IBM Application Security on Cloud
サービス記述書
IBM Application Security on Cloud
本「サービス記述書」はIBM がお客様に提供する「クラウド・サービス」について規定するものです。お客様とは、契約を結ぶ当事者、その許可ユーザーおよび「クラウド・サービス」の受領者を意味します。適用される
「見積書」および「証書(PoE)」は、別途「取引文書」として提供されます。
1. クラウド・サービス
IBM Application Security on Cloud は、さまざまなアプリケーションについて、セキュリティーの脆弱性 (SQL インジェクション、クロスサイト・スクリプティング、およびデータ漏えい) を特定するための 1つの場所をお客様に提供します。本サービスには、アプリケーションに対するセキュリティー・スキャンの多様な技法が含まれており、そのそれぞれは、該当するアプリケーションに含まれるセキュリ
ティー問題を特定します。
IBM Application Security on Cloud は、以下の機能を提供します。
● セキュリティーの脆弱性を検出する、「モバイル・アプリケーション」のスキャン。これは、インタラクティブ(グラスボックス) 手法のセキュリティー分析技術によって実行されます。
● セキュリティーの脆弱性を検出する、実稼働もしくは実稼働前の Web サイト、パブリック対応の、またはプライベート・ネットワーク上のWeb サイトのスキャン。これは、ダイナミック(ブラック ボックス) 手法のセキュリティー分析技術によって実行されます。
● セキュリティーの脆弱性を検出する、Web アプリケーションおよびデスクトップ・アプリケーション内のデータフローのスキャン。これは、スタティック (ホワイトボックス) 手法のセキュリティー分析技術によって実行されます。
● セキュリティーの脆弱性の詳細なレポート。これには、検出結果の大まかな要約、および開発者が従うことのできる修復ステップの両方が含まれます。
● さまざまなDevOps プラットフォームとの統合。
● 実際の脆弱性に対処する際の速度/効率性および深いスキャン範囲に対応するコグニティブ機能。
1.1 IBM Application Security Analyzer
IBM Application Security Analyzer は、「アプリケーション・インスタンス」単位、「ジョブ(スキャン)」単位、または「インスタンス」として注文することができ、以下のスキャン・タイプを可能にします。
● 「動的アナライザー」– DAST 技術により実稼働前Web サイトまたは実稼働Web サイトをテストします。
● 「モバイル・アナライザー」 – IAST 技術により iOS バイナリーまたはAndroid バイナリーをテストします。
● 「静的アナライザー」– SAST 技術によりバイト・コードまたはソース・コードのデータをテストします。
● 「IBM AppScan Source 向けのインテリジェント検出分析」– AppScan Source 評価に対して、コグニティブ機能を使用し誤検出およびノイズを削減の上、最適な修正箇所を特定します。
1.2 IBM Application Security Open Source Analyzer
IBM Application Security Open Source Analyzer は、アプリケーション・コードで使用されるオープン・ ソース・パッケージを特定します。これらのパッケージをレビューして脆弱性を見つけ出し、修復を助言します。IBM Application Security Open Source Analyzer は「アプリケーション・インスタンス」単位、または「インスタンス」として、注文できます。
1.3 セットアップ・サービス
IBM Application Security on Cloud Consulting Services は、リモートで提供される、商品化された Application Security Analyzer 用のセットアップ・サービスです。「サービス」はIBM コンサルタントを活用して、アプリケーション・リスクのテストと管理についてガイダンスと支援を提供します。IBM
Application Security on Cloud Consulting Services は、以下の特定サービスを要求して活用するために、以下に規定される数量で使用可能な「エンゲージメント」のブロックで購入されます。
a. ファースト・スタート [1 つの「エンゲージメント」単位を使用]
「ファースト・スタート」サービスでは、Application Security on Cloud のテスト・フィーチャーおよびリスク管理フィーチャーを活用するための専門知識とガイダンスを提供します。お客様が Application Security on Cloud ポータルへの正常なログインを確認後、IBM は、最大 2 時間の 2 名のアクティブな参加者によるWeb 会議を進行して、「クラウド・サービス」の構成および機能の基本のAppSec について教育を提供します。これには、スキャン・タイプ、スキャンの実行、レポートの確認、および関連するツールおよびプラグインのインストールなどが含まれます。「ファースト・スタート」サービスは、(a) お客様の教育Web セミナー、(b) 使用可能なツールおよびプラグインのインストール、および(c) お客様の最初のスキャンをセットアップして実行するためのお客様への支援が完了した後に完了します。
b. 評価レビュー [2 つの「エンゲージメント」単位を使用]
「評価レビュー」サービスは、テスト結果の確認において支援を提供します。これには、アプリ ケーションの脆弱性の修復を理解して優先順位を付けることが含まれます。IBM は、最大 1 時間の 2 名のアクティブな参加者によるWeb 会議を進行して、発見された脆弱性およびアプリケーションの全体的なセキュリティー・リスクの概要を提供し、発見されたアプリケーション・セキュリ
ティーの脆弱性について詳細な話し合いを行います。これには、(1) 脆弱性をどのようにテストしたのか、(2) 脆弱性をどのように検出したのか、(3) 各脆弱性に関するリスクが何か、および(4) 脆弱性の修正に役立つ一般的なフィックスに関する推奨を提供することが含まれます。このレビューは、テスト結果のみに基づき、ソース・コード自体のレビューにはなりません。お客様はテスト結
果を確認し、Web 会議前に、IBM に対してレビュー用のテスト結果を特定します。「評価レビュー」サービスは、Web 会議の完了後に完了します。
c. スキャン代行 [4 つの「エンゲージメント」単位を使用]
「スキャン代行」サービスは、検出結果を確認するためにスキャンの構成と実行、結果の検証、およびレポートの概要報告を実施するIBM アプリケーション・セキュリティーの専門家を提供します。お客様は、スキャンの構成と実行、結果の検証、修復の優先順位付けに関する推奨、およびレポートの概要報告を実施するためにIBM コンサルタントがお客様の ASoC 環境にアクセスするこ とを許可します。IBM は、最大 1 時間の 2 名のアクティブな参加者によるWeb 会議を進行して、発見された脆弱性およびアプリケーションの全体的なセキュリティー・リスクの概要を提供し、発見されたアプリケーション・セキュリティーの脆弱性について詳細な話し合いを行います。これには、(1) 脆弱性をどのようにテストしたのか、(2) 脆弱性をどのように検出したのか、(3) 各脆弱性に関するリスクが何か、および (4) 脆弱性の修正に役立つ一般的なフィックスに関する推奨を提供することが含まれます。要求された場合、初期スキャンの最大 30 日後に、IBM は、セキュリ
ティー・フィックスを検証するためのみに、元のスキャン構成を利用して再スキャンを行います。新規機能をテストしたり、結果を検証したり、お客様に報告を提供したりしません。「スキャン代行」サービスは、初期スキャンの結果を確認するためのWeb 会議の完了後、または該当する場合
には、お客様の要求に従った再スキャンおよびお客様への再スキャン・レポートの提供の完了後に、完了します。
d. オンデマンド・アドバイザー [7 つの「エンゲージメント」単位を使用]
「オンデマンド・アドバイザー」サービスは、最大 20 時間のIBM コンサルタントの時間を提供します。この時間は、「クラウド・サービス」に関連する活動に対して使用可能です。IBM コンサルタントは、アプリケーション・セキュリティーの特定のトピックについて支援を行います。これには、プログラム管理、セキュリティー・テストの優先順位付け、修復戦略、ソース・コード分析およびソース・コード修復が含まれますが、これらに限定されません。IBM はお客様と協力して、プロジェクトの目標、関連テクノロジー、望ましいタイムライン、予想される成果物、および「オンデマンド・アドバイザー」サービスについて予想されるエンゲージメントの数を含む、特定のお客様の要件に合わせたプロジェクト・スケジュールを理解して作成します。お客様は、サービスを実行するために求められる必要なアプリケーション、システムおよび資料へのアクセスを提供しなければなりません。「オンデマンド・アドバイザー」サービスは、最大 20 時間のセキュリティー専
門知識が実行された時点、またはプロジェクト・スケジュールもしくはプロジェクト・スケジュールで定義された文書化済みの成果物がお客様に提供された後で、完了します。
e. アプリケーション侵入テスト
3 つのオプションがあります。
(1) コンプライアンス/エントリー・レベルのアプリケーション侵入テストは、最大 40 時間の
「コンサルタント」の時間を含み、また「単一」ステップの論理的欠陥、および「簡易」
バージョンのインジェクションの欠陥に重点を置きます。[15 の「エンゲージメント」単位を利用します。]
(2) 標準のアプリケーション侵入テストは、最大 60 時間の「コンサルタント」の時間を含み、また複数ステップのワークフローに関する「論理的」欠陥、「複合」バージョンのインジェクションの欠陥、および複合データ・タイプの「分析」を含むように重点を拡張します。[21 の
「エンゲージメント」単位を利用します。]
(3) 拡張のアプリケーション侵入テストは、最大 80 時間の「コンサルタント」の時間を含み、また蓄積された実行可能ファイルの「リバース」エンジニアリング、カスタム・ネットワー
ク・プロトコルの「分解」、一般に使用可能なライブラリーおよびフレームワークの「詳細」分析を含むように重点を拡張します。[27 の「エンゲージメント」単位を利用します。]
アプリケーション侵入テスト・サービスではIBM リソースを提供して、アプリケーションのテストおよび弱点の使用、テスト・レポートの提供、ならびに検出結果および関連リスクを説明するためのレポートの概要報告を実行します。
IBM は、最大 1 時間の 2 名のアクティブな参加者による、プロジェクトの開始コールを進行して、お客様の環境および組織を確認します。これには、アプリケーション・プラットフォーム、アーキテクチャー、フレームワーク、サポート・インフラストラクチャー、アプリケーションに関する既知のセキュリティー問題または懸念事項、予備テストのスケジュールおよび緊急連絡計画が含まれます。
IBM は、アプリケーション侵入テストを実行します。これには、一般的な脆弱性(SQL インジェクションやクロスサイト・スクリプティングなど) の特定、既存のセキュリティー管理(インプットの
検証、認証、および許可など) の強みおよび弱みの評価、ビジネス・ロジックの適切な適用の確認、セキュア・プロトコルの適切な使用の検証、セッション処理の欠陥の特定、ならびにログイン、パ スワード・リカバリー、パスワード・ポリシーに関する適切なセキュリティー管理、およびその他 のユーザー管理機能の検証が含まれますが、これらに限定されません。検出結果は、「アプリケー ション侵入テスト・レポート」で文書化されます。IBM は、最大 1 時間のレポートの概要報告のた めのWeb 会議を進行します。「アプリケーション侵入テスト」サービスは、割り当てられたコン
サルティング時間が使用され、Web 会議が実行され、最終の「アプリケーション侵入テスト・レポート」がお客様に提供された時点で完了します。
1.3.1 セットアップ・サービスに関する責任
IBM は以下を行うものとします。
● お客様が購入した「エンゲージメント」単位を使用して、お客様の注文の期間ごとに「セットアップ・サービス」を提供する。
● 第 1.2 項に記載された完了基準が完了したときに「セットアップ・サービス」は完了している。お客様は以下に同意します。
● 契約期間中にお客様が行った、すべての「エンゲージメント」要求に関連するすべての料金に対して責任を負うこと。
● 契約期間の終了日までに未使用の場合は失効するため、購入した「エンゲージメント」単位は初期契約期間内に使用すること。
● サブスクリプションの終了日の 30 日前までにすべての「セットアップ・サービス」に対して正式要求を開始すること。
「セットアップ・サービス」の実行において、IBM はお客様からの情報および相応の協力を要求する場合があります。要求された情報や協力を適時にお客様が提供できない場合、IBM が決めたとおり、サービスによって要求される「エンゲージメント」単位料金、または該当するサービスの実行の遅延につながる可能性があります。
IBM がテストを正確に実行するために、お客様は、環境を準備し、テスト期間にわたって環境を維持することについて IBM の指示に従うことに同意します。
2. セキュリティーの内容
本「クラウド・サービス」は、IBM の「IBM SaaS」に関する「Data Security and Privacy Principles」 (xxxx://xxx.xxx.xxx/xxxxx/xxxx-xxxxxxxx で入手可能) および本セクションの追加条件に従うものとします。 IBM の「Data Security and Privacy Principles」が変更される場合であっても、それにより「クラウド・
サービス」のセキュリティーのレベルが低下することはありません。
保護対象のデータの処理およびデータの特性により提示されるリスクに対して技術的および組織上のセキュリティー対策が適切であると、お客様がデータ管理者として判断する場合には、本「クラウド・ サービス」を使用して、個人データが含まれるコンテンツを処理することができます。お客様は、本
「クラウド・サービス」がセンシティブ個人データや追加の規制要件の対象となるデータを保護するためのフィーチャーを提供するものではないことを認識しています。お客様は、IBM がコンテンツに含まれているデータのタイプを把握していないこと、および「クラウド・サービス」の適合性や適用中のセキュリティー保護に関して評価を行えないことに同意します。
IBM は、米国連邦通信委員会 (以下、「FCC」といいます。) または州規制当局(以下、「州監督機関」といいます。) によって規制されるサービスの提供者として運用しておらず、またFCC または「州監督機関」によって規制されるサービスを提供することを意図してもいません。FCC またはいずれかの「州監督機関」が、本書に基づいて IBM が提供するサービスに規制要件または義務を課す場合、IBM は以下のいずれか、または両方を行うことができます。(a) お客様の費用負担で製品の変更、交換、または代替を行う、(b) IBM に対するかかる要件または義務の適用を回避するために(例えば、第三者の電信電話会社からかかるサービスを取得するお客様の代理人として機能することによるなど) お客様へのサービス提供方法を変更する。
3. サービス・レベル・アグリーメント
IBM は、「PoE」に記載するとおり、「クラウド・サービス」に関して、以下の可用性のサービス・レベル・アグリーメント(以下「SLA」といいます。) を提供します。「SLA」は保証ではありません。
「SLA」はお客様にのみ提供され、実稼働環境における使用に対してのみ適用されます。
3.1 可用性クレジット
お客様は、「クラウド・サービス」が利用できず、業務に重大な影響が及んだことを最初に知り得たときから 24 時間以内に、IBM テクニカル・サポート・ヘルプデスクに対して「重要度 1」のサポート・チケットを記録するものとします。お客様は、あらゆる問題診断および解決に関して IBM を合理的な範囲で支援するものとします。
「SLA」の未達を申告するサポート・チケットは、契約月の末日から 3 営業日以内に提出するものとします。有効な「SLA」の申告に対する補償は、「クラウド・サービス」の実稼働システム処理が利用できない時間(以下「ダウンタイム」といいます。) に基づいた「クラウド・サービス」の将来の請求に対するクレジットになります。「ダウンタイム」は、お客様が当該事象を報告した時点から「クラウド・サービス」が復元される時点までの間で計測され、次のものに関連する時間は含まれません。保守のための計画停止または発表された停止、IBM の支配の及ばない原因、お客様または第三者のコンテンツもしくはテクノロジーの問題または設計もしくは指示、サポート対象外のシステム構成およびプラット フォームまたはその他お客様による誤り、またはお客様に起因するセキュリティーに関する事故もしくはお客様によるセキュリティー・テスト。IBM は、下表のとおり、各契約月における「クラウド・サービス」の累積的な可用性に基づき、適用しうる最大の補償を適用します。各契約月の補償の合計額は、
「クラウド・サービス」に対する年額料金の 12 分の 1 の 10% を超えないものとします。
3.2 サービス・レベル
「契約月」における「クラウド・サービス」の可用性
「契約月」における可用性 | 補償 (申告の対象である「契約月」における 「月額サブスクリプション料金」* の割合) |
99.8% 未満 | 2% |
99% 未満 | 5% |
95% 未満 | 10% |
*「クラウド・サービス」が IBM ビジネス・パートナーから取得されたものである場合、月額サブスクリプション料金は、申告の対象である「契約月」に対して有効な「クラウド・サービス」のその時点での最新の表示価格に基づいて計算され、それを 50% 割引した額となります。IBM は、直接お客様に払い戻します。
「可用性」は、以下のとおり算出されます。契約月における分単位の総時間数から、契約月における
「ダウンタイム」の分単位の総時間数を差し引き、それを契約月における分単位の総時間数で除することにより算出され、結果はパーセントで表します。
4. テクニカル・サポート
サブスクリプション期間中、およびIBM が「クラウド・サービス」へのアクセスが利用可能になった旨をお客様に通知後、お客様が料金を負担する期間中は、テクニカル・サポートがオンライン・フォーラム経由で標準サポートとして提供されます。本「クラウド・サービス」内から、お客様はサポート・チケットを送信したり、支援用チャット・セッションをオープンしたりできます。IBM は、テクニカル・サポートの連絡先情報ならびにその他情報およびプロセスを規定する IBM Software as a Service Support Handbook を提供します。
4.1 お客様データへのアクセス
IBM は、当該サービスでの問題を診断する目的でお客様データにアクセスすることができ、当該サービスによりお客様のアプリケーションのスキャンを容易に行うことができます。IBM が当該データにアクセスするのは、IBM 製品もしくはIBM サービスに関する障害の修正、または、これらに対するサポート提供を目的とした場合のみとします。
5. エンタイトルメントおよび課金情報
5.1 課金単位
「クラウド・サービス」は、「取引文書」に記載された課金単位に基づいて提供されます。
a. 「ジョブ」は、「クラウド・サービス」を取得する際の課金単位です。「ジョブ」は、それ以上分割することのできない、「クラウド・サービス」内のオブジェクトで、それにかかわるすべてのサブプロセスを含む計算プロセスを表します。お客様は、お客様の「PoE」および「取引文書」に定める課金期間中に「クラウド・サービス」が処理または管理する「ジョブ」の総数をカバーするのに十分なエンタイトルメントを取得しなければならないものとします。
b. 「アプリケーション・インスタンス」は、「クラウド・サービス」を取得する際の課金単位です。
「クラウド・サービス」に接続された「アプリケーション」の「インスタンス」ごとに、「アプリケーション・インスタンス」のエンタイトルメントが必要となります。「アプリケーション」に複数のコンポーネントが含まれており、各コンポーネントが、異なる目的を果たす、別々のユー
ザー・ベースである、「クラウド・サービス」に別々に接続されている、もしくは「クラウド・ サービス」で別々に管理されているといった場合には、かかる各コンポーネントは、個別の「アプリケーション」とみなされます。さらに、「アプリケーション」のテスト、開発、ステージング、
および実稼働の各環境は、それぞれが「アプリケーション」の個別の「インスタンス」とみなされ、それぞれについてエンタイトルメントを保持しなければならないものとします。1 つの環境に含ま
れる「アプリケーション」の複数の「インスタンス」は、それぞれが「アプリケーション」の個別の「インスタンス」とみなされ、それぞれについてエンタイトルメントを保持しなければならない
ものとします。お客様の「PoE」または「取引文書」に定める課金期間中に「クラウド・サービス」に接続された「アプリケーション・インスタンス」の数をカバーするのに十分なエンタイトルメン トを取得しなければならないものとします。
本「クラウド・サービス」において、「アプリケーション・インスタンス」は、以下に詳述する、
1 つのアプリケーションの連続的なスキャンです。
● 「動的テスト」の場合: 公開または非公開のURL 経由でアクセス可能なWeb サイト。各「アプリケーション・インスタンス」には、単一ドメインで最大 5,000 ページからなる 1 つのサイトに対する資格を与えます。
● 「静的テスト」の場合: 実行可能な単一の環境のために構築されたコード単位。各「アプリ ケーション・インスタンス」は、最大 1,000,000 行のコードをスキャンする資格を与えます。
● 「モバイル・テスト」の場合: モバイル・デバイス上で実行可能なバイナリー・コードの単位。各異種モバイル・プラットフォーム(例: iOS およびAndroid) は異なる「アプリケーション・
インスタンス」とみなされます。
● 「オープン・ソース・テスト」の場合: 単一の実行可能な環境のために構築されたコード単位。各「アプリケーション・インスタンス」は、最大 1,000,000 行のコードをスキャンする資格を 与えます。
● 「IBM AppScan Source 向けのインテリジェント検出分析」の場合: 単一のAppScan Source 評価ファイル。
c. 「インスタンス」は、「クラウド・サービス」を取得する際の課金単位です。「インスタンス」とは、「クラウド・サービス」の特定の構成へのアクセスを意味します。お客様の「証書(PoE)」または「取引文書」に定める課金期間中にアクセスおよび使用することが可能な「クラウド・サービ
ス」の「インスタンス」ごとに十分なエンタイトルメントを取得しなければならないものとします。
各「インスタンス」のエンタイトルメントについては、実行される「ジョブ」または「アプリケーション・インスタンス」(接続される「アプリケーション」) の数量に制限はありません。ただし、同時に 10 を超える「ジョブ」を実行することはできません。
d. 「エンゲージメント」は、サービスを取得する際の課金単位です。「エンゲージメント」は、「クラウド・サービス」に関連するプロフェッショナル・サービス、研修サービスまたはその両方の サービスで構成されます。それぞれの「エンゲージメント」をカバーするのに十分なエンタイトルメントを取得しなければならないものとします。
5.2 超過料金
課金期間中の「クラウド・サービス」の実際の利用が、「PoE」に記載されたエンタイトルメントを超える場合には、お客様は、「取引文書」の記載に従い、その超過分について請求されます。
5.3 セットアップ料金
お客様は、「取引文書」に定めるとおり、セットアップの料金を請求されます。
6. 期間および更新オプション
「クラウド・サービス」の期間は、「PoE」に記述されるとおり、「クラウド・サービス」へのお客様のアクセスについて、IBM がお客様に通知した日に開始します。「PoE」には、「クラウド・サービス」が自動的に更新されるか、継続利用ベースで続行されるか、期間満了時に終了するかが記載されます。
自動更新の場合には、お客様が期間満了日の少なくとも 30 日前までに書面により更新しないことを通知する場合を除き、「クラウド・サービス」は、「PoE」に定める期間につき自動更新されます。
継続利用の場合は、「クラウド・サービス」は、お客様が 30 日前までに書面により終了を通知するまで、
月単位で継続利用することができます。「クラウド・サービス」は、かかる 30 日の期間後の暦月末日まで引き続き利用することができます。
7. 追加条件
7.1 セキュリティーの考慮事項
セキュリティー・スキャンは、アプリケーションにおけるすべてのセキュリティー・リスクを特定することはできません。また、フェイルセーフ運用を必要とする危険な環境での使用のために設計されたものでも、それを意図したものでもありません。これには、航空機航行、航空管制システム、兵器システム、生命維持装置、核施設が含まれますが、これらに限定されるものではなく、セキュリティー・リスクを特定できなかったことが死亡や人身傷害、物的損害につながる可能性のあるその他のあらゆるアプリケーションが含まれます。
「クラウド・サービス」は、お客様が法規、規格または慣行に基づく遵守義務を満たすことを支援するために使用することができます。「クラウド・サービス」が提供するいかなる指示、提案する使用法、またはガイダンスも、法律上、会計上、またはその他の専門的な助言ではなく、お客様はお客様自身で法律上またはその他の専門的な助言を得るものとします。「クラウド・サービス」の使用は、あらゆる法規、規格、または慣行を遵守するものであることを保証するものではありません。
「クラウド・サービス」は、お客様がスキャンすることを選択したWeb サイトおよびWeb またはモバイル・アプリケーション上で侵入テストおよび非侵入テストを実施します。特定の法律では、コンピューター・システムへの侵入またはアクセスの不正な試みを禁止しています。お客様は、IBM が本書に記載のとおりに「サービス」を実行することを許可し、「サービス」がお客様のコンピューター・システムへの許可アクセスとみなされることに同意します。IBM は、「サービス」を実行するのに必要と判断した場合には、この権限の付与について第三者に開示できます。
このテストの実行は、以下のような特定のリスクを伴いますが、これらに限定されるものではありません。
a. テスト中にアプリケーションを実行するお客様のコンピューター・システムは、停止またはクラッシュする可能性があり、その場合には、一時的にシステムが使用できなくなるか、またはデータの損失が生じます。
b. お客様のシステムのパフォーマンスおよびスループット、ならびに関連するルーターおよびファイアウォールのパフォーマンスおよびスループットが、テスト中に、一時的に低下する場合があります。
c. 過剰な量のログ・メッセージが生成され、ログ・ファイル・ディスク領域の過剰な消費につながる場合があります。
d. 脆弱性を精査した結果として、データが変更または削除される場合があります。
e. 侵入検知システムによってアラームが起動する場合があります。
f. テスト中のWeb アプリケーションの電子メール機能によって電子メールが起動する場合があります。
g. 「クラウド・サービス」はイベントを探すために監視中のネットワークのトラフィックを妨害する場合があります。
IBM から提供された、およびテストの対象であるWeb サイトまたはアプリケーションに関連する、サービス・レベル・アグリーメントの権利または救済は、テスト活動中は適用されません。
お客様が、テスト中のアプリケーションの認証済みログイン資格情報を「クラウド・サービス」に入力する場合、お客様は、テスト・アカウントの資格情報のみを入力し、実稼働ユーザーの資格情報を入力してはなりません。実稼働ユーザーの資格情報の使用は、「クラウド・サービス」による個人データの送信につながる場合があります。
「クラウド・サービス」は実稼働中のWeb アプリケーションをスキャンできるように構成できます。お客様がスキャン・タイプを「実稼働」に設定した場合、このサービスは上記のリスクを軽減する方法でスキャンを実行するよう設計されます。ただし、状況によっては「クラウド・サービス」により、テスト対象の実稼働場所やインフラストラクチャー内でパフォーマンスが低下したり、不安定になる場合があります。IBM は、実稼働場所をスキャンするために「クラウド・サービス」を使用することの適合性に関して何等の保証あるいは表明をしません。お客様は、「クラウド・サービス」が、お客様の Web サ
イト、Web アプリケーション、モバイル・アプリケーション、または技術環境に対して適切なものか、安全なものかどうかを判断する責任を負います。
「クラウド・サービス」は、モバイル・アプリケーションおよび Web アプリケーション、ならびにWebサービスのセキュリティーおよびコンプライアンスに関する潜在的な各種問題を特定できるように設計されています。「クラウド・サービス」は脆弱性およびコンプライアンスに関するすべてのリスクをテストするわけではなく、また、セキュリティー攻撃に対する障壁の役目も果たしません。セキュリ
ティーの脅威、規制および標準は変化し続けているため、「クラウド・サービス」はかかる変更のすべてを反映できません。お客様のWeb アプリケーション、システムおよび従業員のセキュリティーとコンプライアンス、救済措置については、お客様が一切の責任を負います。「クラウド・サービス」によって提供される情報を使用するかどうかは、お客様の判断に一任されます。
特定の法律では、コンピューター・システムへの侵入またはアクセスの不正な試みを禁止しています。お客様は、お客様が所有するWeb サイトおよびアプリケーション以外の、またはお客様がスキャンする権利および許可を有するWeb サイトおよびアプリケーション以外のWeb サイトおよびアプリケーションをスキャンするためにお客様がクラウド・サービスを使用しないことを徹底させる責任を負います。
明確にするために付言すれば、「クラウド・サービス契約書」または「ご利用条件 - クラウド・オファリングに関する一般条件」(いずれか該当するもの) の「データ保護」の項に記載されているお客様のコンテンツには、「アプリケーション侵入テスト」中に IBM のアクセスが可能になる可能性のあるデータも含まれているものとみなされます。
7.2 第三者が所有するシステム
本書に基づいてテストの対象となる、第三者が所有するシステム (本規定においては、アプリケーションおよびIP アドレスが含まれますが、これらに限られません。) について、お客様は以下に同意します。
a. IBM が第三者システム上でテストを開始する前に、お客様は各システムの所有者から、IBM が当該システム上で「サービス」を提供することを許可した、および「テストの実行の許可(Permission to Perform Testing)」という表題の項に規定された条件に当該所有者が同意したことを示す、署名済みの書簡を入手し、かかる許可のコピーをIBM に提供すること。
b. IBM のリモート・テストにより当該システムで特定されたリスク、エクスポージャー、および脆弱性をシステム所有者に伝える責任を負うこと。
c. IBM が必要と判断した、システム所有者と IBM 間の情報交換を手配し、促進すること。お客様は以下に同意します。
d. 本契約書に基づくテストの対象であるシステムの所有権に変更があった場合には、必ずIBM に即時通知すること。
e. IBM の書面による事前同意なくお客様の「エンタープライズ」以外で、成果物を開示しないこと、およびIBM が「サービス」を実行したことを開示しないこと。
f. お客様が本項「第三者が所有するシステム」の要件をお客様が満たせなかったことに起因する第三者の請求により IBM が負担するあらゆる損失または負債について、および(a) 本書に基づくテストの対象であるシステムのセキュリティー・リスク、エクスポージャーまたは脆弱性をテストすること、(b) かかるテストの結果をお客様に提供すること、または(c) かかる結果のお客様による使用もしくは開示に起因する、IBM またはIBM の従契約者もしくは代理人を相手に起こされた第三者の罰金または請求について、IBM を免責すること。
7.3 セキュリティー・データ
報告作業を含む「クラウド・サービス」の一部として、IBM は、「クラウド・サービス」から収集された情報を匿名化または集約したものを準備し、維持管理します (以下「セキュリティー・データ」といいます) 。「セキュリティー・データ」では、下記(d) に定めるものを除いて、お客様も個人も特定することはありません。お客様は本書において、以下のみを目的として IBM が「セキュリティー・データ」を使用またはコピーできることにさらに同意します。
a. 「セキュリティー・データ」の公表または配布(サイバーセキュリティーに関連する集計または分析など)
b. 製品やサービスの開発または拡張
c. 社内で、または第三者と共に実施する調査
d. 確認済みの第三者の攻撃者情報の合法的な共有
7.4 イネーブリング・ソフトウェア
「クラウド・サービス」を使用するには、お客様がご自身のシステムにイネーブリング・ソフトウェアをダウンロードする必要があります。イネーブリング・ソフトウェアにより、「クラウド・サービス」の使用が促進されます。お客様は、「クラウド・サービス」の利用に関連してのみ、イネーブリング・ソフトウェアを使用することができます。イネーブリング・ソフトウェアは現状のまま提供されます。
7.5 バックアップ
バックアップは毎日実行されます。IBM はお客様のデータのバックアップ・コピーを最大 90 日間保持します。お客様は、個々のユーザーによるデータの削除を防止するために、「クラウド・サービス」のセキュリティーを構成する責任を負い、当該データが削除された場合には、IBM には当該削除データを復旧する義務がないこと、および可能な場合には、かかる作業について料金を課すことができることにお客様は同意するものとします。
7.6 クラウド・サービスの有効期限
「クラウド・サービス」の満了または終了の前に、お客様は「クラウド・サービス」について提供された報告機能またはエクスポート機能を使用してデータを抽出することができます。カスタム・データ抽出サービスは、別途契約に基づいて提供されます。