安全なライブラリサービスを提供する上でのOCLCの使命

あなたのコレクションを共有しながらデータを保護

OCLCは会員の情報における機密性、完全性、可用性が会員の業務や自社の成功において不可欠であることを理解しています。弊社では、重要な情報を保護するために多層的なアプローチを採用しており、弊社のアプリケーション、システム、およびプロセスを常に監視し、改善することで、ダイナミックなセキュリティ脅威の増大するニーズや課題に対応します。セキュリティへの取り組みが認められ、OCLCはISO 27001セキュリティ標準を満たし、登録を受け、Cyber Essentials制度の認定を受け、CSA STARの登録を受けています。

情報セキュリティと企業のリスク管理

  • ISO/IEC 27001:2013に従って情報セキュリティ管理システムを実装
  • 認定情報セキュリティ専門スタッフや情報テクノロジー専門家、およびフルタイムで災害復旧にあたる専任スタッフを用意

物理的および環境的なコントロール

  • セキュリティスタッフを24時間配置
  • 近接型カードを介したアクセスの制限
  • コンピューティング装置をアクセス制限されたエリアに配備
  • 施設全体および境界をビデオで監視
  • 湿度と温度の管理
  • 高床で継続的な空気の入れ替えを促進
  • 電力を地下で供給
  • 無停電電源(Uninterruptible power systems: UPS)
  • 冗長電源ユニット(power distribution unit: PDU)
  • ディーゼル発電機と敷地内ディーゼル燃料貯蔵所
  • データセンター全体における煙・火災検出センサー
  • Dublin Service Delivery Center (DSDC)は多重放電に備えて十分な蓄えを備えたHalonシステムにより保護されています
  • Columbus Service Delivery Center (CSDC)はDuPont FM-200火災鎮圧システムにより保護されています
  • また、各データセンターは湿式パイプスプリンクラーシステムで保護されています
  • DSDCとCSDCを通して消化器を備えてあります

論理的なアクセス管理

  • ユーザーIDとアクセス管理
    • Thawteのグローバル段階式認証を使用してTLS 1.1と1.2経由で利用者データに接続することで、ユーザーはブラウザから弊社サービスまで、セキュアに接続できます
    • 個別のユーザーセッションは、XML暗号化セキュリティアサーションを使用してSAML 2.0経由で各トランザクションで識別され再度認証されます
    • 特定の利用サービスに依存

運用上のセキュリティコントロール

  • 複数の通信プロバイダーポイントから提供された、複数のインターネットサービスプロバイダーによる、冗長的で多様なルーティングのリンクを通してインターネットに接続
  • 境界ファイアウォールおよびエッジルータ―で未使用のプロトコルをブロック
  • インターネットファイアウォールがアプリケーション層とデータベース層の間のトラフィックを分離
  • ロードバランサーが内部トラフィック向けのプロキシを提供
  • OCLCはマルウェアの防止、検出、根絶に様々な方法を使用しています
  • 第三者による独立したセキュリティ評価を定期的に実施
  • すべてのデータを各データセンターのテープへバックアップ
  • セキュアなテープアーカイブへの安全なリンクを介してバックアップを複製
  • テープの廃棄時にはテープをオフサイトに運び、確実に破壊します
  • OCLCの情報セキュリティスタッフが様々なソースからの通知や社内システムからのアラートを監視して脅威を識別し、管理します

システム開発と保守

  • OCLCはコードをリリースする前に、セキュリティの脆弱性がないかテストし、ネットワークやシステムに脆弱性がないか定期的にスキャンします
  • ネットワークの脆弱性評価
  • 一部の侵入のテストとコードのレビュー
  • セキュリティ管理フレームワークのレビューとテスト

事業の持続性と災害復旧

  • OCLCサービスは各データセンターにおけるリアルタイムのディスクへの複製、および本番データセンターと災害復旧サイト間のほぼリアルタイムのデータの複製を行います
  • 機密性の高いデータは専用のリンクにて転送されます
  • 災害復旧テストにより、復旧予測時間とカスタマーデータの整合性を検証します

インシデント対応、通知、および修復

  • システムまたはデータの機密性、完全性、または可用性に影響し得るセキュリティイベント向けのインシデント管理プロセス
  • 情報セキュリティチームは何らかのイベントに備え、第三者や専門ツールの使用、科学捜査や証拠の取り扱いに関するトレーニングを受けています

コンプライアンス

  • 情報は捜索令状や裁判所命令、召喚状、法定免除、またはユーザーの同意を通じ、法的続きを経て、第三者が取得することができます
  • OCLCはお客様や利用者のデータを保護するため、厳密なプライバシーに関する声明文を維持しています。

OCLCサービスはGartner Group1(表1)およびCloud Security Alliancesの「クラウドコンピューティングで重点を置くべきエリアのセキュリティガイダンス(Security Guidance for Critical Areas of Focus in Cloud Computing)」による推奨基準を満たすか超えています。

表1。Gartner: 7つのクラウドコンピューティングのセキュリティリスク

Gartnerの推奨事項 OCLC Microsoft

Cloud (BPOS)		 Google Apps

Enterprise
特権ユーザーアクセス管理 X X X
規制へのコンプライアンス X X X
データの場所 X X X(開示なし)
データの分離 X X X
復旧 X X X
捜査への協力 X X X
長期実行可能性 X X X

1 Jay Heiser と Mark Nicolett."Assessing the Security Risks of Cloud Computing."Gartner Group.2008 年 6 月 3 日