セキュリティ要件

Seagateおよび会社は、参照により本セキュリティ要件が組み込まれる基本契約、発注、またはその他の契約文書の形式で、物品および/またはサービスの購入に関する契約（総称して「契約」）を締結しています。本契約で定義される用語はすべて、当該セキュリティ要件において別途定義されない限り、本来の意味を保持します。本契約において「Seagate」、「クライアント」、「顧客」または同様の言及はすべて、本契約に明記されるSeagate社を指します。本契約における「プロバイダ」、「請負業者」、「会社」、またはこれらに類する言及はすべて、本契約に明記される本会社を指します。

会社は、以下のセキュリティ要件に同意します。

1. 定義
   1. 「外部ソリューション」とは、Seagateの自社インフラを除いたサードパーティ・プロバイダにより管理およびホストされるサービス、アプリケーション、ソフトウェア、またはサービスを指します。外部ソリューションは、すべてのメンテナンス、アップデート、およびセキュリティに責任を負います。Seagateはインターネットを介して外部ソリューションにアクセスし、外部ソリューションに依拠してシステムのパフォーマンス、可用性、およびサポートを確保します。
   2. 「Seagateのデータ」とは、Seagateの個人情報（以下に定義）、知的財産、企業秘密、またはその他のデータを含むデータで、両当事者および/または関連会社の間のあらゆる契約に関連してSeagateによって、あるいはSeagateのために作成、所有、または提供され、会社がアクセス、取得、使用、保持、あるいは処理するものを指します。
   3. 「Seagateの個人情報」とは、明記された、または特定可能な自然人に関連する情報で、両当事者および/または関連会社間のあらゆる契約に関連して、Seagateによって、もしくはSeagateのために作成、所有、または提供され、会社がアクセス、取得、使用、保持、または処理するものを指します。
   4. 「Seagateデータ・プライバシー契約」とは、https://www.Seagate.com/legal-privacy/electronic-and-physical-security-and-data-protection/にある規約を指します。ただし、両当事者が本契約で定義されるSeagateデータ・プライバシー契約以外のデータ・プライバシー規約に合意した場合、Seagateデータ・プライバシー契約への言及は、本契約で相互に合意したデータ・プライバシー規約を指すものとします。
   5. 「セキュリティ侵害」とは、(a) 会社による適切な取扱い、管理、保管、破棄、その他の管理の不備、もしくは会社による不正アクセスまたは開示を意味し、以下のものが対象となります。(i) あらゆる形式のSeagateデータ、(ii) 機密保持契約または同様の契約に基づいて保護され、機密扱いと明記されたあらゆる形式のサードパーティの企業情報、または (iii) サービス・パスワード・ディレクトリの情報、(b) 当社のプライバシー方針に対する意図しない違反、または適用されるデータ・プライバシー法もしくは規制に違反することになる不正流用、(c) Seagateデータの不正開示につながる可能性が合理的に高い、かかる立場にある当社によるその他の作為、過失、または不作為。
   6. 「Seagateシステム」とは、本契約またはその他のSeagateとの契約の履行に関連して、Seagateが当社（またはその下請業者もしくは代理店）に提供し、または利用に供するネットワーク、コンピューティング機器、アプリケーション、もしくはソフトウェア・プログラムを指します。これには、工学機器および製造機器、テスト機器、ネットワーク機器、コンピュータ・システム、ソフトウェア、およびSeagateシステムの適切な機能またはサービスの提供を目的としてSeagateが入力または実装する設定パラメータが含まれますが、これらに限定されません。
   7. 「エンクレーブ・システム」とは、会社が指定した場所（製造拠点、構成エリアなど）に配備されたSeagate管理機器を指します。Seagateエンクレーブは、Seagateが管理するファイアウォールおよびネットワーク・アクセス制御 (NAC) スイッチを介して、Seagateの内部ネットワークを会社拠点に安全に拡張します。当該スイッチには厳格な接続ポリシーが適用され、Seagateが承認したデバイスやシステムなど、接続先を登録アセットのみに制限します。会社施設内のSeagateが管理する本環境では、Seagateのアセットおよびデバイスは、Seagateの会社ネットワークと安全に直接通信することができます。
   8. 「非エンクレーブ・システム」とは、会社が指定するユーザーが、同社の拠点にありSeagateが管理または所有する物理的な機器を使用せずに、アプリケーションにリモート・アクセスする場合を指します。これには次の2種類のシナリオがあります。
      1. VPNトンネルによる非エンクレーブ：Seagateのネットワーク資産として管理または制御されていない、会社拠点にある会社所有のプリンタに対し、Seagateの社内システムから直接印刷ジョブを送信するなどの特殊な用途を目的として、会社が指定した特定の拠点に発信専用のダイレクトVPNトンネルを整備、管理している場合。当該VPNトンネルでは、厳密に発信トラフィックのみがサポートされます。
      2. ダイレクト・ネットワーク接続のない非エンクレーブ：Seagateのネットワークから完全に隔離された会社指定のネットワークであって、Citrix Workspaceやその他の安全なインターネット・ベースのポータルなど、Seagateがホストするインターネット・プラットフォームにアクセスが限定されている場合。当該シナリオでは、会社にはビジネス・パートナー・アカウント・サービス（以下、「BPAS」）のシステムを介してアクセスが提供されるため、Seagateと会社のインフラストラクチャの間にネットワーク層のダイレクト接続はありません。
2. 一般的なデータ・セキュリティ要件
   1. 会社は、技術的および組織的なセキュリティ保護の手段を含む、包括的な書面による情報セキュリティ・プログラム（以下、「WISP」）を策定、維持するものとし、これにより偶発的な、不正な、もしくは違法な使用、破棄、紛失、改変、開示、アクセス、またはその他の不正な処理からSeagateデータ（本件セキュリティ別紙に定義）を保護します。WISPは、Seagateデータ・プライバシー契約を含む、Seagateとの契約で指定された要件に準拠している必要があります。会社は、要請に応じてSeagateにWISPの謄本を、契約期間中の更新内容を含めて提供するものとします。WISPは、関連サービス、統制、プロセスとともに業界標準、SOC 2、ISO 27001またはNISTなどの知名度のあるセキュリティ・フレームワークに準拠し、包括的なリスク管理、データ保護、および規制遵守を徹底する必要があります。
3. 必要な報告書および証明書
   1. SOC 1 Type 2報告書。会社が財務報告関連のSeagateデータを含むサービスを提供する場合、会社はSeagateに対し、かかるサービスに関するSOC 1 Type 2報告書を提出する必要があります。本報告書には、提供を受けるサービス専用の会社の基準および統制がすべて記載されている必要があります。会社は、(a) サービス開始前、および (b) 毎年6月15日までに、SOC 1 Type 2報告書の謄本1部をSeagateに提出するものとします。報告書にはSeagateの会計年度の9か月以上の範囲を記載し、報告範囲の期間終了後90日以内にSeagateに提出する必要があります。
   2. SOC 2 Type 2報告書。会社が外部ソリューションを含むサービスをプロバイダが提供する場合、会社はSeagateに対し、かかるサービスに関するSOC 2 Type 2報告書を提出する必要があります。本報告書には、提供を受けるサービス専用の会社の基準および統制がすべて記載されている必要があります。会社は、(a) サービス開始前、および (b) 要請に応じて年に1回、SOC 2 Type 2報告書の謄本1部をSeagateに提出するものとします。
   3. SOCブリッジ・レター。要請に応じて、SOC監査期間外のセキュリティ統制の継続性を確認するために、SOCブリッジ・レターを提出します。
   4. ISO 27001。会社が外部ソリューションを含むサービスを提供している場合、会社は要請に応じて、外部ソリューションを含むサービスのISO 27001認証を提出する必要があります。
   5. ISO 20243。a) Seagate製品の構築、テスト、製造、サポートに使用する目的で、製品化されている製品をSeagateに提供する場合、または、b) Seagateの製品化された製品を基盤にサービスを実行する場合、会社はOpen Trusted Technology Provider Standard (O-TTPS) 認定としても知られるISO 20243に準拠した認定を取得し、これにより悪意のある劣化製品や偽造製品が混入する可能性を軽減するものとします。この認定は、自己評価による認定、または信頼できる独立監査官の評価（その十分性はSeagate独自の裁量で評価）に基づく認定のいずれかになります。または、会社の書面による要請をSeagateが書面で承認した場合、会社は、安全な開発およびサプライ・チェーンの実践の取り組みと実質的に同等の業界標準に準拠しているという証明を得られます。
   6. PCIへの準拠。会社が決済カードの処理を含むサービスを提供する場合、会社はPCIデータ・セキュリティ基準に準拠していることを証明する証拠を、要請に応じて提供する必要があります。
4. Seagateデータ
   1. セキュリティ方針と手順。不正アクセス、盗難、開示の防止を目的として諸方針を整備し、Seagate Secureデータが安全に収集、ホスティング、送信、保存されるよう努めます。
   2. データ保全性。Seagateデータが処理、送信、および保存されている間に、元のまま完全かつ最新な状態に保たれ、不正な改変がないように万全を期します。
   3. データの論理的な分離。マルチテナント環境では、パーティション化、コンテナ化、マイクロ・セグメンテーションなどの業界標準のテクノロジーを使用してSeagateデータを安全に分離し、各テナントがそれぞれのデータにのみアクセスできるように徹底します。
   4. アクセス制御。Seagateデータへのアクセスはロールベースのアクセス制御 (RBAC) により制限され、ユーザー、サードパーティ・ベンダー、およびテナントはそれぞれのロールに必要なアクセスのみを許可されるものとします。四半期ごとにレビューを実施して権限が現在の責任と一致するよう徹底し、職務分掌により最小限の権限を維持することに努めます。
   5. データ環境の分離。Seagateデータは、テスト環境または開発環境では使用しないものとします。
   6. 監視とログ記録。Seagateデータに対するアクセスの継続的な監視、ログ記録、および監査を実施し、リアルタイムで不正行為を検出して対応するものとします。
   7. AIデータのセキュリティと機密性。AIシステムはSeagateデータを含むすべてのデータの機密性、完全性、可用性を保護するため、業界標準のセキュリティ対策に従うものとします。Seagateデータは安全に保存され、送信中データおよび保存データは暗号化され、関連するプライバシー規制に従って取り扱われます。Seagateのデータは、明示的な同意を得ずにAIモデルのトレーニングや改良に使用しないものとします。
   8. 転送中のデータ。ネットワークを介して送信されるSeagateデータを、TLS 1.3を使用して暗号化するよう努めます。
   9. 保存データ。Seagateの保存データを、顧客またはデータセットごとに一意の暗号化キーを使用する安全なアルゴリズム（AES-256など）で暗号化します。
   10. データのエクスポート。契約終了後最長90日の間、要請に応じてアクセス可能な形式でSeagateデータを提供します。
   11. データ削除。移行が確定した後、または移行を行わないことを決定した後90日以内に、Seagateデータを安全に破棄します。要請に応じて、署名入りの破棄証明書をSeagateに提出します。
   12. 保持義務。データの保持が法的に義務付けられている場合はSeagateに通知し、義務が終了次第データを破棄または返却します。
   13. データの要求。監査、調査、または法律で義務付けられているSeagateのデータ要求に従います。
   14. 場所の通知。要請に応じて、Seagateデータが保存される場所および処理される場所の情報をSeagateに提供します。
5. セキュリティ違反
   1. 違反の通知。セキュリティ違反が発覚した場合、可能な限り速やかに、いかなる場合も発覚から72時間を超える前にSeagate ([email protected]) に通知します。通知には、違反の性質、影響を受けたシステム、侵害されたデータ、および軽減措置を含める必要があります。
   2. セキュリティ・マネージャー。セキュリティ上の義務を管理するために、明確な役割を持つ担当者を割り当てます。
   3. セキュリティ担当者へのアクセス。セキュリティ関連の問題の検討および解決にあたるセキュリティ担当者への連絡手段をSeagateに提供します。
6. 下請業者および下請処理業者
   1. 下請業者のデューデリジェンスと監査要件。書面による同意を以て、下請業者が会社の情報セキュリティの義務を遵守するように努めます。
   2. 責任。会社は、下請業者および下請処理業者の行為に対して全面的な責任を負い、その履行を保証し、Seagateデータの処理に関連するすべてのセキュリティ、プライバシー、および契約上の義務を満たすよう努めます。
   3. サードパーティ・アプリケーションおよび下請処理業者の開示。Seagateデータの処理もしくはやり取りに関与する、またはSeagateの業務に関連するサービスを提供する下請処理業者を含むすべてのサードパーティのアプリケーション、プラットフォーム、またはサービスの詳細かつ最新のリストを、要請に応じてSeagateに提供します。
   4. リスク評価。会社は、Seagateデータを取扱うすべての下請業者および下請処理業者のセキュリティ体制を定期的に評価、査定、文書化し、特定されたリスクが速やかに軽減されるよう努めます。かかる評価のレポートは、要請に応じてSeagateに提出するものとします。
7. アイデンティティの管理
   1. 統合認証とSAML SSO。SAML v2.0標準をサポートするすべてのサービスに、Seagate IdP (Azure) のフェデレーション認証が必要です。
      1. シングル・サインオン (SSO)。適宜SAML v2.0を使用してSeagateのSSOと統合します。
      2. トークンとセッションの管理。認証トークンの検証によりセッションを安全に管理してセッション・トークンを保護し、ログアウト時に適切に無効化されるよう努めます。
   2. フェデレーションを使用しない認証。会社のサービスがSAML v2.0のフェデレーション標準をサポートしていない場合、以下の代替措置を講じる必要があります。
      1. 認証と認可。アクセスを許可する前に、ユーザーを安全に認証して認可します。
      2. 強力なパスワード。暗号化されたデータベースと、bcryptやPBKDF2のような強力なハッシュ・アルゴリズムを使用してパスワードを保護します。パスワードは12文字以上とし、英大文字、英小文字、数字、特殊文字を組み合わせる必要があります。
      3. パスワード変更の要件。ユーザーの初回ログイン時に、デフォルト・パスワードの変更またはパスワード・リセット・プロセスの一環であるパスワード変更が必要です。
      4. MFA。Seagateのユーザー認証の一環として、多要素認証 (MFA) を提供します。
   3. 安全な通信。認証関連のすべての通信（認証情報、認証トークン、セッション識別子の送信など）に安全な通信プロトコルを使用し、TLS 1.3またはそれ以降のバージョンを使用して暗号化するよう努めます。
   4. アクセス制御。フェデレーション認証とフェデレーションを使用しない認証の両方にロールベースのアクセス制御を実装します。
   5. コンプライアンスと監視。Seagateユーザーが関与するすべての認証イベントをログに記録し、監視します。
8. 環境と設備
   1. 物理的セキュリティ。データ・センターおよび重要なインフラストラクチャを含む、SeagateデータまたはSeagateシステムを収容する施設への物理的なアクセスは、許可された人員のみが出入りするように制限します。訪問者のログ、入退室監視、安全な入退室管理（例：生体認証またはバッジによる入退室）、空調管理、防火対策および常時稼動のビデオ監視システムを導入します。
   2. MFA。会社は、Seagateデータをホストするシステムへのローカル・アクセスおよびリモート・アクセスに対して、TOTPまたはU2F鍵を使用したMFAを適用するものとします。
   3. システムのセキュリティとパッチ管理。すべての機器、サーバー、システムに最新のウイルス対策、適時のセキュリティ・パッチ適用、およびシステムの堅牢化が施されるよう努めます。重要なパッチは7日以内に、その他のパッチは30日以内に適用する必要があります。
   4. モニタリングと監査。システムの継続的な監視を実施し、定期的な監査を実施して、セキュリティ方針の遵守に努め、脆弱性を特定します。
   5. インシデント管理。正式なインシデント対応フェーズとスケジュールを含む、セキュリティ・インシデント管理プロセスを維持します。
   6. 変更管理。システムまたはインフラストラクチャに対する変更の変更管理、文書化、テスト、レビュー、承認における職務分掌を含む変更管理プロセスを整備します。
   7. セキュリティ意識の向上とトレーニング。Seagateデータを取扱うすべての従業員に対し、データ取扱いのベスト・プラクティス、ロールベースのセキュリティ、フィッシング攻撃に対する意識、およびインシデント対応などを主題にしたセキュリティ意識向上トレーニングを定期的に実施します。
9. ネットワーク・セキュリティ
   1. ネットワーク・セキュリティ。最小権限の原則の適用を徹底し、ネットワーク・セキュリティを導入します。
   2. ファイアウォールとACL。ファイアウォールとアクセス制御リスト (ACL) を設定し、サービス提供に不可欠なアクセスやプロトコルのみを許可します。
   3. IDS/IPS。侵入検知システム (IDS) および侵入防御システム (IPS) を導入し、不審な活動を検知して対応します。
   4. ロギング。監査およびインシデント調査に使用するため、ネットワーク上の動きの詳細なログを保持します。
   5. 鍵管理システム (KMS)。鍵管理システム (KMS) を使用して暗号鍵を安全に管理し、適切な生成、保管、ローテーション、アクセス制御を徹底します。
10. 脆弱性とリスクの評価
    1. 脆弱性評価と侵入テスト (VA/PT)。社内でまたは適宜サードパーティ・プロバイダを通じて、アプリケーションやシステムの脆弱性評価および侵入テストを定期的に実施します。
    2. リスク評価。Seagateデータおよび社内システムの潜在的なリスクを定期的に評価し、脆弱性に対して重大性に応じた優先順位を付けます。
    3. 即時の緩和措置。重大なセキュリティ脆弱性が特定された場合は、速やかに対処します。
11. 監査とテスト。
    1. Seagateは、サービスの完全性、可用性、および機密性を確保することを目的として、会社のプロセス、統制、プライバシー、およびセキュリティ対策を監査またはテストする権利を有します。
    2. 監査には、事前の同意があれば予告を伴わない非侵入的な手法によるネットワーク・スキャンおよび技術テスト（侵入、負荷、サービス拒否など）を含めることができます。Seagateは、他の顧客データにアクセスすることはなく、守秘義務に基づき第三者の監査人を用いることができます。会社は、不備が特定された場合は速やかに対処する必要があります。
12. Seagateエンクレーブの要件：上記第1～11条に加えて、本件第12条に記載される要件が、Seagateエンクレーブ・システムに適用されます。
    1. 物理的なアクセス制御：会社は、SeagateのシステムおよびSeagateデータを、Seagate以外のシステムおよびデータから物理的に分離するため、アクセス制御を備えた専用の別室または安全なケージをSeagateに提供するものとします。
    2. ネットワーク・セキュリティ。
       1. 会社は、Seagateシステムが会社のシステム、アセット、テクノロジー（ファイアウォール、スイッチ、試験器具、その他のデバイスを含む）から分離されるよう万全を期すものとします。
       2. 会社は、Seagateのサービスが、Seagateが承認および認可した会社のインターネット・サービス・プロバイダ（以下、「ISP」）とのVPN接続を利用する以外の方法で、会社またはその他の顧客のネットワークに接続されないように万全を期すものとします。
       3. Seagateは、会社に書面で通知した上で、独自の裁量で別のISPを選択することができます。
    3. システムのセキュリティ。
       1. Seagateは、サービスを遂行する上でSeagateのシステムにアクセスするために必要な機器およびインフラストラクチャを会社に提供します。
       2. 会社によるa) Seagateのシステムの使用またはSeagateのシステムへのアクセス、およびb) 提供された（またはSeagateが承認した）機器の使用は、本契約および適用されるSOWに規定されたサービスを提供することのみを目的とし、その条件に従うものとします。
       3. 会社は、Seagate情報セキュリティ部門 ([email protected]) の書面による事前の承認を得ずに、構成設定、物理的および/または論理的なネットワーク設定、ネットワーク・ポート、電源コンセント、物理的な接続を含め、Seagateのいかなるシステムも修正、変更、改変、削除、または移動しないものとします。
       4. 会社は、ファイアウォール、スイッチ、サーバー、ワークステーションなど、Seagate機器のリモート・インストールおよびリモート管理に必要なすべてのITサポートを提供します。
    4. エンクレーブの廃止。サービスの終了後、Seagateから別段の指示がない限り、すべてのSeagateのシステムはSeagateに返却されるものとします。会社のシステムまたはSeagateエンクレーブ・システム上のSeagateのデータは、要請に応じて署名入りの破棄証明書を提出の上、安全かつ永久に破棄されなければなりません。また、機器が返却されない場合、Seagateは機器の時価に応じた料金を請求する権利を有します。
13. 非Seagateエンクレーブ・システムのアクセス要件：上記第1～11条に加えて、本件第13条に記載されるセキュリティ要件が、非Seagateエンクレーブ・システムに適用されます。
    1. アクセス制限。会社によるSeagateシステムへのアクセスは、本契約または該当の発注、またはSOWに基づくサービスの実施に必要な場合にのみ許可されます。会社によるSeagateのシステムおよびSeagateのデータへのアクセスおよびアクセスのあらゆる試みは、Seagate情報セキュリティ部門 ([email protected]) の書面による許可がない限り、禁止されるものとします。会社によるSeagateのシステムの個人的な使用は、いかなるものも禁止されます。
    2. VPN。Seagateのネットワークの外からSeagateのシステムにアクセスする場合、Seagate情報セキュリティ部門 ([email protected]) が承認した仮想プライベート・ネットワーク (VPN) 方式のみを使用するものとします。代替手段として公衆ネットワークからSeagateのシステムにアクセスすることは禁止されています。
    3. ソフトウェアのライセンス。本契約に基づく義務の履行または本サービスの提供を目的として、会社がインストールおよび使用するすべてのソフトウェアは、適用される使用許諾契約書に従って、適切かつ合法的に取得、ライセンス付与、および使用される必要があります。会社は、本契約の補償義務に従い、当該ソフトウェアの使用から生じる請求または訴訟について、Seagateを免責し、防御し、補償するものとします。
    4. パスワード管理。会社がSeagateのシステムを使用する際に適宜使用するパスワードは、Seagateのパスワード管理基準に準拠し、会社はかかるすべてのパスワードが権限のない人物に開示されないように対策するものとします。
    5. Seagate以外のシステムの使用。会社は電子データの転送機能を備えたビデオ会議機器を含むSeagate以外のシステムを、SeagateまたはSeagateのシステムと通信する目的で接続または使用することはできません。
    6. 安全な場所。会社の従業員は、会社のプロセスおよび手続きに規定されているとおり、安全で許可された場所でのみ作業を行うものとします。