SYNTHIA^®は、Merck KGaA, Darmstadt, Germanyとその関連会社が開発・商業化しているクラウドベースの逆合成解析ソフトウェアです。このプラットフォームは、化学者が新規分子と既知分子の両方の合成経路を効率的に計画できるように設計されています。SYNTHIA^®のセキュリティとデータの保護は、ISO 27001:2022認証とトップクラスのサイバーセキュリティ評価によって証明されています。この文書では、SYNTHIA^®で実施されているセキュリティ対策、認証、実践の概要について、添付資料と公式に公表されている情報源のみを参照しながら、事実に基づいて説明します。

 

セキュリティフレームワークの概要

。

情報セキュリティガバナンス

ISO 27001認証

SYNTHIA^®は、情報セキュリティマネジメントシステム（ISMS）のISO/IEC 27001:2022規格の認証を取得しています。この認証は、SYNTHIA^®およびその他のデジタルソリューションの開発と商業化を対象としており、機密情報の管理とリスク軽減のための体系的なアプローチを保証します。

続きを読む
 

CyberVadis Platinum Rating
2025年、メルクはCyberVadisから、データプライバシー、データ保護、事業継続、第三者管理にわたる成熟した包括的なセキュリティ管理を反映した、卓越したサイバーセキュリティ・パフォーマンスに対してプラチナメダルを授与されました。

続きを読む


データのプライバシーとコンプライアンス

正式なデータ保護方針が定められており、データ保護部門が個人データ（PII）の保護に責任を負っています。個人データの保持期間が特定され、削除、変更、ポータビリティの手順が正式化されている。個人データの処理はすべて合法的であり、必要なデータプライバシー条項が契約に盛り込まれている。


アプリケーションおよびインフラストラクチャのセキュリティ

安全な開発ライフサイクル
SYNTHIA^®は、静的および動的アプリケーションセキュリティテスト（SAST/DAST）、脆弱性管理、コードレビューなど、安全なソフトウェア開発ライフサイクル（SSDLC）に従っている。侵入テストと脆弱性分析は少なくとも年1回実施し、開発パイプラインにセキュリティテストを継続的に統合しています。脅威モデリングとアーキテクチャ・レビューは定期的に実施される。

暗号化
データは、転送時には HTTPS（TLS v2）を使用して暗号化され、静止時にはクラウド管理された暗号化を使用して暗号化される。暗号鍵は鍵管理システム（KMS）を通じて管理される。すべてのパスワードは塩漬けされ、ハッシュ化された形で保存される。

アクセス・コントロール
ロール・ベースのアクセス・コントロール（RBAC）が実施され、ユーザーのログインには多要素認証（MFA）が使用される。アクセス権は定期的に見直され、すべてのユーザーに最小特権の原則が適用される。職務の分離と管理業務用の別アカウントが導入されている。ロギング、監視、インシデント対応 セキュリティイベントとインシデントは、正式なプロセスに従って管理され、ログは改ざんや不正アクセスから保護されている。ネットワークとエンドポイントのセキュリティSYNTHIA^®は、Webアプリケーションファイアウォール（WAF）、侵入検知/防止システム（IDS/IPS）、データ損失防止（DLP）メカニズムによって保護されています。分散型サービス拒否（DDoS）保護は、インフラストラクチャー・レベルで実装されています。ワークステーションと企業のストレージメディアは暗号化され、定期的にパッチが適用され、不正アクセスやマルウェアから保護されている。

ロギング、モニタリング、インシデントレスポンス
セキュリティイベントとインシデントは正式なプロセスに従って管理され、ログは改ざんや不正アクセスから保護されている。

ネットワークおよびエンドポイントセキュリティ
SYNTHIA^®は、Webアプリケーションファイアウォール（WAF）、侵入検知/防止システム（IDS/ IPS）、およびデータ損失防止（DLP）メカニズムによって保護されています。
分散型サービス拒否（DDoS）保護は、インフラストラクチャレベルで実装されています。
ワークステーションと企業のストレージメディアは暗号化され、定期的にパッチが適用され、不正アクセスやマルウェアから保護されています。

クラウドインフラストラクチャ
SYNTHIA^®は、ISO 9001、27001、27018、および SOC2 コンプライアンスの定期的な監査を受けている Amazon Web Services（AWS）でホストされています。このプラットフォームは、プライベートサブネット、鍵管理、継続的な監視など、AWS Well-Architected Frameworkのベストプラクティスに従っています。セキュアな設定、ファイアウォール、マルウェア保護は、アプリケーションとインフラの両方のレベルで実装されています。

事業継続と災害復旧
事業継続管理と災害復旧計画は正式に策定され、定期的にテストされています。データのバックアップは暗号化され、毎日行われている。

サードパーティおよびサプライチェーンのセキュリティ
サードパーティのアクセスは特定のシステムに制限され、セキュリティ要件、NDA、監査権を含む契約によって管理される。第三者によるリスク評価が実施され、クラウドプロバイダーは事業継続計画やインシデント対応計画、公的なセキュリティ認証の証拠を提出しなければならない。

サードパーティとサプライチェーンのセキュリティ
サードパーティのアクセスは特定のシステムに限定され、セキュリティ要件、NDA、監査権を含む契約によって管理される。サードパーティのリスクアセスメントが実施され、クラウドプロバイダは、事業継続計画およびインシデント対応計画の証拠、ならびに公式のセキュリティ証明書を提供しなければならない。

コンプライアンスと規制の整合
SYNTHIA^®は、ISO 27001:2022とGDPRに準拠しています。地域のコンプライアンス要件は追跡され、必要に応じて採用されます。プラットフォームは決済データを処理しないため、PCI DSS要件の対象にはなりません。

セキュリティ意識向上とトレーニング
ソーシャルエンジニアリングトレーニングやクリアデスクポリシーを含む、情報セキュリティとデータプライバシーに関する意識向上プログラムが全スタッフを対象に実施されている。新規採用者、請負業者、派遣労働者は倫理規定またはNDAに署名する必要があり、身元調査が実施される。