はじめに ─ なぜ「トラストセンター」を見るのか
エンタープライズのシステム選定では、機能比較が一段落したあと、必ず「セキュリティ調査票」や「コンプライアンスチェックリスト」のフェーズがやってきます。情報システム部門、法務、内部監査、購買 ─ 関係者がそれぞれの観点でベンダーを精査するこの工程は、地味ですが、契約締結の最終関門です。
Liferayはこの工程に応えるため、「Liferayトラストセンター」という公開情報サイトを運営しています。セキュリティ認証、データ保護、FOSSライセンス、FISC準拠、責任あるAIまで、デューデリジェンスに必要な情報が一通り集約されており、お客様のセキュリティ調査票の回答準備や、社内稟議の説明資料として直接活用できる構成になっています。
本記事では、その全8セクションの内容を、エンタープライズ導入の実務目線で整理します。
参考URL:https://www.liferay.co.jp/trust-center
トラストセンター全体像 ─ 4つの柱
Liferayが「単なるベンダーではなく、信頼できるパートナーである」と表現する根拠は、次の4つの柱に整理されています。
セキュリティ最優先 2012年から運用されている「DXP Vulnerability Disclosure Program」により、社内外からの脆弱性報告に対する責任ある対応とパッチ適用が継続的に行われています。CVEベンダーとしてCVE公開記録にも積極的に貢献。SaaSサービスはセルフホスト製品の実績ある基盤の上に構築されており、24時間365日の監視と継続的なセキュリティ管理が提供されています。
データ保護への注力 厳格なデータアクセスポリシー、包括的なベンダー評価、従業員の厳選と定期的な教育。契約書には適用されるデータ保護法の遵守が明示されています。
FOSSライセンスの遵守 ISO/IEC 5962 SPDX形式(必要に応じてCycloneDX)のSBOMを顧客に提供。オープンソースの取り扱いについて、コミュニティのベストプラクティスを適用しています。
誠実さとコンプライアンス ビジネス行動・倫理規範、ESGレポート、奴隷制反対声明、内部告発チャンネルなど、誠実な事業運営の枠組みが公開されています。
セキュリティコンプライアンス ─ 取得認証の一覧
2019年以降、Liferayはセキュリティ・プライバシー・コンプライアンス管理について第三者検証を継続的に受けています。RFP回答の頻出項目なので、まずは認証一覧から押さえておきましょう。
- ISO/IEC 27001(情報セキュリティマネジメント)
- ISO/IEC 27017(クラウドサービスのセキュリティ)
- ISO/IEC 27018(クラウド上の個人情報保護)
- SOC 2 Type 2
- HIPAA(米国医療情報保護)
- CSA STAR Level 1 および 2
- スペイン国家情報セキュリティ基準(ENS)
そして後述しますが、AIマネジメントについてはISO 42001も取得済みです。
情報セキュリティマネジメントシステム(ISMS)は、事業継続・災害復旧、ポリシーと企業セキュリティ、アセット管理、物理的セキュリティ、人事セキュリティ、システムとソフトウェアのセキュリティ、という6領域で構成されており、それぞれにポリシーが整備されています。
コンプライアンス全般 ─ 倫理規範と各種声明
ここは「企業姿勢」のセクションです。ビジネス行動・倫理規範を中心に、次の項目が公開されています。
- ビジネス行動・倫理規範
- 環境・社会・ガバナンス(ESG)レポート
- 英国現代奴隷法(2015)に関する声明
- 内部告発チャンネル(匿名通報・報復防止)
- EUデジタルサービス法(DSA)への対応と単一窓口
特に欧州系のお客様や、サプライチェーンに関する調査が厳しい業界では、ESGや現代奴隷法の声明文を求められることがあります。これらが整っているかどうかは、グローバル企業の購買部門が見るポイントです。
FOSS/IPコンプライアンス ─ SBOMの提供
Liferayは自社をFOSSコミュニティの一員と位置付け、最新のFOSSライセンスコンプライアンス標準を遵守しています。実務的に重要なのは、ISO/IEC 5962 SPDX形式(必要に応じてCycloneDX)でSBOM(ソフトウェア部品表)を提供している点です。
近年のサプライチェーン攻撃(SolarWindsやLog4Shellなど)を受けて、米国大統領令でもSBOM提出が義務化される流れが加速しています。お客様の脆弱性管理プロセスや、内部監査の要件に組み込みやすい標準フォーマットで提供されているのは、エンタープライズ採用において大きな安心材料です。
データ保護 ─ 製品形態ごとに役割が違う
ここはセクションの中でも特にボリュームがあり、実務上もっとも参照頻度が高い部分です。ポイントは、製品形態によってLiferayと顧客の役割が変わるということ。
Liferay SaaS/PaaS/Analytics Cloud ホスティングはGoogle Cloud EMEA Ltd.(アイルランド)/GCP上。バックアップにはAWS(BYOK暗号化、AWS KMSでHSMにキー保管)を利用。Liferayが「処理者」として個人データを処理する形になります。
Liferay Self-Hosted 顧客自身のオンプレミス環境で稼働するため、Liferayは個人データを処理しません。エンタープライズサービス契約(ESA)第13.10条で、契約関係確立に必要な連絡先データを除き、個人データの提供・開示・アクセス権付与が不要であることが明記されています。結果として、Self-Hosted単体ではDPA(データ処理契約)の署名は不要です。Analytics Cloudをアドオンとして利用する場合のみ、DPAが必要になります。
6つのコミットメント
クラウドサービスとして個人データを処理する場合、Liferayは契約上、次の6点を約束しています。
- 適切な技術的・組織的措置の実施
- 顧客の指示に基づく処理
- 同等の保護を提供する復処理者のみの利用
- サブスクリプション終了時のエクスポート/削除
- 監査協力
- データ侵害時の遅滞ない通知
よくある質問のうち、特に押さえておきたい項目
GDPR/LGPDに準拠していますか? 組織としての適用法準拠と、製品が提供する機能を区別した上で、クラウドサービスについては契約上の義務として処理を保証。
個人データの国境を越えた移転はありますか? EEA域外の復処理者を利用するため発生し得ます。EMEA・ブラジル・日本のお客様の場合、EEAおよびEU十分性認定域外への移転はブラジルへの移転に限定。
暗号化はどう適用されますか? 移転中はAES-256のSSL強制接続、保存時も暗号化。バックアップはBYOK暗号化。
データ削除のタイミングは? サブスクリプション満了・終了から30日後にシステムから回復不能に削除。それまでの14日間は検索目的でアクセス要求が可能。
監査はできますか? DPAの定める範囲・条件のもと、原則12ヶ月に1回まで実施可能。過去12ヶ月以内のSOC 2 Type Iまたは類似の認証・報告書がある場合、それで代替されることに合意することが前提。
DPOはいますか? 適用法に従って義務付けられている地域で任命済み。
保険は? データ侵害をカバーする一般賠償責任保険(GL)とエラーズ・アンド・オミッションズ保険(E&O)に加入。
セキュリティコントロール ─ 4層の防御
具体的なセキュリティ対策は、4つの層で整理されています。お客様への説明資料を作る際、ここの粒度感はそのまま流用できます。
インフラストラクチャー 侵入検知システム、本番環境DBへのアクセス制限、リモートアクセスのMFA、本番ネットワークの保護、暗号化リモート接続、本番/非本番データのセグメント化、デフォルト拒否のファイアウォール、WAF+AI強化のGoogle DDoS対策、年次のペネトレーションテストと脆弱性スキャン。
組織 マルウェア対策の全システム配備、全従業員・請負業者のNDA、資産処分手続き、毎年のセキュリティトレーニング、採用時の身元調査、役割ベースのアクセス権、認証ルール強化。
製品 分離されたセキュアな開発・テスト・リリース環境、開発者全員のOWASPトレーニング、計画から実装・リリースまでのセキュアSDLC、年次ペネトレーションテストとSLAに基づく修正、SAST/DAST/SCAによる多層的な脆弱性検出。
社内手続き 年次のBC/DR計画テスト、マネージャー承認を伴うアクセス要求、データバックアップポリシー、文書化されたインシデント対応ポリシー、変更管理手順、構成管理システム、ドキュメントサイトとサポートチケット、第三者協定、サイバーセキュリティ保険。
LiferayとFISCコンプライアンス ─ 国内金融機関向けの要点
国内の金融機関にLiferayを提案する際に必読なのが、このセクションです。
FISCとは
FISC(一般財団法人 金融情報システムセンター)は、国内金融機関のITシステムの安全性・安定性を確保するための基準・ガイドラインを策定する機関です。FISC準拠は単一製品の話ではなく、ハードウェア・ソフトウェア・ネットワーク・業務プロセス・外部委託先まで含めたシステム全体を対象としています。
共同責任モデル
ここを正しく理解しておかないと、お客様との議論で齟齬が生まれます。FISC準拠はLiferay側とお客様/SIベンダー側の共同責任で実現されます。
Liferayの責任 プラットフォーム提供、ベストプラクティス共有、ソフトウェア/コンピュート/ストレージ/DB/ネットワーキング、サーバー側暗号化、ネットワークトラフィック保護、リージョン/可用性ゾーン/エッジロケーション。
お客様/SIベンダーの責任 顧客データ管理、プラットフォーム/アプリケーション/ID・アクセス管理、OS/ネットワーク/ファイアウォール設定、クライアント側のデータ暗号化と完全性認証、システム設計・運用体制・データ管理方針の策定。
FISC準拠を支援する5つの機能
- アクセス制御とアイデンティティ管理(SAML/OpenID Connect/LDAP対応のSSO、MFA、ページ・ウィジェット単位のRBAC)
- 監査ログとモニタリング(操作履歴、SIEM連携、ログ保持ポリシー)
- 高可用性アーキテクチャ(クラスタリング、負荷分散、フェールオーバー、セッションレプリケーション)
- 安全な開発・デプロイメント(ステージングから本番へのワークフロー、ホットデプロイ、定期パッチとLTS)
- データ保護(HTTPS/SSL強制、設定データのハッシュ化、DB暗号化)
ホスティング戦略の選び方
Self-Hosted:インフラからアプリ層まで顧客自身で管理。FISC対応の自由度は最大、運用負担も最大。 PaaS:プラットフォーム基盤・ランタイムをLiferayが管理。可用性・暗号化・アクセス制御の基本要件はLiferay側でカバー。 SaaS:インフラ・ソフトウェア更新・パッチ・バックアップ・監視まで包括管理。日本国内データセンターでのホスティングも可能で、FISC対応の運用を大幅に簡素化できます。
国内金融機関には、SaaSの国内ホスティングが選択肢として現実的なケースが増えています。
責任あるAI ─ ISO 42001取得済み
最後は、最近もっとも注目されているテーマです。LiferayはAIマネジメントシステム(AIMS)について、外部監査機関の検証を受けISO 42001認証を取得済みです。EU AI Actやデータ保護法を含む関連規制への対応を反映した仕組みになっています。
Responsible AI 9つの中核原則
- 環境・社会への配慮
- 公平性
- 透明性と説明可能性
- 人による監督
- 堅牢性・安全性・セキュリティ
- データ保護
- 知的財産の尊重
- 悪用の防止
- 説明責任
これらの原則を実践するため、リスク・影響評価、AI Use Case Registry、業務指示書、ベンダー評価、データ管理プロトコル、Responsible AIトレーニング、インシデント対応、コミュニケーションと透明性、継続的な監視と再評価、レビューおよび改善 ─ 計10項目の運用施策が定められています。内部監査は毎年、外部監査もISO 42001等の国際標準に基づいて実施されています。
BYO-AIモデルという戦略
ここはLiferayらしい考え方が表れている部分です。
Liferayの戦略は、AIシステムを製品の一部として提供するのではなく、「BYO-AI(Bring Your Own AI)」モデルに重点を置いています。お客様自身が利用したいAIシステムをLiferay製品と統合できるアプローチです。
つまり、Liferay自身が特定のAIモデルを抱え込むのではなく、お客様が選んだAIサービス(Articul8、各種LLMなど)を組み合わせられる柔軟な設計を志向しています。
そして次の点は、AI採用のガバナンスを気にされるお客様にとって重要なポイントです。
Liferayは、お客様の許可なく、お客様が提供したデータをAIモデルのトレーニングに利用することはありません(また、第三者に利用させることもありません)。
まとめ ─ トラストセンターは「営業ツール」でもある
Liferayトラストセンターを8つの観点で見てきました。あらためて整理すると、次の3軸が浮かび上がります。
- 第三者認証による客観的裏付け:ISO 27001/27017/27018、SOC 2 Type 2、HIPAA、CSA STAR、ENS、ISO 42001
- 製品形態ごとの責任分担の明確化:SaaS/PaaS/Self-Hosted/Analytics Cloud
- 地域規制への対応力:GDPR、LGPD、英国現代奴隷法、EU DSA、日本のFISC、EU AI Act
トラストセンターは、お客様向けの説明資料というより、営業・プリセールスの実務ツールとして捉えるのが正解です。新規案件のセキュリティ調査票(チェックシート)対応で時間を要している場合、まずはトラストセンターの該当セクションを参照することで、回答の8割は事前に準備できます。
OxygenDesignでは、Liferay製品の導入支援において、こうしたセキュリティ・コンプライアンス観点での説明や、お客様情報システム部門・法務部門への対応支援も行っています。
国内金融機関でのFISC対応、製造業・公共セクターでの個人情報保護、グローバル展開企業でのGDPR対応 ─ それぞれの業界・地域要件に応じて、トラストセンターのどの情報をどう使うかは変わります。具体的なご相談は、お問い合わせフォームよりお気軽にどうぞ。
