運用

トラストセンターの対象となるオートデスクのクラウドサービス

オートデスクは信頼できるクラウドサービスの提供をお約束します。下記に定める「A360 管理対象サービス」に厳格な世界標準を適用し、クラウド上のお客様データの可用性、機密性、プライバシー、およびセキュリティを保護します。ただし、「360」のネーミングを使用していても、トラストセンター適用範囲外のサービスもありますのでご了承ください。

オートデスクは、情報セキュリティ専門家で構成するセキュリティー オペレーション チームを保持しています。下記サービスに対してトラストセンターに定めるプラクティスを一様に適用し、管理します。

管理対象サービス(英語)

トラストセンターでは、これらのクラウドサービスを 「A360 管理対象サービス」と呼んでいます。このサイト内の情報は、上記に記載されていないサービスには適用されません。さらに「Beta」または「Technology Preview」と分類されたサービス、およびサードパーティが提供するサービスには適用されません。

オートデスクは、インフラストラクチャと運営の見直しを常に行っています。そのほかのサービスもこのリストに追加される場合がありますので、更新をご確認頂くことをお勧めします。(利用規約はこちらからご覧いただけます。(英語))

オートデスク セキュリティ オペレーション

オートデスク セキュリティ オペレーションは、A360 管理対象サービスの日常のオペレーションに対応します。このチームは専門組織に所属し、下記の認証を取得しています。

  • ISC2(International Information Systems Security Certification Consortium)
  • CISSP(Certified Information Systems Security Professional)
  • CISA(Certified Information Systems Auditor)
  • CISM(Certified Information Security Manager)

A360 管理対象サービスに対して、オートデスク セキュリティ オペレーション チームは次のことを実行できます。

  • 精密で多段階のプロセスを使用した、クラウド サービスのネットワーク、システム、およびサービスのセキュリティ計画のレビュー
  • クラウド サービスのセキュリティ設計および実装レベルでのレビュー
  • チームの継続的改善プロセスの一環として、セキュリティーリスクの評価
  • クラウドサービスにおける不正なアクティビティの監視、リスクに迅速に対処するため、正式なインシデント対応プロセスに準拠
  • 定期的なセキュリティ評価と内部監査を通して確立されたセキュリティ ポリシーの準拠促進
  • クラウド サービスのインフラストラクチャおよびアプリケーションに対する外部のセキュリティ エキスパートによる定期的なセキュリティ評価
  • A360 のセキュリティ、信頼性、保証プログラムの構成要素としての脆弱性管理の実行

独立サービス機関

オートデスク セキュリティ オペレーションでは、A360 管理対象サービスを監査する米国会計事務所が American Institute of Certified Public Accountants(AICPA アメリカ合衆国会計士協会)(英語)により認定されていることを必須としています。

サードパーティ

サードパーティとの個人情報の共有に関するオートデスクのポリシーについては、こちらを参照してください。

オートデスク クラウドの実績

オートデスクは、1999 年より Autodesk® Buzzsaw® などの SaaS アプリケーションを提供しています。Buzzsaw は、あらゆる地域の関係者や企業が AEC (アーキテクチャ、エンジニアリング、施工)プロジェクト情報を安全に交換するためのクラウドベースのドキュメント、設計、およびデータ管理向けソフトウェアです。Buzzsaw は、お客様にインターネットを通じてセルフサービス アクセスを提供し、使用状況ベースの料金体系に基づいたリソース プーリングとオンデマンド ストレージを提供します。

監査および順守

オートデスクは、定期的に A360 管理対象サービスの監査を実施します。SSAE16(Statement on Standards for Attestation Engagements No. 16 Reporting on Controls at a Service Organization:保証業務基準書第 16 号サービス組織統制報告)、特に、SOC(Service Organization Control) 2 Report on Controls at a Service Organization Relevant to Security、Availability、Processing Integrity、Confidentiality and Privacy(サービス組織統制 2 セキュリティ、可用性、処理完全性、機密性、およびプライバシーに関連するサービス組織における統制)に従って監査を実施します。SSAE16-SOC2 報告により、SaaS オペレーションおよびアプリケーション、特に、AICPA Technical Practice Aids—Trust Services Principles、Criteria and Illustrations(TSP) Section 100(AICPA 技術実践支援 - 信頼サービス原則、条件、例証、第 100 節)に定められたセキュリティと可用性の原則の条件への適合を目的としたシステム統制に関する情報がユーザに提供されます。

完全なオートデスク SSAE16-SOC2 監査報告をご覧になるには trust@autodesk.com までお問い合わせください(オートデスク情報非開示合意への署名が必要です)。AICPA の Web サイトで SSAE16 標準(英語)の詳細をご覧いただけます。

SAS70 Type II(State on Auditing Standards 70 Type II:監査基準書 70 2 型)に関する注意点:オートデスクは、A360 管理対象サービスをホストするデータ センターを SAS70 の後継である SSAE16 に適合するように設定しています。オートデスクは、2007 年 7 月に最初の SAS70 認証を実施し、現在は SSAE16 標準に基づく監査を継続しています。

オートデスクは、ISAE 3000 などの保証を実施する際の基本原則およびプロシージャを構築するための優れたプラットフォームだと考えています。詳しくは、「ISAE 3000(Revised)、Assurance Engagements Other Than Audits or Reviews of Historical Financial Information」(英語)を参照してください。

オートデスクは、2005 年から独立性のあるセキュリティ レビュー(ISR)を実施しています。最近の ISR 概要をご覧になる場合は、trust@autodesk.com にお問い合わせください(オートデスク情報非開示合意への署名が必要です)。