ナイキ・データ及び非ナイキ・データの2種類の情報が1つのシステム上で混合しないように、ナイキ・データの非ナイキ・データからの厳格な物理的又は論理的分離を確保するものとする。

7.     プロジェクト管理

7.1           委託先業者は、セキュアなソフトウェア開発を含め、経営者によって承認され、委託先業者人員に伝達されているシステム開発のライフサイクルを実施し、維持する。

7.2           委託先業者は、(a)自己の製品及びサービス、並びに(b)ナイキのためのあらゆるサービス及び成果物の設計、開発、保守、強化及び廃止にあたって、セキュアな開発慣行を用いなければならない。かかるセキュアな開発慣行は、OWASPトップ10、ISO27002及びソフトウェア工学研究所のCERTディビジョンなどの機関による安全コーディング指針などの業界基準に適合しているものでなければならない。上記の一般性を制限することなく、かかるセキュアな開発慣行は、(1)セキュリティ役割及び責任の分離、(2)開発、テスト及び製造環境の分離、(3)製造環境への配備の前のテスト環境におけるセキュリティ・テスト、(4) テスト環境におけるセンシティブデータ及びナイキ・データの使用に係る禁止、(5)セキュアな開発方針の策定、(6)セキュアな開発手法及び言語専用の安全コーディング指針の策定、(7) セキュリティ・テスト及び検証を含む正式な管理プロセスの変更の実施 (8)開発者のための安全な開発トレーニング、及び(9)データ又はシステムの重要性の検討を含む。

7.3           委託先業者は、適切な品質保証、ユーザー受入テスト及び安全なアプリケーション・コード・レビューを実施し、維持する。

8.     インシデント対応

8.1           委託先業者は、検知、封じ込め、回復、エスカレーション及び通知プロセスを含むインシデント対応ポリシー及び手順を実施し、維持する。

8.2           委託先業者は、関連する委託先業者要員等(たとえば、クラウド・プロバイダー。)とのインシデント対応活動を定期的にテストする。

9.     委託先業者の管理

9.1           委託先業者は、委託に先立ち、委託先業者要員等のセキュリティ慣行について合理的な調査を行い、本契約及び適用されるルール等に従ってナイキ・データを保護する再委託先業者の責任を定める規定を含む委託先業者要員等との契約を維持する。

9.2.         委託先業者が本サービスを提供するために第三者のクラウド・プロバイダーを用いる場合、当該第三者クラウド・プロバイダーは、委託先業者要員等とみなされる。委託先業者は、第三者クラウド・プロバイダーが使用された場合、委託先業者と第三者クラウド・プロバイダーとの間においてセキュリティ責任が共有されるものとみなされることを確認し、合意する。委託先業者は、クラウド・プロバイダーによって推奨される全てのセキュリティベスト・プラクティス以上の水準を確保し、上記の最低限の要件をかかるクラウド環境に保存されるナイキ・データに適用しなければならない。

Agreement Type: 
Locales: 
UxIDs: 

User login