セキュリティホワイトペーパー

1   本書について                                             

1.1 本書の目的

本書は、株式会社ビットキー（以下、当社）が提供するサービスのご利用を検討されている企業様、または既にご利用いただいている企業様に、当社サービスをより安全に便利に気持ちよく、継続的にご利用いただくために、当社のセキュリティ対策への取り組みについて説明することを目的としています。

1.2 本書の対象となる範囲

本書では、当社組織としてのセキュリティ対策および、当社が提供するサービスであるbitlock MANAGER、homehub、workhub、bitkey platform及び関連するプロダクト（以下、当社サービス）におけるセキュリティ対策を対象としています。

2   事業概要とセキュリティへの取り組み

2.1 事業概要

当社は、デジタルコネクトプラットフォーム「bitkey platform」を開発し、認証技術を強みとして、スマートロック「bitlockシリーズ」をはじめとしたハードウェアデバイスおよび、人々の「暮らし/働く/非日常体験」の３つの場面での体験をアップデートするモバイルアプリおよびWebサービスの開発・販売・運用を行っています。

【Home事業】

新しいテクノロジーを用いたプラットフォーム「homehub」とスマートロック「bitlockシリーズ」を始めとしたサービス連動型のデバイスを提供しています。「暮らし」という側面でのあらゆる体験を、オールインワン・プラットフォームが支援します。

【Work事業】

あらゆる「仕事/働く」空間でのポテンシャルを最大化するために、ビルやオフィス内の設備、デバイスとソフトウェアを高度に連動させたプラットフォーム「workhub」を提供します。

「workhub」では、既存のビル設備への後付けや、これまで使っていた業務ツールとの連携も可能にし、低コストで効率的にワークスペースをアップデートします。

【Experience事業】

「ライブ」「ショッピング」「ホテル」「テーマパーク」といった非日常体験を対象にした事業です。これまで分断されていた一つひとつの体験をシームレスにつなげていきます。

2.2 セキュリティへの取り組み

当社では、セキュリティへの取り組みは当社の社会的責任であると認識し、お客様に安心して当社のサービスをご利用いただくために、ISMS（情報セキュリティマネジメントシステム）など第三者機関による認証を含むセキュリティ対策を実施しています。

2.3 利用者との責任分界点

2.3.1 責任共有モデルとは

責任共有モデルは、クラウドサービスを提供する事業者と利用者の管理権限に応じた責任分担の考え方であり、多くのクラウドサービス事業者にて採用されています。

当社は、パブリッククラウドベンターのインフラストラクチャを基盤に、SaaS型のサービスを提供しておりますので、セキュリティとコンプライアンスは利用者・クラウドベンター・当社の三者の間で分担して共有される責任となります。

2.3.2 株式会社ビットキーの責任

当社は、以下のセキュリティ対策を実施します。

• 当社サービスの構築・運用に伴うセキュリティリスク対策

• 当社サービスに保管・作成された利用者データの保護

• 当社サービスの提供に利用するクラウドサービス上のミドルウェア、OS、その他インフラストラクチャのセキュリティ対策

2.3.3 お客様の責任

お客様は、以下のセキュリティ対策を実施する必要があります。

• アカウントの適切な管理（登録、削除、権限の付与など）

• パスワード等、ログイン情報の適切な管理

• お客様ご自身で登録・作成された各種データの適切な取り扱い

3   ビットキーにおける情報セキュリティマネジメント

3.1　　情報セキュリティマネジメントポリシー

当社は、情報セキュリティマネジメントシステム（ISMS:Information Security Management System）の国際規格である ISO/IEC27001の認証を取得し、当社におけるセキュリティルールを確立し、継続的に運用、監視、見直しを行っています。

また、ISMSの適用範囲をクラウドサービスに拡張したISMS クラウドセキュリティ（ISO/IEC27017）に基づくISMSクラウドセキュリティ認証を取得し、当社のサービスの開発・運用プロセスにおいても継続的にセキュリティに対する取り組みを行なっております。

3.2　　従業員の教育

当社では、従業員を対象とする情報管理教育の一環としてe-Learningシステムを用いた定期的な教育を実施しています。具体的には当社の定めたセキュリティポリシーに基づき、その理解を深めるため、また、当社とお客様の事業に関わる業界で発生したセキュリティインシデントについての情報を収集し、自社独自の教育資料を作成・試験の実施を行っています。

3.3　　相談窓口

　当社サービスにおいては、ユーザー様のご相談をお受けする窓口を設置しています。

　各製品に対するご相談窓口と対応時間は下記の通りとなります。

4   オフィスのセキュリティ

4.1 安全な建物・部屋の選定

当社はISO/IEC27001認証に準拠した当社の定めた手順に基づいて、当社の管理する情報資産の保護を目的にオフィスを含む従業者の業務環境について審査、選定及び維持・管理を実施しております。

4.2 建物・部屋の防犯および入退室管理

当社は従業者の業務環境に対して、業務上アクセスする必要のある情報資産の重要度に応じて、当社セキュリティポリシーに従って建物や部屋、機器に区分を設け、当社製品であるworkhubを用いた入退室管理および監視などのアクセスコントロールを行っております。

5   アプリケーションのセキュリティ

5.1 開発におけるセキュリティ

当社のシステム開発においては、社内で定められたコーディング規約に従って実施されます。

また、当社開発チームは、サービス提供上で利用しているOS、ミドルウェア、ライブラリ等に関する脆弱性情報を定期的に収集しており、脆弱性パッチが公開された場合は、当社で規定している脆弱性対応ガイドラインに従ってテスト環境での検証を経た後、修正されます。

5.2 通信のセキュリティ

5.2.1 ネットワークの暗号化

お客様の端末と当社サービス間のインターネット通信は、SSL通信（SHA256,TLS1.2以上）により暗号化されております。

5.2.2 Bluetooth Low Energy（BLE）

お客様の端末と当社デバイス間の接続は、Bluetooth4.2に準拠されております。

5.3 ユーザー側管理機能

5.3.1 パスワード配布・管理

新規ユーザーは登録するIDとなるメールアドレスに、初期パスワードを登録するための、⼀意のURLを含むメールが送信され、ユーザーごとに任意にパスワード（最低8文字以上、大文字・小文字・数字・特殊文字が利用可能）の設定が可能です。

パスワードを3回連続で間違えた際には、アカウントロックが掛かる仕様となっております。

設定・利用方法の詳細は各サービスの利用マニュアルを閲覧してください。

5.3.2 情報のラベル付け

お客様は、オフィスや物件といった「空間」、「従業員（利用者）」、「デバイス」などについて個別に名称を付与することが可能です。また、名称を付与したグループを作成・利用して管理することができます。設定・利用方法の詳細は各サービスの利用マニュアルを閲覧してください。

5.3.3　アクセス権の管理

組織管理者権限を付与されたユーザーは各種機能の管理画面にアクセスすることが可能になります。また、デバイスのオーナーはスマートフォンアプリからスマートロック「bitlock」シリーズやその周辺デバイスの機能のアクセス制御を行うことができます。

詳しくはマニュアルをご確認ください。

5.3.4 利用者登録および削除

お客様は契約の範囲内において自由にアカウントの登録が可能です。個別のアカウントの削除につきましては提供するマニュアルをご確認いただくか、当社までお問い合わせください。

5.4 データ暗号化

当社サービスではデータベースに保管される情報は、暗号化されて保管されており、パスワードなど特に重要な情報は不可逆な暗号化（ハッシュ化）を行っています。

また、アクセス不要なサービスからはデータベースにアクセスできないようになっており、アクセスの記録を管理しています。

5.5 容量・能力の管理

当社サービスを構成するサーバー、ネットワークのリソースは24時間常時監視されており、利用状況の予測に基づいて設計した容量・性能等に（自動的に）リソースの追加・削減がなされます。

5.6 監視

5.6.1 監視体制

当社は、当社が提供するサービスの稼働状況並びに障害発生状況について24時間監視を行っております。

万が一お客様のご利用に支障がでる可能性が発生した際には、当社HPにてアナウンス、当社サービス内のお知らせ機能による通知、もしくは担当者よりご連絡させていただきます。

5.6.2 監視内容

当社サービスの提供に用いるアプリケーション、オペレーティングシステム、サーバー、ネットワーク機器の死活監視やリソース監視を実施しています。

異常検知時には、アラートが通知される仕組みを構築しております。

 - 監視項目（一部）

- ハードウェア監視

- サーバー死活監視

- サーバーリソース監視

- ネットワーク監視

- データベース監視

- ログ監視

- ジョブ／スケジュール監視

- セキュリティ監視

- その他

サービス提供に伴い、当社が利用しているシステムのステータス監視

また、当社サービス上における、「アクセス状況」「アクセス試行数」「情報のダウンロード状況」の他、「権限の付与」や「権限の変更」などについても監視を実施しています。

5.7 変更管理

重大な変更が行われる際には、サービス内のお知らせ機能による通知もしくは、弊社サポート担当から、ご連絡させていただきます。

6   脆弱性管理に関する情報

6.1 脆弱性情報の検知及び影響調査

定期的に第三者による脆弱性診断を実施し、対策しております。JPCERTコーディネーションセンター（JPCERT/CC）などによる脆弱性情報の公開、当社内セキュリティ対応チームによる脆弱性情報の検知もしくはお客様からのお問合せがあった場合は、影響調査およびその緊急度の判定を行います。

6.2 脆弱性検知時の対応

当社サービスに関連する脆弱性が検知され、当社における対処が必要であると判定した場合は、速やかに影響範囲を調査し、必要に応じてお客様にご報告させていただきます。

７   利用者データの保護及び第三者提供について

7.1 データの保管場所

お客様からお預かりするデータは、Google Cloud Platformのus-central1, asia-northeast1,asia-northeast2リージョン及び、Amazon Web Service のus-east-1, ap-northeast-1リージョンに保管されます。

7.2 バックアップ

データベースやストレージに保管される、お客様の各種情報（氏名、メールアドレス、各機能で利用するデータなど）は、日次でバックアップを取得しています。バックアップは、7世代分保管しています。

但し、お客様によるバックアップデータの復元やご提供等に関する要望は、承っておりません。

7.3　第三者提供について

利用者から預かったデータを適切に保護することは、当社の責任です。

ログデータを含む利用者データは、不正なアクセスや改ざんを防ぐため、各サービス開発チームの一部の人間しかアクセスできないよう設定されたアクセス権のもとで保管されます。

但し、裁判所からの証拠提出命令など、法的に認められた形で利用者のデータの提供を要請された場合、当社は利用者の許可なく、必要最小限の範囲で、利用者データを外部に提供する可能性があります。

7.4　解約時のユーザー様データの取り扱い

当社が提供するサービスの契約管理者様が当社の定めるサービス解約手続等を行った場合に、

お客様からお預かりしたユーザーデータを90日以内に削除します。この場合において、削除されたユーザーデータは、いかなる場合でも復旧することができません。

解約前であればCSVファイルでデータをエクスポートが可能でございます。

7.5 物理的な廃棄

データセンタにおけるストレージ機器や装置の処分に関してはクラウドベンダーの廃棄プロセスに従います。

8   外部サービス利用におけるセキュリティ

当社の提供するサービスでは、次に示す機能を運用するために、外部のクラウドサービスを利用しています。サービスの選定・運用時には当社の定めるセキュリティーポリシーに準じて審査及び監査を実施しています。

9   ログのクロック

当社サービス内で提供されるログは、UTC（世界標準時）で提供されます。

ログの時間同期には、各パブリッククラウドベンターにて内部的に提供される時刻同期(NTP)を使用しています。

10   セキュリティインシデント発生時の対応

お客様に影響を与えるセキュリティインシデント（データの消失、長時間のサービス停止等）が発生した場合は、速やかに影響するお客様に対して、メール等にてご連絡いたします。

情報セキュリティインシデント等に関する問合せは、以下窓口より受け付けております。

・support_ism@bitkey.jp

11   サポート

11.1 サービス提供時間

当社サービスは24時間365日利用可能です。

メンテナンスは原則無停止で実施しておりますが、万が一サービスの停止を伴うメンテナンスを実施する際には、予めサービス内のお知らせ機能などによるご案内、もしくはご担当者様にご連絡させて頂く予定です。

11.2 マニュアルの提供

お客様は各種サービス内から当社サービスのマニュアルを閲覧いただくことが可能です。

12   適用法令

お客様と当社との間の契約は、日本法に基づいて解釈されるものとします。

また、個人データ及び個人情報に関しても日本の法令、規則に準拠し保護しております。

13   認証資格

当社は、情報マネジメントシステム認定センターが運営する、ISMS適合性評価制度におけるISMS認証（※1）および、ISMSクラウド・セキュリティ認証（※2）を取得しています。

※1：https://isms.jp/lst/ind/CR_IS_x0020_731595.html

※2：https://isms.jp/isms-cls/lst/ind/CR_CLOUD_x0020_731596.html

14   改訂履歴

本書に関するお問い合わせ

株式会社ビットキー

サポート担当

Email：support_ism@bitkey.jp