Veevaセキュリティプログラム概要

Veevaは、お客様、従業員、コミュニティからの信頼維持を大切にしています。当社のソリューションは、お客様の専有情報、医療従事者の個人情報、患者/臨床試験参加者の個人情報、およびその他の機密情報(以下「データ」と総称)の保管と送信を伴います。当社は、このデータの機密性、完全性、可用性を維持する能力が自社の成功に不可欠であると理解しています。この概要では、当社のセキュリティプログラム、サードパーティサービスプロバイダーの使用状況、取得済みのプライバシー認証とセキュリティ認証について説明します。

安全対策 慣行

組織

手続き

当社は、役割、責任、ポリシー、手順を明確に定義した上で、文書情報のプライバシー、セキュリティ、およびリスク管理プログラムを維持します。当社のプログラムは以下の規格に基づいています。

  • ISO 9001:2015 – 品質マネジメントシステム
  • ISO/IEC 27001:2013 – 情報セキュリティマネジメント
  • SOC2 Type II – システムおよび組織コントロール
  • SEI能力成熟度モデル統合(v1.3)
  • ITインフラストラクチャライブラリ(ITIL)バージョン3
  • ICH Q9 – 品質リスクマネジメント

当社は、テクノロジー、規制、法律、リスク、業界慣行、セキュリティ慣行、およびその他のビジネスニーズの変化を反映するために、セキュリティプログラムを定期的に見直し、修正しています。

セキュリティ組織とセキュリティ管理

当社は、以下のことを目的としてセキュリティ管理に関する責任および説明責任構造を維持しています。

  • 情報セキュリティ体制の調整
  • 情報セキュリティ問題に関する連絡先の明示
  • セキュリティ体制の有効性の監視
  • 承認されたセキュリティ基準の維持

当社は、事業マネージャー、ユーザー、ITスタッフなどが情報セキュリティ責任を果たせるように、情報セキュリティ責任者を任命しています。

人材

役割と責任

当社は、運用システムの管理と制御、通信ネットワークの管理とサポート、新規システムの開発を含むすべての情報処理活動に対して、明確に定義された役割と責任を維持しています。コンピューター運用者およびシステム管理者の役割とアクセス権は、ネットワーク/システム開発人材から分離されています。

さらに、以下の手順を維持しています。

  • 情報処理活動の監督
  • 不適切な活動やエラーなどのリスクの最小化
  • セキュリティ管理が必要な役職への志願者の選別

トレーニング

当社は、役割に基づくセキュリティトレーニングとセキュリティ意識を向上するトレーニングの受講を義務付けています。また、現従業員および請負業者全員に対し、その後も隔年でセキュリティ意識向上に関するトレーニングの受講を義務付けています。特定の役割の従業員(顧客サポート担当者、開発者、採用マネージャーなど)は、さらに広範なデータセキュリティトレーニングを毎年受講しています。

ID/アクセス管理

アクセスポリシー

当社は、最小権限の原則を採用して文書化したアクセスポリシーに従って、システム、アプリケーション、および関連情報へのアクセスを割り当てています。これらの権限は、自動化された手段を通じて実施されます。スタッフは、システムにアクセスする前に承認を得る必要があります。当社は、コマンドおよび統制機能に安全な技術を使用しています(TLS、SSH、SSL対応のFTPやVPNなど)。

権限

アクセスメカニズムは、安全かつ適切なセキュリティ慣行に沿って動作します(パスワードの非表示、暗号化形式でのパスワード保存など)。権限付与手順は正式に規定されており、以下をはじめとする商業上の標準的な規律に準拠しています。

  • 特別なアクセス権限の発行に対する高度な制御の確立
  • 不要になった権限の確実な解除

認証

当社は、業界標準の慣行を用いて承認されたユーザーを識別および認証しています。認証方法はビジネスリスクに合わせて調整されます(例えば「高リスク」のユーザーには強力な認証が適用されます)。パスワードは業界標準に従い管理しています。

サインオンプロセスにより、個人の説明責任がサポートされ、以下のアクセス規律を実施します。

  • 不正利用を助長する恐れのある情報は表示しない
  • サインオン情報がすべて入力された後にのみ認証する
  • サインオン試行の失敗が所定の回数に達した場合、ユーザーを切断する
  • パスワードの定期的な変更を要求する

アクセスログ

当社は、問題を引き起こす事象の診断と個人の説明責任を可能にするために十分な情報を提供するよう設計されたアクセスログを保持します。また、ログの定期的な検査を実施して不正なアクセスや変更の痕跡がないかを確認しています。

セキュリティ
アーキテクチャ

当社は、セキュリティアーキテクチャを構築し、情報リソース全体にわたって適用しています。アーキテクチャは、定義された一連のセキュリティメカニズムと関係基準で構成され、以下の特徴があります。

  • さまざまなレベルの保護を必要とする情報リソースをサポート
  • 技術環境内および技術環境間の安全な情報フローを実現
  • 許可ユーザーにさまざまな技術環境で情報リソースに効率的にアクセスする手段を提供
  • ユーザーの退職または転職時に該当ユーザーのアクセス権限を取り消し可能

当社は、重要情報資産とその処理に使用されるアプリケーションの在庫を管理しています。また、データのプライバシー、機密性、セキュリティ、完全性、または可用性に影響を与える可能性のある業務慣行または技術慣行に重大な変更があった場合は必ず、情報セキュリティリスク評価を実施します。

物理および環境

物理的アクセス

当社は、サードパーティのデータセンタープロバイダーがデータのホスティングに使用する機器や設備の紛失または損傷を防ぐために、以下をはじめとする対策を講じていることを保証します。

  • 物理的アクセスを許可された者に制限する
  • 必要に応じて警備員が立ち会う

中断からの保護

当社の実稼働環境では、以下のために特別な装置を活用しています。

  • 停電/電源障害からの保護
  • 停電発生時の資産の迅速な復旧の実現
  • 損害または侵害からの電源、ネットワークインフラストラクチャ、および重要システムの保護
  • 自然災害または意図的な攻撃からの建物の保護

ネットワーク通信
/システム管理

ファイアウォール

当社は、業界標準のファイアウォールテクノロジーを導入しています。また、ファイアウォールルール(アクセス制御メカニズム)とルールの変更を管理する手順を採用しています。

実稼働用の情報リソースは、システム開発用または受け入れテスト用の情報リソースから分離されています。

ウイルス/マルウェア対策管理

当社は、ウイルスやその他の形式の悪意あるコードの拡散を検知して防止するために、最新のソフトウェアと関連手順を導入しています。これらの管理策は、ホスト型アプリケーションの開発と提供に使用される内部コンピューティング環境にのみ適用されます。

許容される使用ポリシー

  • インターネットの使用は、企業全体に適用される明確なポリシーと標準によって管理されています。
  • インターネットに接続されたシステムを含む重要システムを保護するために、ネットワークおよびホストベースの侵入検知サービスを使用しています。

サービス妨害(DoS)

当社は、データセンターインフラストラクチャプロバイダーがDoS攻撃に対する適切な対策を採用し、展開していることを保証します。

メディアの管理と消去

不要になったデータや許可されなくなったデータは、業界標準のプロセスとテクノロジーを利用して永久に削除します。

暗号化

当社は、信頼できないネットワークを介して伝送されるデータに対して、最小トランスポート層セキュリティ(TLS)v1.2に対応した業界標準の暗号化トランスポートプロトコルを使用しています。保存データは、AES(Advanced Encryption Standard)256暗号化または同等のアルゴリズムを使用して暗号化しています。

脆弱性テストと
侵入テスト

当社は、脆弱性を特定し、アプリケーションを保護するために、アプリケーション、データベース、ネットワーク、リソースの監視を実施しています。当社のソリューションには、リリース前に内部脆弱性テストが実施されています。また、独自の内部侵入テストシステムを構築しており、少なくとも年1回、自動および手動にてソフトウェアの脆弱性評価を実施しています。

さらに、サードパーティのセキュリティ専門家に依頼し、システムの脆弱性テストと侵入テストを毎年実施しています。インターネットに接続されたシステムには、脆弱性スキャンを定期的に実施しています。

事業継続と
災害復旧

当社のソリューションは、業務中断の可能性を低減するために単一障害点を回避するように設計されています。当社は、自社のITインフラストラクチャと、顧客データを処理する実稼働インフラストラクチャの両方に重大な業務中断が発生した場合に開始できる、正式に文書化された復旧プロセスを維持しています。また、復旧プロセスの有効性を検証するために、少なくとも年1回、テストを実施しています。

さらに、1か所のデータセンターで災害が発生した場合のデータ喪失を最小限に抑えるために、さまざまな災害復旧対策も実施しています。当社は、サービスの中断を最小限に抑えるために、冗長構成を使用してソリューションを設計しています。また、ソリューションに障害の兆候や差し迫った障害がないか継続的に監視し、予防策を講じてダウンタイムの最小化または防止に努めています。

インシデント対応

インシデントは、専任チームによって正式なインシデント対応ポリシーおよびプロセスに従って管理されます。担当者は、セキュリティインシデントが発生した場合、いかなる場合も直ちに報告できるように訓練されています。また、メンテナンスによるサービス停止の予定、データセンターのインシデント、セキュリティコミュニケーションを表示する「Veevaセキュリティプログラム概要」を公開しています。

ソフトウェア開発
ライフサイクル

当社は、すべてのアップデート、アップグレード、パッチを含め、ソフトウェアの開発と変更を管理する業界標準のソフトウェア開発ライフサイクルプロセスおよびコントロールを維持しています。プロセスには安全なソフトウェア開発慣行に加え、アプリケーションのセキュリティ分析およびテストが組み込まれています。

サプライヤー

当社は、自社業務およびお客様へのソリューションの提供において、サードパーティのデータセンター、クラウドベースのサービス、その他のサプライヤーを利用しています。これらのサプライヤーに対し、提供するサービスの種類やアクセスできる情報の種類に基づいて、必要に応じて、秘密保持契約、データ処理契約、業務提携契約などの下流契約を当社と締結することを要求しています。また、データセキュリティに関するアンケート調査に回答することも要求するほか、サプライヤー自体のセキュリティプログラムの能力と適切性を保証するためにリスク評価を実施しています。さらに、リスクベースアプローチを適用してサプライヤーのセキュリティ体制を定期的に審査しています。

当社サプライヤーは、それぞれ独自のセキュリティプログラムを維持しています。この概要では、当社サプライヤーのセキュリティプログラムについては説明しません。

認証

ISO27001

ISO(国際標準化機構)27001

Veevaは、情報セキュリティマネジメントシステム(ISMS)についてISO(国際標準化機構)27001認証を、またプライバシー管理についてISO27018認証を取得しており、認証書に記載された弊社のあらゆる製品および支援設備が対象となっています。ISO 27001は、国際的に認められているセキュリティ基準で、組織のデータ保護の方針・管理について指針を示すものです。本基準は、リスクベースの情報セキュリティマネジメントシステムの開発・展開・管理に向けた体系的な取り組みについて、国際的合意を得た要件や最良事例を提示しています。ISO 27018は、クラウドサービスのプライバシー管理に重点を置いた、国際実施基準です。

サービス委託機関の管理

Veevaは安全性、秘匿性、可用性の管理に関し、第三者機関によるコンプライアンス監査を定期的に行っています。VeevaはSecurity and Availability Trust Service Principles(TSPs:安全性と可用性に関する信託業務基準)に基づき、Service Organization Controls 2(SOC2:サービス委託機関の管理規約 2)様式IIの報告書を発行しています。Veeva データセンターおよびサービス会社も同様に、SSAE16 SOC1様式IIとSOC3(Sys Trust)報告書を発行しています。これらの報告書によりVeevaがデータセンターの運営に関し、設備の設置、ハードウェア、ネットワーク、ファイアウォールなどの運営と監視などにおいて、安全で信頼性があり、高品質な運営基準を持っていることが明確になっています。これらの報告書の配布先は限定されており、守秘協定(CDA)の下で保持することが許されています。希望者は各人が所属するVeevaアカウント担当役員やカスタマーサービスの代表者を通じて資料を請求してください。