セキュリティ対策
私たちは、みなさまの貴重なデータをお預かりしていることを認識し、セキュリティを重要視しています。弊社のセキュリティに関する対策について詳しく解説します 🔒
よくあるご質問(FAQ)に移動アクセス監視: Notionでは、すべての重要なシステムでログを有効にしています。ログには、失敗/成功のログ、アプリケーションへのアクセス、管理者による変更、システムによる変更が含まれます。ログは、Notionの可観測性とセキュリティインシデントイベント管理(SIEM)のソリューションによって取り込まれます。これにはログ取り込み機能や自動ログ記録/アラート機能が搭載されています。
バックアップが有効: NotionはAWSによってホストされ、複数のデータベースを組み合わせてユーザーデータを保存しています。AWSはデフォルトで、重要なデータを保存するための耐久性のあるインフラストラクチャを提供しており、オブジェクトの99.9%の耐久性を実現するように設計されています。すべてのユーザーデータとシステムデータの自動バックアップが有効になっており、データは1日1回以上バックアップされています。バックアップは本番環境のライブデータと同じ方法で暗号化されており、監視とアラートの対象になっています。
データ消去: Notionのユーザーデータは、ユーザー自身がその管理者です。各ユーザーは、作成、使用、保存、処理、破棄する情報に対して責任を負います。Notionのユーザーは、データが規制または法的な保持期間要件の対象とならない場合、データの削除を要求したり、セルフサービスで削除を実行したりすることができます。詳しくはPrivacy Policy(プライバシーポリシー)およびData Processing Addendum(データ処理補遺)をご覧ください。
保存中の暗号化: ユーザーデータは保存中、AES-256を使用して暗号化されています。ユーザーデータは、Notionの内部ネットワーク上で、クラウドストレージ、データベーステーブル、バックアップに保存されているときに暗号化されています。
転送中の暗号化: 転送中に送信されるデータは、TLS 1.2以降を使用して暗号化されています。
物理的セキュリティ: NotionはAmazon Web Services(AWS)を活用してアプリケーションをホストしており、データセンターのすべての物理的セキュリティ制御をAWS側に委ねています。AWSの物理的セキュリティ制御についてはこちらをご覧ください。
責任ある開示: Notionはバグバウンティプログラムを実施しています。詳しくはResponsible Disclosure Policy(責任ある開示ポリシー)をご覧ください。
コード分析: Notionのセキュリティチームおよび開発チームは、新しいリリースやアップデートに対して、脅威モデリングとセキュア設計レビューを実施しています。重要な機能のローンチの場合、コードが完成したあと、コード監査、コードレビューを実行し、コードベースのセキュリティスキャンを実施しています。
ソフトウェア開発ライフサイクル(SDLC): Notionは定義されたSDLCを使用してコードが安全に記述されるようにしています。設計フェーズでは、新しいリリースやアップデートに対して、セキュリティ脅威モデリングとセキュア設計レビューを実行しています。重要な機能のローンチの場合、コードが完成したあと、コード監査を実行し、ベンダー企業との協力や内部侵入テストを行い、コードベースのセキュリティスキャンを実施しています。ローンチ後はバグバウンティを実施しています。また、重大なセキュリティの問題に対処するための脆弱性管理プログラムも用意しています。
資格情報の管理: Notionは、キーの生成、アクセス制御、セキュアなストレージ、バックアップ、およびキーのローテーションを自動的に管理するサードパーティのキー管理サービス(KMS)を使用しています。暗号化キーは最小権限アクセスに基づいて特定のロールに割り当てられます。また、キーは毎年自動的にローテーションされます。キーの使用状況は監視され、ログに記録されます。
脆弱性とパッチ管理: Notionは、インフラストラクチャに関連するすべてのホストと企業の製品に対して、脆弱性スキャンとパッケージ監視を継続的に実行しています。外部および内部向けのサービスには、定期的なスケジュールでパッチを適用しています。検出された問題は、Notionの環境内の重大度に従ってトリアージおよび解決されます。
Webアプリケーションファイアウォール(WAF): すべてのパブリックエンドポイントで、マネージドWebアプリケーションファイアウォールを利用し、一般的な脆弱性を悪用しようとする試みを阻止しています。
データアクセスレベル: 内部(Notionの従業員は、ユーザーからの依頼に基づくトラブルシューティングやコンテンツの復旧においてのみユーザーデータにアクセスします。)
サードパーティの利用: あり。サブプロセッサーの一覧はこちらでご確認いただけます。
ホスティング: Notionは、主要なクラウドサービスプロバイダーの1つであるAmazon Web Services(AWS)上にホスティングされています。
目標復旧時間(RTO): 2時間(目安)
目標復旧時点(RPO): 24時間(目安)
従業員研修: 従業員のオンボーディングプロセス中とその後毎年、セキュリティ研修を必須としています。また、従業員はNotionの行動規範とセキュリティポリシーを確認し、それに同意する必要があります。開発者研修も少なくとも毎年1回実施されます。
人事セキュリティ: Notionは現地の法律および規制に従って雇用された従業員の身元調査を実施しています。
インシデント対応: Notionには、準備、特定、封じ込め、調査、根絶、リカバリー、フォローアップ/事後分析の手順を含むインシデント管理計画があり、1年に1回以上レビューとテストを行っています。
内部評価: Notionでは、内部セキュリティ監査を1年に1回以上実施しています。
内部SSO: すべてのNotion従業員に対して、NotionのIDプロバイダーへのログインに多要素認証(MFA)を必須としています。
データアクセス: Notion社内ではアクセスに最小特権の原則を採用しています。アクセスは、部署、ビジネス上の要件、および知る必要性に基づき付与されます。一定頻度で実施されるアクセスレビューにて、重要なシステムへ継続的なアクセスが必要かどうかの評価が行われます。
ログ: Notionはセキュリティ情報イベント管理(SIEM)ソリューションのログ取り込み機能や自動ログ記録/アラート機能を活用しています。ログが重要なシステムから取り込まれ、警告ルールに基づき必要な場面でセキュリティイベント警告が生成されます。
パスワードセキュリティ: Notionでは、MFA(多要素認証)オプションが提供されているすべてのシステムでMFAを有効にすることを義務付けています。MFAが不可能な場合、複雑性や長さといった厳格な内部パスワード管理ポリシーを適用しています。
Anti-DDoS: Notionは、DDoS対策にサードパーティ製アプリケーションを活用しています。
データセンター: NotionはAWSでホストされており、データセンターの物理的セキュリティはAWSによって管理されています。AWSのセキュリティに関するドキュメントは、こちらをご覧ください。
インフラストラクチャのセキュリティ: Notionのインフラストラクチャは、全面的に冗長化された安全な環境でホストされています。NotionのユーザーデータはAWSによってホストされています。AWSはレポート、認証、および第三者評価のリストを維持しており、最高水準のセキュリティ対策が保証されています。AWSのコンプライアンスについて詳しくは、こちらをご覧ください。
AWSのインフラストラクチャは、Amazonが管理する世界中のデータセンターでホストされており、データセンター自体も不正アクセスを防止するためのさまざまな物理的制御によって保護されています。AWSデータセンターとそのセキュリティ制御について詳しくは、こちらをご覧ください。本番環境の分離: ユーザーデータが非本番環境に保存されることはありません。ユーザーアカウントは本番環境で論理的に分離されています。Notionでは、開発環境、テスト環境、本番環境を分けています。
ディスク暗号化: 従業員のノートパソコンは、ディスク暗号化により保護されています。
エンドポイントの検出と対応: すべてのエンドポイントに検出ソフトウェアがインストールされています。さらに、Notionでは、ユーザーデータとソリューションのセキュリティを確保するため、さまざまなセキュリティ制御を実施しています。こうした制御により、エンドポイントの動作を継続的に可視化し、改ざんや脅威を検出して迅速に対応できるようにしているほか、ログやポリシー適用の制御も行っています。
モバイルデバイス管理: 従業員のデバイスとそのソフトウェア設定は、ITセキュリティチームのメンバーによってMDMソフトウェアでリモート管理されています。
脅威の検知: Notionは、脅威の検知にサードパーティのエンドポイント保護ソフトウェアを活用しています。このエンドポイントソフトウェアは、エンドポイントへの侵入、マルウェア、悪意のあるアクティビティを検知し、迅速な対応で脅威を排除・軽減することを目的としたものです。
ファイアウォール: Notionオフィスのネットワークは、ネットワークファイアウォールで構成されています。WANアクセス可能なネットワークサービスは、オフィス環境内でホストされません。
IDS/IPS: Notionは、組織のセキュリティを確保するための広範な多層防御アプローチの一環として、ネットワーク型とホスト型両方のIDS/IPSシステムを組み合わせて使用しています。これには、シグネチャ型検知とアノマリ型検知を組み合わせた疑わしいアクティビティの監視が含まれます。
セキュリティ情報イベント管理(SIEM): Notionは、インシデントとイベントの管理にSIEMソリューションを活用しています。イベント通知はリアルタイムで弊社のセキュリティ担当者に届きます。
ワイヤレスセキュリティ: Notionオフィスでは、オフィスのワイヤレスネットワークに強力な暗号化を使用しています。Notionは、ユーザーデータや本番環境に影響するようなワイヤレスネットワークを保持しません。
ドメイン管理: ドメインとは、Notionアカウントに関連付けられているメールアドレスのドメインを指します。ドメイン検証により、ワークスペースオーナーはドメインの所有権を取得でき、ドメイン管理設定を利用できるようになります。
SAMLシングルサインオン(SSO): Notionは、ビジネスプランとエンタープライズプランのお客様に、単一の認証ソースを介してアプリにアクセスするためのシングルサインオン(SSO)機能を提供しています。
SCIMプロビジョニングと解除: SCIM(System for Cross-domain Identity Management)のAPI標準規格によるNotionワークスペースの管理が可能です。
監査ログ:ワークスペースオーナーはセキュリティと安全に関連するアクティビティの詳細情報にアクセスできます。これにより、潜在的なセキュリティ問題の特定、疑わしい動作の調査、アクセスのトラブルシューティングなどが可能になります。
二要素認証(多要素認証、2FA、MFA): 二段階認証により、Notionアカウントを保護するセキュリティレイヤーが追加されます。この機能は、すべてのプランでご利用でき、アカウント設定で簡単に設定できます。
権限管理: Notionでは、オーナーが権限レベルを管理して、コンテンツを閲覧・利用できるユーザーを自由に設定できます。
チームスペースの管理: ワークスペースオーナーは、ワークスペース内のすべてのチームスペースの概要の確認や設定変更ができ、その他の管理ツールにもアクセスできます。
SIEM/DLPインテグレーション: Notionでは、任意のDLPまたはSIEMと統合し、イベント検出を行うことができます。
Notionは高度なセキュリティ機能を提供するため、さまざまな規制および業界標準に従ってデータを保護するように設計された、包括的なセキュリティおよびプライバシープログラムを維持しています。コンプライアンスレポートの写しをご希望の場合は、Trust Portalについて team@makenotion.comまでお問い合わせください。
SOC 2 Type 2:SOC 2 Type 2は、米国公認会計士協会(AICPA)により認定された独立した第三者機関が実施する監査報告書で、サービス組織の内部統制をトラストサービス規準(TSC)に則り評価するものです。SOC 2 Type 2レポートは、一定期間にわたりこうした内部統制の有効性を評価し、当該組織が適切な内部統制を実施してデータを保護していることを顧客や利害関係者に対し保証することを目的としています。
ISO :ISOは国際規格の開発機関であり、NotionはISO 27001、ISO 27701、ISO 27017、ISO 27018の4つのISO規格の認証を取得しています。この規格には、Notionの情報セキュリティ管理システム(ISMS)およびプライバシー情報管理システム(PIMS)を確立、実装、継続的に改善するための要件について、概要が示されています。
HIPAA:医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act、HIPAA)は、1996年に制定された米国連邦法であり、医療従事者、医療保険、医療クリアリングハウスなどの対象事業体とその業務関連会社に対して、保護対象保健情報(PHI)の保護と機密保持を義務付けるものです。HIPAAの対象となる企業は、こちらの記事で説明されているNotionエンタープライズグレードのセキュリティ機能を活用して、Notionの業務提携契約(BAA)に署名することで、Notionワークスペースで保護対象保健情報(PHI)を処理することができます。
BSI C5(クラウドコンピューティングコンプライアンス基準カタログ):BSI C5は、ドイツ連邦情報セキュリティ局が策定したセキュリティ規格です。クラウドサービスプロバイダーの基本的なセキュリティ基準の概要を説明しています。C5には、データの場所、サービスプロビジョニング、管轄区域、既存の認証、情報開示義務、およびフルサービスの説明に関連する追加の基準に関する要件が含まれます。
PCI DSS:支払いカード産業(PCI)データセキュリティ規格(DSS)は、クレジットカードデータの管理を強化することで不正行為を防止するために設計されたグローバルな情報セキュリティ基準です。組織はその規模に関わらず、Visa、MasterCard、American Express、Discover、およびJapan Credit Bureau (JCB)の5つの主要クレジットカードブランドの支払いカードを受け入れる場合、PCI DSS規格に従わなければなりません。支払いデータおよびカード保有者データを保存、処理、または送信する組織には、PCI DSSへの準拠が求められます。Notionサービスは、PCI-DSSバージョン4.0に基づき、Merchant Level 2 (年間100万~600万件のトランザクション)に認定されています。
よくあるご質問(FAQ)
Notionではどのようなデータを処理していますか?
Notionではどのようなデータを処理していますか?
Notionはお客様の安全とプライバシーに真剣に取り組んでいます。Notionが処理するデータの詳細については、Data Processing Addendum(データ処理に関する付属書) を参照してください。
Notionの利用をやめた場合、データはどうなりますか?
Notionの利用をやめた場合、データはどうなりますか?
データは次の2つの方法で削除できます。
こちらの ヘルプページ の手順に沿って操作する。
team@makenotion.com にメールで連絡する。
データを誤って削除した場合は、team@makenotion.com までご連絡ください。
Notionのデータの保持期間については、Data Processing Addendum(データ処理に関する付属書)でご確認ください。
Notionのシステムに災害が発生し、私のNotionインスタンスに影響があった場合、Notionはどのようにして復旧するのですか?
Notionのシステムに災害が発生し、私のNotionインスタンスに影響があった場合、Notionはどのようにして復旧するのですか?
Notionは、AWS US West-2およびAWS US East-2内の個々のアベイラビリティーゾーンにわたる予期せぬイベントによる損失から保護するために、すべてのユーザーデータおよびシステムデータの自動バックアップを日次で実行しています。
Notionにはこのような状況に特化した事業継続計画と災害復旧計画があり、災害による中断からNotionが確実に復旧するよう、災害復旧計画は少なくとも年に一度テストされています。
Notionの従業員はユーザーの情報にアクセスできますか?
Notionの従業員はユーザーの情報にアクセスできますか?
Notionの従業員は、トラブルシューティングやコンテンツの回復においてのみユーザーデータにアクセスします。詳しくは、データアクセスの同意 についての記事をご覧ください。
他のユーザーは私のページを見ることができますか?
他のユーザーは私のページを見ることができますか?
Notion内のデータは安全に保たれています。アクセス権がないユーザーがあなたのワークスペースにアクセスしようとした場合、そのコンテンツにアクセスする正しい権限がないことを知らせるページが表示されます。
ページ右上の 共有 メニューにある Webで公開 をオンにすると、そのページがインターネット上に公開され、そのリンクを持つユーザーなら誰でもアクセスできるようになります。デフォルトでは常にオフになっています。
ワークスペースをほかのユーザーと共有している場合、ワークスペース内の全員に公開されているページと、特定のユーザーのグループのみに表示されるページがあります。これらの設定は、ページの右上にある 共有 メニューで確認できるアクセス許可に基づいています。
エンタープライズワークスペースのアカウントを使用している場合は、ワークスペースのオーナーがあなたのコンテンツにアクセスする可能性があるので、ご注意ください。詳しくはPersonal Use Terms of Services(個人利用規約)をご覧ください。
Notionの追跡/分析からオプトアウトすることはできますか?
Notionの追跡/分析からオプトアウトすることはできますか?
はい、可能です!ただしアプリ内のメッセージサポートも無効になってしまうため、サポートが必要な時はteam@makenotion.comにメールでご連絡いただくことになります。
このアドレス宛でサポートチームにご連絡をいただければ、オプトアウトの設定をいたします。
使っているブラウザーに、Notionがトラッカーを使用しているという警告が出ました。トラッカーは何をするのですか?
使っているブラウザーに、Notionがトラッカーを使用しているという警告が出ました。トラッカーは何をするのですか?
私たちは、効果的に広告を掲載するために、追跡コードを使用します(たとえば、弊社マーケティングサイトへの訪問の追跡)。これらはサブドメイン(aif.notion.so)のサンドボックス化されたiframeに隔離されており、ユーザーページで有効化されることはありません。
ユーザーコンテンツが、第三者のサービスに公開されることはありません。
Does Notion review findings from Third Party Risk Assessment Platforms (i.e. Security Scorecard, Bitsight, Upguard)?
Does Notion review findings from Third Party Risk Assessment Platforms (i.e. Security Scorecard, Bitsight, Upguard)?
We understand that many organizations use third-party risk assessment platforms for security due diligence. However, we’ve noticed that these platforms often produce unreliable and incorrect results, and addressing these incorrect findings is costly and distracts from important cybersecurity work. Therefore, our policy is to not always respond to inquiries or findings from these platforms. This approach allows us to focus our cybersecurity resources on what truly matters for Notion and our customers.
