ArcGIS Online は、米国 Esri 社が管理するクラウド GIS 製品です。お客様が安心してご利用いただけるよう欧米の主要なセキュリティ規格に準拠した設計と開発を行っており、さまざまな認証を取得しています。セキュリティを向上させるためのオプション機能を利用して、組織のポリシーに応じたセキュリティに関する設定をユーザー自身が柔軟に構成することもできます。取得している認証やセキュリティ関連の機能は、継続的に追加、更新されています。

ArcGIS Online が準拠する規格や取得している認証等

ArcGIS Online は、NIST SP800-53 (ISO/IEC 27001 を参照) をベースとした、米国のクラウド サービスの情報セキュリティ基準を示したガイドライン FedRAMP 認証を取得しています。その他にも、以下のような規格に準拠しています。

• FedRAMP Moderate
• CSA STAR Level 1
• CCPA
• HIPAA
• GDPR

ArcGIS Online のクラウド プロバイダーについて

ArcGIS Online は、Amazon Web Services と Microsoft Azure をインフラストラクチャ プロバイダーとして利用しています。

各プロバイダーで準拠している規格や取得している認証につきましては、下記のページをご参照ください。

• Amazon Web Services: AWS コンプライアンスプログラム
• Microsoft Azure: Azure コンプライアンス ドキュメント

よくあるご質問

• ArcGIS Online の可用性はどうなっていますか？
• ArcGIS Online は、24 時間 x 週 7 日運用で、四半期ごとに稼働率 99.9% をサポートします。
  詳細は、ArcGIS Online サービス レベル アグリーメント (英語) をご参照ください。
• 利用しているデータセンターの場所はどこにありますか？
• デフォルトでは、Amazon Web Service US リージョン (East、West) および Microsoft Azure US リージョン (South Central、East、West) の範囲の米国内に存在します。
• 多要素認証に対応していますか？
• はい、対応しています。詳細は下記をご参照ください。
  https://doc.arcgis.com/ja/arcgis-online/administer/configure-security.htm#MULTIFACTOR
• パスワードポリシーはどうなっていますか？
• 初期のポリシーは最低 8 文字で、1 つ以上の文字と 1 つ以上の数字を含んでいる必要があります。パスワード ポリシーの変更も可能です。
  設定できるポリシーの要件は、文字の長さや種類とその複雑度、有効期限が切れるまでの日数や再利用できない過去のパスワードの数等です。
  詳細は下記をご参照ください。
  https://doc.arcgis.com/ja/arcgis-online/administer/configure-security.htm#ESRI_SECTION1_DBBFC6A6BC45447F8A6AFC42C7F4B751
• シングル サインオンに対応していますか？
• はい。SAML および OpenID Connect ログインを構成可能です。詳細は下記をご参照ください。
  ・SAML ログインの設定
  ・OpenID Connect ログインの設定
• データのバックアップは自動で取得していますか？
• お客様データの自動バックアップ機能はありません。データセットのバックアップはお客様の責任で行っていただく必要があります。バックアップ データの取得方法は下記をご参照ください。
  https://doc.arcgis.com/ja/arcgis-online/reference/faq.htm#anchor18
  インフラストラクチャのバックアップは、Esri の責任において行われています。
• あるデータへのアクセスを特定のユーザーに制限することは可能ですか？
• はい。データを特定のグループに共有することで、そのグループに参加する特定のユーザーのみに当該データへのアクセスを制限できます。データの共有機能に関しての詳細は下記をご参照ください。
  https://doc.arcgis.com/ja/arcgis-online/share-maps/share-items.htm
• 特定のユーザーが利用できる機能や権限を変更することは可能ですか？
• はい。利用できる機能や権限をカスタマイズして作成した「カスタム ロール」を適用することで、特定のユーザーが利用できる機能や権限を変更できます。カスタム ロールで構成できる機能や権限についての詳細は下記をご参照ください。
  https://doc.arcgis.com/ja/arcgis-online/administer/privileges-for-roles-orgs.htm
• ログを出力できますか？
• はい、アクティビティ ログを CSV で出力することができます。ユーザーのログインの履歴やアイテムが操作された日時や IP アドレスを取得できます。詳細は下記をご参照ください。
  https://doc.arcgis.com/ja/arcgis-online/reference/report-fields.htm#ESRI_SECTION1_39392B7B687E48E2A48FCBFE8FAFA106
• セキュリティ インシデントについての問い合わせ窓口はありますか？
• はい。
  セキュリティ、プライバシーに関する問題がある場合、下記の米国 Esri 社の製品セキュリティ インシデント対応チームの窓口から報告いただくことが可能です。各項目は英語でご記入ください。
  https://trust.arcgis.com/en/security-concern/
  弊社のお問い合わせ窓口では、製品の操作方法や操作中のエラーについてのお問い合わせをお受けしています。
  https://tech-support.esrij.com/arcgis/article/web/index.html
• ArcGIS Online は ISMAP のクラウド サービス リストに登録されていますか？
• いいえ、登録されておりません。
  ただし、インフラストラクチャ プロバイダーである AWS と MS Azure の両プロバイダーは ISMAP クラウド サービス リストに登録されています。ArcGIS Online は、クラウド サービスのセキュリティ対応を評価する米国の FedRAMP Moderate 認証を取得しています。
• ArcGIS Online は ISO27001、ISO27017 の認証を取得していますか？
• ArcGIS Online の欧州リージョンにおいて、ISO/IEC 27001:2022 認証を取得しています。
  また、ArcGIS Online が取得している FedRAMP Moderate 認証は、ISO 27001 の 114 の管理要件に対して 400 を超える管理要件を網羅しています。FedRAMP Moderate と ISO 27001 の比較については、下記の対応表をご参照ください。
  ISO 27001 と FedRAMP の管理の対応表
• マルウェア対策はされていますか？
• はい。悪意のあるコードを含むファイルは、アップロードが拒否されます。また、ArcGIS Online のすべてのシステムおよび管理者ワークステーションには、マルウェア対策がインストールされています。
• ネットワークやサーバーへの不正侵入を検知・防御するシステムは導入されていますか？
• はい、導入されています。
• データは、保管時と転送時に暗号化されていますか？
• はい。転送時には HTTPS w/TLS 1.2 を使用し、保管時には AES-256 を使用します。
• 時刻同期は行われていますか？
• はい。すべてのサービスは一貫した時刻設定標準 (PST、GMT、UTC など) を使用します。可能な限り、ArcGIS Online システム全体で正確な時刻を維持するために、標準化および参照のための中央時刻のソースをホストする Network Time Protocol を通じてサーバー クロックが同期されます。
• 第三者機関のセキュリティ監査を実施していますか？
• はい。独立した第三者評価機関によって毎年評価/監査されています。
• 現在の ArcGIS Online のシステム稼働状況を確認できますか？
• はい。下記の ArcGIS Online Health Dashboard をご参照下さい。最新情報を RSS フィードで受信することも可能です。
  https://status.arcgis.com/

セキュリティ、プライバシーに関する資料