IBM Application Security on Cloud
サービス記述書
IBM Application Security on Cloud
本「サービス記述書」は IBM がお客様に提供する「クラウド・サービス」について規定するものです。お客様とは、契約を結ぶ当事者、その許可ユーザーおよび「クラウド・サービス」の受領者を意味します。適用される
「見積書」および「証書 (PoE)」は、別途「取引文書」として提供されます。
1. クラウド・サービス
IBM Application Security on Cloud は、さまざまなアプリケーションについて、セキュリティーの脆弱性 (SQL インジェクション、クロスサイト・スクリプティング、およびデータ漏えい) を特定するための 1つの場所をお客様に提供します。本サービスには、アプリケーションに対するセキュリティー・スキャンの多様な技法が含まれており、そのそれぞれは、該当するアプリケーションに含まれるセキュリ
ティー問題を特定します。
IBM Application Security on Cloud は、以下の機能を提供します。
● セキュリティーの脆弱性を検出する、「モバイル・アプリケーション」のスキャン。これは、インタラクティブ (グラスボックス) 手法のセキュリティー分析技術によって実行されます。
● セキュリティーの脆弱性を検出する、実稼働もしくは実稼働前の Web サイト、パブリック対応の、またはプライベート・ネットワーク上の Web サイトのスキャン。これは、ダイナミック (ブラック ボックス) 手法のセキュリティー分析技術によって実行されます。
● セキュリティーの脆弱性を検出する、Web アプリケーションおよびデスクトップ・アプリケーション内のデータフローのスキャン。これは、スタティック (ホワイトボックス) 手法のセキュリティー分析技術によって実行されます。
● アプリケーションで使用されている脆弱なオープン・ソース・パッケージの特定。
● セキュリティーの脆弱性の詳細なレポート。これには、検出結果の大まかな要約、および開発者が従うことのできる修復ステップの両方が含まれます。
● さまざまな DevOps プラットフォームとの統合。
● 実際の脆弱性に対処する際の速度/効率性および深いスキャン範囲に対応するコグニティブ機能。
1.1 IBM Application Security Analyzer
IBM Application Security Analyzer は、「アプリケーション・インスタンス」単位、「ジョブ (スキャン)」単位、または「インスタンス」として注文することができ、以下のスキャン・タイプを可能にします。
● 「動的アナライザー」 – DAST 技術により実稼働前 Web サイトまたは実稼働 Web サイトをテストします。
● 「モバイル・アナライザー」 – IAST 技術により iOS バイナリーまたは Android バイナリーをテストします。
● 「静的アナライザー」 – SAST 技術によりバイト・コードまたはソース・コードのデータをテストします。
● 「IBM AppScan Source 向けのインテリジェント検出分析」 – AppScan Source 評価に対して、コグニティブ機能を使用し誤検出およびノイズを削減の上、最適な修正箇所を特定します。
1.2 IBM Application Security Open Source Analyzer
IBM Application Security Open Source Analyzer は、アプリケーション・コードで使用されるオープン・ ソース・パッケージを特定します。これらのパッケージをレビューして脆弱性を見つけ出し、修復を助言します。IBM Application Security Open Source Analyzer は「アプリケーション・インスタンス」単位、または「インスタンス」として、注文できます。
2. コンテンツおよびデータ保護
「データ処理およびデータ保護に関するデータ・シート」(「データ・シート」) には、処理対象の「コンテンツ」の種類、発生する処理活動、データ保護機能、および「コンテンツ」の保存および返却に関する仕様書に関する、「クラウド・サービス」に固有の情報が記載されています。「クラウド・サービス」およびデータ保護機能に関する詳細または説明および条件 (お客様の責任を含みます。) がある場合には、本条に記載されます。お客様が選択したオプションにより、「クラウド・サービス」のお客様による使用に適用される「データ・シート」が複数ある場合があります。「データ・シート」は英語のみの提供となります (現地言語での提供はありません)。現地の法律または慣習の慣行にかかわらず、両当事者は英語を理解していること、および「クラウド・サービス」の取得および使用に関して英語が適切な言語であることに同意します。以下の「データ・シート」が「クラウド・サービス」およびその利用可能なオプションに適用されます。お客様は、i) IBM が、IBM のみの裁量により、「データ・シート」を随時変更することができ、かつ ii) かかる変更された内容が変更前の内容に置き換わることを承諾します。「データ・シート」に対する変更は、i) 既存のコミットメントの改善もしくは明確化、ii) 最新の採用された基準および適用法への整合の維持、または iii) 追加コミットメントの規定のいずれかを行うことを意図しています。「データ・シート」のいかなる変更も「クラウド・サービス」のデータ保護を著しく低下させるものではありません。
適用される「データ・シート」へのリンク:
xxxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxxx/xxxxxxxxxxxxx/xxxxxxx- reports/report/html/softwareReqsForProduct?deliverableId=3BCAB730D48411E481EA86A39A30DD8D
お客様は、「クラウド・サービス」の利用可能なデータ保護機能を注文、有効化、または使用するために必要な対策を講じる責任を負うものとします。お客様がかかる対策を講じることを怠った場合 (「コンテンツ」に関するデータ保護またはその他の法的要件を満たさないことも含みます。) には、お客様は
「クラウド・サービス」の使用に対して責任を負います。
EU 一般データ保護規則 (EU/2016/679) (GDPR) が「コンテンツ」に含まれる個人データに適用される場合に、その適用範囲に限り、xxxx://xxx.xxx/xxx にある IBM の「データ処理補足契約書」(DPA) および
「DPA 別表」が適用され、本契約の一部として参照されます。本「クラウド・サービス」に適用可能な
「データ・シート」は「DPA 別表」の位置づけです。DPA が適用される場合、「復処理者」の変更の通知を提供する IBM の義務およびかかる変更に異議を申し立てるお客様の権利は、DPA に規定されるとおりに適用されます。
2.1 データの利用
IBM は、お客様の「クラウド・サービス」の利用によって生まれるお客様の「コンテンツ」に固有のものである結果 (「洞察」) や、お客様を特定できる結果を利用したり開示したりしません。ただし、IBMは、お客様および個人を特定する情報を削除し、追加情報を用いなければいかなる個人情報もお客様および特定の個人に結びつけることができないようにしたうえで、「クラウド・サービス」を提供する過程で、「コンテンツ」および「コンテンツ」に由来するその他の情報 (「洞察」を除きます。) を使用できます。IBM は、研究、テスト、およびオファリング開発の目的でのみ、このデータを使用します。
3. サービス・レベル・アグリーメント
IBM は、「PoE」に記載するとおり、「クラウド・サービス」に関して、以下の可用性のサービス・レベル・アグリーメント (以下「SLA」といいます。) を提供します。「SLA」は保証ではありません。
「SLA」はお客様にのみ提供され、実稼働環境における使用に対してのみ適用されます。
3.1 可用性クレジット
お客様は、「クラウド・サービス」が利用できず、業務に重大な影響が及んだことを最初に知り得たときから 24 時間以内に、IBM テクニカル・サポート・ヘルプデスクに対して「重要度 1」のサポート・チケットを記録するものとします。お客様は、あらゆる問題診断および解決に関して IBM を合理的な範囲で支援するものとします。
「SLA」の未達を申告するサポート・チケットは、契約月の末日から 3 営業日以内に提出するものとします。有効な「SLA」の申告に対する補償は、「クラウド・サービス」の実稼働システム処理が利用で
きない時間 (以下「ダウンタイム」といいます。) に基づいた「クラウド・サービス」の将来の請求に対するクレジットになります。「ダウンタイム」は、お客様が当該事象を報告した時点から「クラウド・サービス」が復元される時点までの間で計測され、次のものに関連する時間は含まれません。保守のための計画停止または発表された停止、IBM の支配の及ばない原因、お客様または第三者のコンテンツもしくはテクノロジーの問題または設計もしくは指示、サポート対象外のシステム構成およびプラット フォームまたはその他お客様による誤り、またはお客様に起因するセキュリティーに関する事故もしくはお客様によるセキュリティー・テスト。IBM は、下表のとおり、各契約月における「クラウド・サービス」の累積的な可用性に基づき、適用しうる最大の補償を適用します。各契約月の補償の合計額は、
「クラウド・サービス」に対する年額料金の 12 分の 1 の 10% を超えないものとします。
3.2 サービス・レベル
「契約月」における「クラウド・サービス」の可用性
「契約月」における可用性 | 補償 (申告の対象である「契約月」における 「月額サブスクリプション料金」* の割合) |
99.9% 未満 | 2% |
99% 未満 | 5% |
95% 未満 | 10% |
*「クラウド・サービス」が IBM ビジネス・パートナーから取得されたものである場合、月額サブスクリプション料金は、申告の対象である「契約月」に対して有効な「クラウド・サービス」のその時点での最新の表示価格に基づいて計算され、それを 50% 割引した額となります。IBM は、直接お客様に払い戻します。
「可用性」は、以下のとおり算出されます。契約月における分単位の総時間数から、契約月における
「ダウンタイム」の分単位の総時間数を差し引き、それを契約月における分単位の総時間数で除することにより算出され、結果はパーセントで表します。
4. テクニカル・サポート
「クラウド・サービス」のテクニカル・サポートは、電子メール、オンライン・フォーラム、およびオンライン問題報告システムを介して提供されます。IBM の IBM Software as a service support guide (xxxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxxx/xxxx_xxxxxxx_xxxxx.xxxx) には、テクニカル・サポートの連絡先情報ならびにその他情報およびプロセスが規定されています。テクニカル・サポートは「クラウド・サービス」と共に提供されるものであり、別個のオファリングとして提供されるものではありません。
4.1 お客様データへのアクセス
IBM は、当該サービスでの問題を診断する目的でお客様データにアクセスすることができ、当該サービスによりお客様のアプリケーションのスキャンを容易に行うことができます。IBM が当該データにアクセスするのは、IBM 製品もしくは IBM サービスに関する障害の修正、または、これらに対するサポート提供を目的とした場合のみとします。
5. エンタイトルメントおよび課金情報
5.1 課金単位
「クラウド・サービス」は、「取引文書」に記載された課金単位に基づいて提供されます。
a. 「ジョブ」は、「クラウド・サービス」を取得する際の課金単位です。「ジョブ」は、それ以上分割することのできない、「クラウド・サービス」内のオブジェクトで、それにかかわるすべてのサブプロセスを含む計算プロセスを表します。お客様は、お客様の「PoE」および「取引文書」に定める課金期間中に「クラウド・サービス」が処理または管理する「ジョブ」の総数をカバーするのに十分なエンタイトルメントを取得しなければならないものとします。
b. 「アプリケーション・インスタンス」は、「クラウド・サービス」を取得する際の課金単位です。
「クラウド・サービス」に接続された「アプリケーション」の「インスタンス」ごとに、「アプリケーション・インスタンス」のエンタイトルメントが必要となります。「アプリケーション」に複数のコンポーネントが含まれており、各コンポーネントが、異なる目的を果たす、別々のユー
ザー・ベースである、「クラウド・サービス」に別々に接続されている、もしくは「クラウド・ サービス」で別々に管理されているといった場合には、かかる各コンポーネントは、個別の「アプリケーション」とみなされます。さらに、「アプリケーション」のテスト、開発、ステージング、
および実稼働の各環境は、それぞれが「アプリケーション」の個別の「インスタンス」とみなされ、それぞれについてエンタイトルメントを保持しなければならないものとします。1 つの環境に含ま
れる「アプリケーション」の複数の「インスタンス」は、それぞれが「アプリケーション」の個別 の「インスタンス」とみなされ、それぞれについてエンタイトルメントを保持しなければならない ものとします。お客様の「PoE」または「取引文書」に定める課金期間中に「クラウド・サービス」に接続された「アプリケーション・インスタンス」の数をカバーするのに十分なエンタイトルメン トを取得しなければならないものとします。
本「クラウド・サービス」において、「アプリケーション・インスタンス」は、以下に詳述する、
1 つのアプリケーションの連続的なスキャンです。
● 「動的テスト」の場合: 公開または非公開の URL 経由でアクセス可能な Web サイト。各「アプリケーション・インスタンス」には、単一ドメインで最大 5,000 ページからなる 1 つのサイトに対する資格を与えます。
● 「静的テスト」の場合: 実行可能な単一の環境のために構築されたコード単位。各「アプリ ケーション・インスタンス」は、最大 1,000,000 行のコードをスキャンする資格を与えます。
● 「モバイル・テスト」の場合: モバイル・デバイス上で実行可能なバイナリー・コードの単位。各異種モバイル・プラットフォーム (例: iOS および Android) は異なる「アプリケーション・
インスタンス」とみなされます。
● 「オープン・ソース・テスト」の場合: 単一の実行可能な環境のために構築されたコード単位。各「アプリケーション・インスタンス」は、最大 1,000,000 行のコードをスキャンする資格を 与えます。
● 「IBM AppScan Source 向けのインテリジェント検出分析」の場合: 単一の AppScan Source 評価ファイル。
c. 「インスタンス」は、「クラウド・サービス」を取得する際の課金単位です。「インスタンス」は、
「クラウド・サービス」の特定の構成へのアクセスを意味します。お客様の「証書 (PoE)」または
「取引文書」に定める課金期間中にアクセスおよび使用することが可能な「クラウド・サービス」の「インスタンス」ごとに十分なエンタイトルメントを取得しなければならないものとします。
各「インスタンス」のエンタイトルメントについては、実行される「ジョブ」または「アプリケーション・インスタンス」 (接続される「アプリケーション」) の数量に制限はありません。ただし、同時に 10 を超える「ジョブ」を実行することはできません。
5.2 超過料金
課金期間中の「クラウド・サービス」の実際の利用が、「PoE」に記載されたエンタイトルメントを超える場合には、かかる超過が生じた月の翌月に、「取引文書」に記載された料金で超過料金が請求されます。
5.3 請求頻度
選択された請求頻度に基づき、IBM は請求頻度期間の開始時点で支払い期日の到来している料金をお客様に請求します。ただし、後払いの対象となる超過分や料金の使用タイプは除きます。
5.4 検証
お客様は、i) IBM およびその独立監査人がお客様の本契約の遵守状況を検証するために合理的に必要となる記録、システム・ツールからの出力を保持し、要求に応じて提供し、ならびに ii) かかる検証の結果必要と判断されたエンタイトルメントを、IBM のその時点で最新の料金ですみやかに注文して支払うほ
か、その他の料金および債務を、IBM の請求書の記載に従い支払うものとします。これらの遵守状況検証義務は、該当する「クラウド・サービス」の有効期間中、およびその後の 2 年間有効に存続します。
6. 期間および更新オプション
「クラウド・サービス」の期間は、「PoE」に記述されるとおり、「クラウド・サービス」へのお客様のアクセスについて、IBM がお客様に通知した日に開始します。「PoE」には、「クラウド・サービス」が自動的に更新されるか、継続利用ベースで続行されるか、期間満了時に終了するかが記載されます。
自動更新の場合には、お客様が期間満了日の少なくとも 30 日前までに書面により更新しないことを通知する場合を除き、「クラウド・サービス」は、「PoE」に定める期間につき自動更新されます。
継続利用の場合は、「クラウド・サービス」は、お客様が 30 日前までに書面により終了を通知するまで、
月単位で継続利用することができます。「クラウド・サービス」は、かかる 30 日の期間後の暦月末日まで引き続き利用することができます。
7. 追加条件
7.1 セキュリティーの考慮事項
セキュリティー・スキャンは、アプリケーションにおけるすべてのセキュリティー・リスクを特定することはできません。また、フェイルセーフ運用を必要とする危険な環境での使用のために設計されたものでも、それを意図したものでもありません。これには、航空機航行、航空管制システム、兵器システム、生命維持装置、核施設が含まれますが、これらに限定されるものではなく、セキュリティー・リスクを特定できなかったことが死亡や人身傷害、物的損害につながる可能性のあるその他のあらゆるアプリケーションが含まれます。
「クラウド・サービス」は、お客様が法規、規格または慣行に基づく遵守義務を満たすことを支援するために使用することができます。「クラウド・サービス」が提供するいかなる指示、提案する使用法、またはガイダンスも、法律上、会計上、またはその他の専門的な助言ではなく、お客様はお客様自身で法律上またはその他の専門的な助言を得るものとします。「クラウド・サービス」の使用は、あらゆる法規、規格、または慣行を遵守するものであることを保証するものではありません。
「クラウド・サービス」は、お客様がスキャンすることを選択した Web サイトおよび Web またはモバイル・アプリケーション上で侵入テストおよび非侵入テストを実施します。特定の法律では、コンピューター・システムへの侵入またはアクセスの不正な試みを禁止しています。お客様は、IBM が本書に記載のとおりに「サービス」を実行することを許可し、「サービス」がお客様のコンピューター・システムへの許可アクセスとみなされることに同意します。IBM は、「サービス」を実行するのに必要と判断した場合には、この権限の付与について第三者に開示できます。
このテストの実行は、以下のような特定のリスクを伴いますが、これらに限定されるものではありません。
a. テスト中にアプリケーションを実行するお客様のコンピューター・システムは、停止またはクラッシュする可能性があり、その場合には、一時的にシステムが使用できなくなるか、またはデータの損失が生じます。
b. お客様のシステムのパフォーマンスおよびスループット、ならびに関連するルーターおよびファイアウォールのパフォーマンスおよびスループットが、テスト中に、一時的に低下する場合があります。
c. 過剰な量のログ・メッセージが生成され、ログ・ファイル・ディスク領域の過剰な消費につながる場合があります。
d. 脆弱性を精査した結果として、データが変更または削除される場合があります。
e. 侵入検知システムによってアラームが起動する場合があります。
f. テスト中の Web アプリケーションの電子メール機能によって電子メールが起動する場合があります。
g. 「クラウド・サービス」はイベントを探すために監視中のネットワークのトラフィックを妨害する場合があります。
IBM から提供された、およびテストの対象である Web サイトまたはアプリケーションに関連する、サービス・レベル・アグリーメントの権利または救済は、テスト活動中は適用されません。
お客様が、テスト中のアプリケーションの認証済みログイン資格情報を「クラウド・サービス」に入力する場合、お客様は、テスト・アカウントの資格情報のみを入力し、実稼働ユーザーの資格情報を入力してはなりません。実稼働ユーザーの資格情報の使用は、「クラウド・サービス」による個人データの送信につながる場合があります。
「クラウド・サービス」は実稼働中の Web アプリケーションをスキャンできるように構成できます。お客様がスキャン・タイプを「実稼働」に設定した場合、このサービスは上記のリスクを軽減する方法でスキャンを実行するよう設計されます。ただし、状況によっては「クラウド・サービス」により、テスト対象の実稼働場所やインフラストラクチャー内でパフォーマンスが低下したり、不安定になる場合があります。IBM は、実稼働場所をスキャンするために「クラウド・サービス」を使用することの適合性に関して何等の保証あるいは表明をしません。お客様は、「クラウド・サービス」が、お客様の Web サイト、Web アプリケーション、モバイル・アプリケーション、または技術環境に対して適切なものか、安全なものかどうかを判断する責任を負います。
「クラウド・サービス」は、モバイル・アプリケーションおよび Web アプリケーション、ならびに Webサービスのセキュリティーおよびコンプライアンスに関する潜在的な各種問題を特定できるように設計されています。「クラウド・サービス」は脆弱性およびコンプライアンスに関するすべてのリスクをテストするわけではなく、また、セキュリティー攻撃に対する障壁の役目も果たしません。セキュリ
ティーの脅威、規制および標準は変化し続けているため、「クラウド・サービス」はかかる変更のすべてを反映できません。お客様の Web アプリケーション、システムおよび従業員のセキュリティーとコンプライアンス、救済措置については、お客様が一切の責任を負います。「クラウド・サービス」によって提供される情報を使用するかどうかは、お客様の判断に一任されます。
特定の法律では、コンピューター・システムへの侵入またはアクセスの不正な試みを禁止しています。お客様は、お客様が所有する Web サイトおよびアプリケーション以外の、またはお客様がスキャンする権利および許可を有する Web サイトおよびアプリケーション以外の Web サイトおよびアプリケーションをスキャンするためにお客様がクラウド・サービスを使用しないことを徹底させる責任を負います。
明確にするために付言すれば、「クラウド・サービス契約書」または「ご利用条件 - クラウド・オファリングに関する一般条件」(いずれか該当するもの) の「データ保護」の項に記載されているお客様のコンテンツには、「アプリケーション侵入テスト」中に IBM のアクセスが可能になる可能性のあるデータも含まれているものとみなされます。
7.2 イネーブリング・ソフトウェア
「クラウド・サービス」を使用するには、お客様がご自身のシステムにイネーブリング・ソフトウェアをダウンロードすることが必要になる場合があります。イネーブリング・ソフトウェアにより、「クラウド・サービス」の使用が促進されます。お客様は、「クラウド・サービス」の利用に関連してのみ、イネーブリング・ソフトウェアを使用することができます。イネーブリング・ソフトウェアは、以下の条件で提供されます。
イネーブリング・ソフトウェア | 適用されるライセンス条件 (ある場合) |
Static Analyzer Client Utility (IRX Generator) | 現状のままの使用を前提として提供 |
AppScan Presence | 現状のままの使用を前提として提供 |
7.3 第三者が所有するシステム
本書に基づいてテストの対象となる、第三者が所有するシステム (本規定においては、アプリケーションおよび IP アドレスが含まれますが、これらに限られません。) について、お客様は以下に同意します。
a. IBM が第三者システム上でテストを開始する前に、お客様は各システムの所有者から、IBM が当該システム上で「サービス」を提供することを許可した、および「テストの実行の許可 (Permission to
Perform Testing)」という表題の項に規定された条件に当該所有者が同意したことを示す、署名済みの書簡を入手し、かかる許可のコピーを IBM に提供すること。
b. IBM のリモート・テストにより当該システムで特定されたリスク、エクスポージャー、および脆弱性をシステム所有者に伝える責任を負うこと。
c. IBM が必要と判断した、システム所有者と IBM 間の情報交換を手配し、促進すること。お客様は以下に同意します。
a. 本契約書に基づくテストの対象であるシステムの所有権に変更があった場合には、必ず IBM に即時通知すること。
b. IBM の書面による事前同意なくお客様の「エンタープライズ」以外で、成果物を開示しないこと、および IBM が「サービス」を実行したことを開示しないこと。
c. お客様が本項「第三者が所有するシステム」の要件をお客様が満たせなかったことに起因する第三者の請求により IBM が負担するあらゆる損失または負債について、および (a) 本書に基づくテストの対象であるシステムのセキュリティー・リスク、エクスポージャーまたは脆弱性をテストすること、(b) かかるテストの結果をお客様に提供すること、または (c) かかる結果のお客様による使用もしくは開示に起因する、IBM または IBM の従契約者もしくは代理人を相手に起こされた第三者の罰金または請求について、IBM を免責すること。