セキュリティチェックシート対応
更新
セキュリティチェックシートとは
企業がクラウドサービスやSaaS製品を導入する際、取引先・グループ企業・情報セキュリティ部門から「セキュリティチェックシート」の提出を求められることがあります。 これは、導入するサービスが自社のセキュリティ基準を満たしているかを確認するための質問票で、数十項目から数百項目に及ぶことも珍しくありません。
Tailscaleを導入する際にも、このセキュリティチェックシートへの回答が求められます。 しかし、本家Tailscaleに直接問い合わせた場合、回答はすべて英語です。 IT部門が英語のセキュリティ回答を日本語のチェックシートに翻訳・転記し、情報セキュリティ部門のレビューを通すのは、大きな負担となります。
Velumeshでは、Spelldataがセキュリティチェックシートへの回答を日本語で支援します。
Velumeshで対応できること
| 対応内容 | 説明 |
|---|---|
| チェックシートの回答作成 | お客様から受領したセキュリティチェックシートの各項目に対し、Tailscaleの公開ドキュメント・セキュリティ資料・Tailscaleエンジニアからの回答をもとに、日本語で回答を作成します。 |
| Tailscaleへの確認代行 | 公開情報では回答できない項目について、Tailscaleのエンジニアに英語で確認し、回答を日本語に翻訳してお客様に提供します。 |
| 回答内容のレビュー支援 | お客様の情報セキュリティ部門からの追加質問や確認事項に対しても、日本語で回答します。 |
| SOC報告書に関する案内 | TailscaleのSOC 2 Type II / SOC 3報告書に関する情報提供や取得方法のご案内を行います。 |
| 第三者評価サービスへの対応 | Assured等の第三者クラウドリスク評価サービスへの対応についてもご相談いただけます。 |
よく問われる項目と回答の要点
以下は、セキュリティチェックシートで頻出する質問カテゴリと、Tailscaleに関する回答の要点です。 実際の回答は、お客様のチェックシートの項目に合わせて個別に作成します。
認証・アクセス制御
- ユーザ認証方式
-
Tailscale自体はパスワードを保持しません。外部のIdP(Google、Microsoft、GitHub、Okta等)を通じたSSO認証、またはパスキー(Passkey)を利用する方式です。
IdP側でMFA(多要素認証)を有効にすることで、Tailscaleへのアクセスにも多要素認証が適用されます。
参照:Multi-factor auth (MFA) - アカウント権限の分離
-
管理者(Admin)、メンバー(Member)など、ユーザロールに応じた権限分離が可能です。
参照:User roles - アクセス制御
-
ACL(Access Control List)/ Grantsにより、「誰が、どのデバイスに、どのポートでアクセスできるか」をリソース単位で制御します。
IPアドレスによる制限ではなく、ユーザ・グループ・デバイス単位でのゼロトラストモデルを採用しています。
参照:Access control
暗号化・通信セキュリティ
- 通信の暗号化
- WireGuardプロトコルに基づくエンドツーエンド暗号化を実施しています。 通信はChaCha20-Poly1305で暗号化され、鍵交換にはCurve25519が使用されます。 Tailscaleのコーディネーションサーバはメタデータ(デバイス情報、公開鍵)のみを扱い、通信内容にはアクセスできません。
- DERPリレーサーバ
- P2P接続が確立できない場合に使用されるDERPリレーサーバは、暗号化されたパケットをそのまま中継するのみであり、通信内容を復号できません。
データ管理
- データの保管先
-
顧客データ(アカウント情報、デバイス設定、ACL設定等)はドイツのデータセンターに保管されています。
DERPリレーサーバは複数国に分散配置されています。
参照:DPA Subprocessors、Data Processing Agreement - サービス終了時のデータ削除
-
サービス提供終了時または契約終了時は、不要となった個人データやアカウント関連情報を削除または匿名化します。
お客様からの書面による要請があった場合、データ破棄証明書を提供することが可能です。
参照:Data Processing Agreement(9. Return or destroy) - 知的財産権の移転
-
契約において、カスタマーデータに関する知的財産権のTailscaleへの移転は規定されていません。
参照:Terms of Service(5.1)
ログ・監査
- 監査ログ
-
構成変更の監査ログ(デバイスの追加・削除、ACLの変更等)は90日間保持され、その後自動的に削除されます。
より長期間保存したい場合は、APIを使用して任意のストレージにエクスポートできます。
ネットワークフローログ、ログストリーミングはEnterpriseプランで利用可能です。
参照:Audit logging - ログイン履歴
- ログインや認証の履歴は、Tailscaleではなく利用しているIdP(Google / Microsoft / Okta等)側の監査ログで確認する設計です。
サービスレベル・障害対応
- SLA / 稼働率
-
Tailscaleは99.9%のサービス可用性を目標としています。
SLAの詳細はSLAページをご参照ください。
参照:Tailscale SLA - 障害時の問い合わせ窓口
-
日本国内のお客様対応および緊急連絡の窓口は、Spelldataが担当します。
Tailscaleへの英語でのエスカレーションはSpelldataが代行します。
サポート窓口:support@spelldata.co.jp
詳細はテクニカルサポートのページをご参照ください。
生成AI・第三者データ利用
- 生成AI機能の有無
-
Tailscaleには生成AI機能は含まれていません。
なお、Tailscaleは「Aperture」というAIガバナンスソリューションのプライベートアルファ版を一部の顧客に提供していますが、参加は完全にオプトイン方式であり、お客様が任意で参加するものです。
参照:Aperture
Tailscaleのセキュリティ関連資料
以下は、セキュリティチェックシートの回答作成に活用するTailscaleの公開資料です。
| 資料 | 内容 | URL |
|---|---|---|
| Security Overview | Tailscaleのセキュリティアーキテクチャの概要 | tailscale.com/security |
| Trust Model | コーディネーションサーバ、DERPリレー、クライアント間の信頼モデル | tailscale.com/security-policies/trust-model |
| SOC 2 Type II / SOC 3 | 第三者監査によるセキュリティ統制の検証報告書 | tailscale.com/security からリクエスト |
| Data Processing Agreement | データ処理契約(GDPR対応) | tailscale.com/dpa |
| DPA Subprocessors | データ処理の再委託先一覧 | tailscale.com/dpa-subprocessors |
| Terms of Service | 利用規約(知的財産権、責任範囲) | tailscale.com/terms |
| Privacy Policy | プライバシーポリシー | tailscale.com/privacy-policy |
| SLA | サービスレベルアグリーメント | tailscale.com/sla |
| Audit Logging | 監査ログの仕様・保持期間 | tailscale.com/kb/1203/audit-logging |
対応の流れ
| ステップ | 内容 | 所要期間 |
|---|---|---|
| 1. チェックシート受領 | お客様からセキュリティチェックシート(Excel / PDF / Webフォーム等)をお送りいただきます。 | — |
| 2. 項目の確認・分類 | 各項目をTailscaleの公開情報で回答可能な項目と、Tailscaleへの確認が必要な項目に分類します。 | 1〜2営業日 |
| 3. 回答作成 | 公開情報をもとに回答を作成します。確認が必要な項目はTailscaleのエンジニアに英語で問い合わせます。 | 3〜5営業日 |
| 4. 回答納品 | お客様のチェックシートのフォーマットに合わせて、日本語で回答を納品します。 | — |
| 5. 追加質問対応 | 情報セキュリティ部門や取引先からの追加質問に対応します。 | 都度 |
※所要期間は、チェックシートの項目数やTailscaleへの確認の要否により変動します。
※急ぎの場合はその旨お伝えください。可能な限り優先して対応します。
料金
セキュリティチェックシート対応は、プロフェッショナルサービスとして提供します。
| 内容 | 料金 |
|---|---|
| チェックシート回答作成(公開情報のみで回答可能な場合) | プロフェッショナルサービス の時間単価 (1時間3万円・税抜) |
| Tailscaleへの確認代行(英語での問い合わせ・翻訳を含む) | |
| 追加質問への対応 |
※プロフェッショナルサービスの最小消費単位は10分です。
※チェックシートの項目数が50項目程度であれば、2〜4時間(6〜12万円)が費用の目安です。
※同一のチェックシートの回答を複数の取引先に使い回す場合は、初回の回答作成のみ費用が発生し、2回目以降は微修正のみで対応可能です。
本家に直接依頼する場合との比較
| Velumesh(Spelldata経由) | 本家Tailscaleに直接 | |
|---|---|---|
| 対応言語 | 日本語 | 英語のみ |
| 回答の作成 | Spelldataがお客様のチェックシートに合わせて回答を作成 | Tailscaleから英語で情報提供。翻訳・チェックシートへの転記はお客様 |
| 追加質問 | 日本語で対応 | 英語で対応 |
| 所要期間 | 3〜5営業日(標準) | Tailscaleの回答次第(通常数日〜1週間以上) |
| 過去の回答蓄積 | Spelldataが過去のチェックシート回答をナレッジベースとして蓄積・再利用。2回目以降はより迅速に対応 | 毎回新規の問い合わせ |
| Gcore・DigiCert等の回答 | Spelldataが代理店として取り扱う他サービスのチェックシートもまとめて対応可能 | Tailscaleの範囲のみ |
よくあるご質問(FAQ)
- Q. チェックシートのフォーマットに制限はありますか?
- ありません。 Excel、PDF、Webフォーム、Googleスプレッドシート等、お客様が受領したフォーマットのまま回答を作成します。 独自フォーマットや特定の業界フォーマット(金融向け、製薬向け等)にも対応します。
- Q. FISC(金融情報システムセンター)のガイドラインへの対応は可能ですか?
- Tailscaleのセキュリティ体制に関する情報をFISCの項目に合わせて整理することは可能です。 ただし、Tailscale自体がFISC準拠を公式に表明しているものではありません。 金融機関での導入を検討される場合は、個別にご相談ください。
- Q. SOC 2 Type IIの報告書は入手できますか?
- TailscaleはSOC 2 Type IIの監査を受けており、報告書はNDA(秘密保持契約)のもとで提供可能です。 SpelldataがTailscaleに対して取得手続きを代行します。 SOC 3報告書(SOC 2の概要版で、NDA不要)は、Tailscaleのセキュリティページから直接取得できます。
- Q. Assuredへの登録は対応していますか?
- Assuredは、クラウドサービスのセキュリティリスクを第三者として評価するサービスです。 TailscaleのAssuredへの登録や評価対応についてはご相談ください。
- Q. 英語は一切不要ですか?
- はい。お客様が英語でTailscaleとやり取りする必要はありません。 チェックシートの受領から回答納品、追加質問への対応まで、すべて日本語で完結します。 Tailscaleへの確認が必要な場合は、Spelldataが英語で問い合わせを行い、回答を日本語に翻訳してお客様に提供します。
- Q. Tailscale以外のサービスのチェックシートも対応できますか?
- はい。Spelldataが日本正規代理店として取り扱うGcore(CDN)、DigiCert(SSL証明書)のチェックシート対応も可能です。 複数サービスのチェックシートをまとめてご依頼いただくことで、対応の効率化と費用の抑制が可能です。
- Q. 過去に別の取引先向けに作成した回答を流用できますか?
- はい。Spelldataでは、過去のチェックシート回答をナレッジベースとして蓄積しています。 同一のサービス(Tailscale)に関する質問であれば、過去の回答をベースに、取引先ごとのフォーマットや追加要件に合わせて微修正するだけで対応可能です。 2回目以降は費用と所要期間の両方を抑えられます。
セキュリティチェックシートが届いたら、まずご相談ください。
項目数と納期をお伝えいただければ、対応可否と費用感をお見積りします。