本ページは、弊社製品のクラウドシステムに対するチェック項目を記載した情報ページになります。
クラウドシステムに関するセキュリティチェックに対し、あてはまる情報があればご利用ください。
ネットワーク関連[CLUe]
Q. クラウドサービスは、WEB PROXY に対応しているか?
A. CLUeは、AWS Gatewayと標準インフラを利用します。WEB プロキシのユースケースはございません。
Q. WEBプロキシを経由する通信の「送信先FQDN(ワイルドカード可)」は、何か?
A. WEBプロキシ は、利用しておりません。
Q. Firewallを経由する通信の「送信先IPもしくはFQDN(ワイルドカード不可)」と「送信先ポート」は、何か?
A. WEBプロキシ は、利用しておりません。
Q. クラウドサービス側で、送信元グローバルIPによるアクセス制限をかけるか?
A. WEBプロキシ は、利用しておりません。
Q. 外部及び内部からの不正なアクセスを防止する装置(ファイアウォール等)を導入していますか?
A. CLUeは、WAFサービスを利用して、異常なアクティビティを検出しブロックする機能を有しております。
Q. クラウドサービスに対し、接続元のIPアドレスを制限する機能はありますか?
A. はい。
CLUeは、AWS VPCで提供される bastionサーバーであり、会社のIPアドレスからのみアクセスを許可しています。
Q. クラウドサービス環境において「サービス提供システム」と「管理用システム」は、ネットワークが
分離されていますか?
A. 対象外です。
CLUe環境では、このようなネットワーク分離はございません。
アクセスコントロールの管理者のためだけのサービスシステムです。
Q. モバイル端末の固有情報(IMEI等)を認証に用い、限られた端末しかアクセスできないようにすることは可能ですか?
(内部不正アクセス防止のため)
A. 対象外です。
本システムは、公開されたシステムです。
Q. 悪意あるユーザがPC、モバイル端末に対して情報を保存し、持ち出せないようなしくみになっていますか?
(内部不正アクセス防止のため)
A. 対象外です。
本システムは、公開されたシステムです。
Q. ネットワーク輻輳時の対策有無について教えてください。
A. 特に対策は行っていません。
システム構成[CLUe]
Q. クラウドサービスはシングルテナント方式ですか?
A. いいえ。
CLUeは、マルチテナントアーキテクト方式です。
Q. マルチテナント方式の場合、システムリソースを独占されないような設計と運用が行われていますか?
A. はい。
各リソースは、それぞれの場所の区切りに基づいて割り当てており、システムリソースを独占するような
ことがないように設計しております。
Q. クラウドサービスのシステムリソース(CPU/メモリ/ディスク容量等)が不足した場合、検知する手段はありますか?
A. はい。
CLUeは、システムリソースの不足を起こさせないよう、オートスケーリングサービスを採用しております。
Q. 利用者が急増した際にシステムリソースが速やかに増強可能な構成となっていますか?
A. はい。
CLUeは、オートスケーリングサービスを採用しているため、自動的に増強されます。
Q. 想定している利用者(エンドユーザ)について教えてください。
A. 不特定多数のユーザが利用されることを想定しています。
Q. システムで使用され、管理しなければいけないクライアント数を教えてください。
A. 不特定多数のクライアントが利用されることを想定しています。
Q. 「個人データ」を保有しますか?
(個人データ:名前、住所、メールアドレス、IP、Cookieの利用、本人の写真(画像⦆、等
A. はい。個人データを保有します。
Q. 個人データをどこから取得しているかを教えてください。
A. 当該システムで取得しています。
また、一部のシステムによっては、他のシステムから顔情報を取得する場合があります。
Q. 個人データの取得時に取得項目と利用目的を明示しているか教えてください。
A. 項目と目的を列挙し、明示しています。
Q. 個人データの所有者が、データの訂正や消去を依頼することができるかを教えてください。
A. はい。 可能です。
Q. 第三者認証を取得しているか教えてください。
(ISMS,Pマーク、などのセキュリティやクラウドサービスに関する第三者認証)
A. Pマークを取得しています。
Q. サービス仕様書があり、開示可能ですか?
また、サービス仕様書には、仕様書が満たされない場合のペナルティも含め記載がありますか?
A. 現状、サービスに対する仕様書はありません。
Q. クラウド事業者として公的な第三者認証等を取得していますか?
A. ISO27001/27701で個人情報保護に対する体制を持っております。
また、CSA STAR認定で、クラウドシステムの安全、安定性を確保したことも認められております。
更に、委託販売先となる我々は本社の個人情報保護体制の下にあり、Pマークも取得しております。
Q. 事前にSLAや利用条件を定め、免責事項やクラウド利用者に求められる条件があれば、
その内容を明確にしていますか?
A. 当社は、利用規約において、当社が提供するサービスの内容・範囲、禁止事項、お客様の責任に
ついて定めています。
法令・規制[CLUe]
Q. 本サービスおよび事業者としての御社は日本国の法令、規制の適用を受けるものとなりますか?
A. 対象外。
CLUeの運営会社(本社)はISO27001/27701で個人情報保護に対する体制を持っております。
また、CSA STAR認定で、クラウドシステムの安全、安定性を確保したことも認められています。
更に、CLUeの委託販売先となる 弊社は、本社の個人情報保護体制の下にあり、Pマークも取得しています。
弊社の個人情報の利用目的・項目保有期間については、下記のリンクのCLUe項目をご参照ください。
https://www.supremainc.com/jp/util/privacy-policy-pmark.asp
Q. JIPDECやJQA等で認定している情報処理管理に関する公的認証 (ISMS、プライバシーマーク等) が
取得されていますか?
A. 取得しています。
ISO27001/27701で個人情報保護に対する体制を持っております。
また、CSA STAR認定で、クラウドシステムの安全、安定性を確保したことも認められております。
更に、CLUeの委託販売先となる我々は本社の個人情報保護体制の下にあり、Pマークも取得済です。
Q. 提供者側でのデータ取扱環境が適切に確保されていますか?
A. はい。 このため、ISO27001/27701を取得しています。
Q. 会計監査報告書における情報セキュリティ関連事項の監査時に、 必要な情報を提供することはできますか?
A. はい。 ご要望に応じて、可能な範囲で、必要なシステムログをご提供いたします。
Q. システム構築時の制約となる法令や条例などがあるかを教えてください。
(個人情報保護法、等)
A. はい。制約が有ります。
全ての制約を適用して運用しています。
(顔情報を持つシステムになるため個人情報保護法の制約をうけます。)
Q. 運用時時の制約となる法令や条例などがあるかを教えてください。
(個人情報保護法、等)
A. はい。制約が有ります。
全ての制約を適用して運用しています。
(顔情報を持つシステムになるため個人情報保護法の制約をうけます。)
機能[CLUe]
Q. お客様の社内システム、あるいは他のクラウドサービスとの間でデータ移行する場合、あるいは接続して
データ連携を行う場合、特定の規格に依拠する必要はありますか?
A. はい。
CLUeのサービスは、このような目的のために標準的なREST APIに基づいております。
Q. クラウドサービスを移行する際にクラウドサービス上のデータ(お客様にかかわるもの)のダウンロードは
可能ですか?
A. いいえ。
データ転送の際に、ダウンロードのオプションはございません。
Q. サービスを提供する時間帯は?
(設備やネットワーク等の点検/保守のための計画停止時間の記述を含む)
A. 常時稼働です。
CLUeは、ダウンタイムなしでサーバーの切り替え更新を自動化しています。
Q. 定期的な保守停止に関する事前連絡はされますか?
(事前通知のタイミング/ 方法の記述を含む)
A. 定期的な停止はありません。
ダウンタイムなしのため、通知不要です。
Q. サービス提供を終了する場合の事前連絡はありますか?
(事前通知のタイミング/方法の記述を含む)
A. 現在、サービスを停止する予定はございません。
もし、今後、その様な場合は、関係各位に適時ご連絡いたします。
Q. プログラムや、システム環境の各種設定データの預託等の措置は行っていますか?
A. システムログはバックアップされており、必要なときに復元できる措置を取っております。
Q. サービス稼働率について、サービスを利用できる確率はどの程度ですか?
(計画サービス時間-停止時間)÷計画サービス時間)
A. 100%です。
Q. バージョンアップ、変更管理、パッチ管理等の方針はありますか?
A. AWSシステム・パッチの自動更新と社内ポリシーがあります。
Q. 障害発生から修理完了までの平均時間はどの程度ですか? (修理時間の和÷故障回数)
A. 1時間以内
Q. 障害発生後のサービス提供の再開に関して設定された目標時間はどの程度ですか?
A. 20分以内
Q. 1年間に発生した障害件数はどの程度ですか?
そのうち対応に長時間(1 日以上)要した障害件数は?
A. 0回
Q. 障害発生時の連絡プロセスはありますか?
(通知先/方法/経路)
A. サービスの停止や障害を検知した場合、CLUeはウェブポータルと登録されたメールアドレスに対し
通知を行います。
Q. 異常検出後に指定された連絡先に通知するまでの時間はどのくらいを想定していますか?
A. AWSの自動アラート報告メールは、ほぼリアルタイムであるため、1分以内と想定しています。
Q. 障害インシデントを収集/集計する時間間隔はどのくらいになりますか?
A. AWSがほぼリアルタイムで監視しております。
Q. サービス提供状況を報告する方法/時間間隔はどのくらいになりますか?
A. リアルタイムのサービス状況を見るためのモニタリングがあるためです。
Q. 利用者に提供可能なログはありますか?
(アクセスログ、操作ログ、エラーログ等)
A. 監査ログ(アクセスログ、操作ログ) および イベントログです。
Q. 処理の応答時間はどのくらいですか?
A. APIの呼び出しにもよりますが、通常の場合は1秒かかります。
Q. 処理の応答時間の遅延継続時間はどのくらいですか?
A. APIによって2秒か3秒のタイムアウトを設定しております。
Q. バッチ処理(一括処理)の応答時間はどのくらいですか?
A. 認証デバイス側のプログラム(F/W)アップデートの場合、5分かかる場合があります。
Q. カスタマイズ(変更)が可能な事項/範囲/仕様等の条件とカスタマイズに必要な情報はありますか?
A. Suprema CLUe は、ご要望に応じてカスタマイズに対応いたします。
Q. 既存システムや他のクラウド・コンピューティング・サービス等の外部のシステムとの接続仕様は
ありますか? (API、開発言語等)
A. REST APIをサポートしております。
Q. オンラインの利用者が同時に接続してサービスを利用可能なユーザ数の制限はありますか? (制約条件)
A. 一度に1つの アクセストークン となります。
Q. ディスク容量の上限/ページビューの上限はありますか?
A. いいえ。
オートスケールのため、上限はありません。
Q. 一般問合せ時の問合せ受付業務を実施する時間帯と問合せ方法を教えてください。
A. 時間帯は、営業日 9-17時 方法は、サポートチケットです。
弊社のサポートチケットにて、内容をご記載ください。サポートチケット自体は、常時受付しております。
Q. マルチテナントストレージのキー管理要件はありますか?
また、その管理内容を教えてください。
A. あります。
各テナントは、DBアクセスシステムに基づく各キーを持ちます。
Q. 入力データ形式の制限機能はありますか?
A. あります。
各APIは、受け取るための独自の仕様を持っているます。(API仕様による)
Q. 不正な侵入、操作、データ取得等への対策について、第三者の客観的な評価を得ていますか?
A. あります。
Suprmeaが第三者機関による世代交代テストを実施しております。
Q. 異なる利用企業間の情報隔離、障害等の影響の局所化などはされていますか?
A. ありません。
しかし、トークン・ベースのアクセス・ポリシーは、許可されたデータ・アクセスのみを
制限するようにしています。
Q. システムの稼働時間は、どうなりますか?
A. 24時間 不停止です。
Q. システム障害時に影響を受ける範囲はどうなりますか?
A. 当該システムの内部向けオンライン系の業務に影響があります。
Q. 各機器の時刻同期について教えてください。
(同期対象についても、決まっている/決まっていない旨を教えてください。)
A. サーバおよびクライアント機器について時刻同期を行います。
Q. システムで、計画停止が必要かを教えてください。
A. 計画停止は必要ありません。
Q. システムで、計画停止のアナウンスをどの程度前に通知できるかを教えてください。
A. 計画停止が存在しません。
Q. 業務アプリ等のパッチが公開された際に、どのように通知するかを教えてください。
A. ユーザの要求に応じてベンダが受動的にパッチリリース情報を提供します。
Q. 業務アプリ等のパッチが公開された際に、どのようにパッチを適用するかを教えてください。
A. 推奨されるパッチのみを適用します。
Q. 業務アプリ等のパッチが公開された際に、どのタイミングでパッチを適用するかを教えてください。
A. 障害発生時にパッチ適用を行います。
Q. システムの定期保守頻度について教えてください。
A. 年1回の定期保守を実施しています。
Q. システムの予防保守について教えてください。
A. 定期保守時に検出した予兆の範囲で対応しています。
Q. システムのライフサイクル想定について教えてください。
A. システムのライフサイクルは、7年としています。
Q. システム開発中で実施したリスク分析(脅威の洗い出し)範囲を教えてください。
(特定のアクセスでなりすましが可能、等の脅威の検討)
A. 重要度が高い資産を扱う範囲、あるいは、外接部分の範囲としています。
Q. システムに対し、ネットワーク診断を実施したかを教えてください。
(ネットワーク脆弱性診断、サーバへの脆弱性診断)
A. 実施しています。
Q. システムに対し、WEB診断を実施したかを教えてください。
(WEBに対する脆弱性診断)
A. 実施しています。
Q. システムに対し、DB診断を実施したかを教えてください。
(データベースに対する脆弱性診断)
A. 実施しています。
Q. クライアントに管理権限を持つユーザがログインする際に認証を実施するかを教えてください。
A. 1回の認証を実施しています。
Q. クライアントに一般ユーザがログインする際に認証を実施するかを教えてください。
A. 1回の認証を実施しています。
Q. ログインユーザにより、アクセス制限等を実施しているかを教えてください。
A. 必要最小限のプログラムの実行、コマンドの操作、ファイルへのアクセスのみを許可 などの制限を
実施しています。
Q. USBポート利用不可等、物理的なアクセス制限をしているかを教えてください。
A. 必要最小限のプログラムの実行、コマンドの操作、ファイルへのアクセスのみを許可 などの制限を
実施しています。
Q. ログインの為のIDやパスワードなどについて、メンテナンスが必要かを教えてください。
A. メンテナンスの実施が必要です。
Q. ログの保存期間を教えてください。
A. ログの保存期間は、6か月間です。
Q. ログの保存範囲を教えてください。
A. ログの保存範囲は、システム全体です。
Q. 防犯カメラ等で不正な操作を監視する、などが行われるかを教えてください。
A. そのような対応は行われておりません。
Q. ログの確認間隔について教えてください。
A. セキュリティに関するイベントの発生時に実施(随時実施)です。
Q. 不正な通信を、Firewall/IPS/IDS/WAFなどで検知や遮断するかを教えてください。
A. 弊社側のシステムとしては、遮断しません。
Q. 不正な操作等を、IDSやWAFなどで検知や遮断するかを教えてください。
A. 弊社側のシステムとしては、遮断しません。
Q. マルウェア対策を実施しているかを教えてください。
A. システム全体に対し、実施しています。
Q. マルウェア対策製品のリアルタイムスキャンを実施しているかを教えてください。
A. 実施しています。
Q. マルウェア対策製品で定期フルスキャンを実施しているかを教えてください。
A. (不定期:実施可能タイミングで実施)実施しています。
Q. セキュリティインシデント対応体制が存在するかを教えてください。
A. 対応体制は存在しません。
Q. 管理者用ログインページがある場合、ID,PWによる認証がありますか?
A. クラウドとしてアクセスする モバイルアクセスのポータルサイトには、ユーザ管理者用
ログインページに対するID・PW認証があります。
Q. 管理者用ログインページがある場合、ID・PWに加えて、以下の機能はありますか?
選択肢から該当するものを全て記載してください。
なお、多要素認証の場合は、何を使った認証か記載してください。
A.多要素認証(生体認証、専用アプリ、SMS等)
B.デバイス証明書による認証
C.アクセス元のIPアドレス制限機能
D.その他
A. A:なし B:あり C:なし D:なし
Q. 一定期間内のログイン試行の失敗回数を制限し、ログインの試行が定められた失敗回数の
最大値を超過した場合はアカウントをロックする機能を備えていますか。
A. 3回以上のログイン失敗により、アカウントをロックする機能があります。
Q. クラウド基盤において、クラウド利用者ごとにテナントが分離されており、
他のクラウド利用者のテナントへはアクセスできないようになっていますか。
A. クラウド基盤において、クラウド利用者毎にテナント分離又は、
ユーザーID等によるアクセス制御によって別の利用者のデータには
アクセスできないよう制御しています。
Q. クラウド利用者がクラウドサービス等の運用状況を確認することができますか?
A. サーバーをローカルに分離して運用しているため、障害が発生してもサービスにアクセスすることが可能です。
Q. パスワードルールは(8文字以上、英字(大文字)・英字(小文字)・数字・記号を混在させること)ですが、
このようなルールに従ってパスワードを設定することは可能ですか?
A. パスワードルールに従って設定することが可能です。
Q. 装置の処分・再利用を行う際、完全にその装置内のデータが消去されており、復元が不可能ですか?
A. 機器を廃棄または再利用する際、データは完全に消去され、復元不可能な状態に破壊するようにしています。
Q. 盗難・破壊が発生しないように、十分な物理的な境界制御が取られた場所(データセンタ等)で
サーバ等が保管されていますか?
A. 弊社は、サーバーなどを物理的に境界管理された場所に保管・管理しています。。
暗号化[CLUe]
Q. クラウドサービスと利用者側端末との間で行われる通信は暗号化されていますか?
A. はい。
[認証機 から サーバー間]
HTTPSとAWS IoT認証メカニズム を利用
[サーバーに対する フロント および API ]
HTTPS TLS 1.2 レベル を利用
Q. バックアップデータを含むデータは暗号化された上で保存されていますか?
A. はい。
CLUeでは、バックアップデータ(特に個人的な記録)については、暗号化し保存しています。
Q. クラウドサービスで用いる暗号鍵を漏えいさせないための対策は行われていますか?
A. はい。
CLUeはHTTPS TLS 1.2以上を使用して通信を保護しております。また、AWS IoTを利用した
Suprema認証機との通信では、X509レベルの認証メカニズムをサポートしています。
Q. システムとやりとりされる通信の暗号化強度を教えてください。
A. HTTPS TLS 1.2 及び REST API です。
Q. データ送信時に暗号化をしているかを教えてください。
A. 重要情報を含めて暗号化しています。
Q.秘密鍵を利用している場合、どのように鍵を管理しているかを教えてください。
A. ソフトウェアによる鍵管理で暗号化しています。
Q.端末側にデータが暗号化して保存される仕組みなのかを教えてください。
A. 端末にデータを保存し、暗号化を行っています。
Q.クラウド利用者のIT環境とクラウド環境の通信に関し、通信経路における盗聴・改ざんが
できないように保護されていますか。
A. クラウド利用者とクラウド環境の間 および BioStar2とクラウド環境の間 の両通信路として
安全なプロトコルによる暗号化(https等)を行っています。
Q.クラウド拠点間の通信に関し、通信経路における盗聴・改ざんが発生しない、または通信経路における
盗聴・改ざんに対して保護されていますか?
A. クラウド利用者とクラウド環境の間 および BioStar2とクラウド環境の間 の両通信路として
安全なプロトコルによる暗号化(https等)を行っています。
Q.利用者の資産(バックアップを含む)の管理において、データの暗号化により保護していますか?
A. クラウドサービスに保存されるデータは暗号化により保護しています。
データ保存について[CLUe]
Q. クラウドサービスと利用者側端末以外の外部ストレージ(システム連携含め)へのデータ保存は可能ですか。
また、外部ユーザとのファイル共有機能はありますか。
その他、ファイル共有機能に類する機能はありますか。
A. いいえ。
すべてのデータは、クラウドサーバーと、必要なデータ用に指定されたSuprema認証機にのみ保存されます。
他のストレージサービスとデータを共有するような機能はございません。
Q. クラウドサービスに保存されたデータは、他のクラウド利用者や許可されていないユーザが
アクセスできないように管理されていますか?
A. はい。
各テナントは、割り当てられたリソースにアクセスするための指定のアクセストークンを
持つ必要があります。このアクセストークンを使用してアクセスするため、許可の無い者が、
他のリソースにアクセスすることはできません。
Q. クラウドサービスを提供するサーバー等の機器は、データセンター内のサーバールーム等 物理的なアクセスが
制限された場所に設置されていますか?
A. はい。
CLUeは、AWSインフラを利用しています。
Q. クラウドサービスを提供するサーバー等の機器があるサーバールームは、入室、退室の記録を取得管理
していますか?
A. 対象外です。 (CLUeは、AWSインフラを利用しているため、物理的なサーバールームはありません。)
Q. システムの運用担当者が利用するパスワードを、ルールに基づいて管理していますか?
A. はい。
すべての管理者は二要素認証を使用するリールであり、厳重に管理・監視しています。
Q. クラウドサービス上のデータについて定期的にバックアップは取得されていますか?
A. はい。
CLUeでは、毎日のイベントログをバックアップ 且つ、毎週データベース全体のスナップショットを
バックアップ しています。
Q. クラウドサービスから取得したバックアップデータを遠隔地に保管するようなしくみはありますか?
A. はい。
複数のアベイラビリティゾーンを持ち、ミラーリングして保持しています。
Q. 解約時においてデータの所有権および不要データの破棄に関するルールが定められていますか?
A. はい。
個人情報を含むすべてのイベント記録は、3ヶ月後に削除されます。
管理者ユーザーデータも同様に、退会後に削除されます。
また、入力されたユーザーデータは、管理者がシステムから削除した時点で削除することができるように、
ルールを定めております。
Q. クラウドサービス事業者が、所有者の許可なくデータの二次利用をできない契約となっていますか?
(統計、分析の結果得られたデータを二次利用している場合を含みます。)
A. はい。
CLUeでは、事前の同意なく、このようなマーケティングや調査の目的でデータを使用することはありません。
Q. バックアップ内容(回数、復旧方法など)、データ保管場所/形式、利用者のデータへのアクセス権など、
利用者に所有権のあるデータの取扱方法を教えてください。
A. イベントログのバックアップ 且つ、データベース全体のスナップショットをバックアップ しております。
Q. バックアップデータをとり、データを保証する方法と時点を教えてください。
A. 毎日および毎週
CLUeでは、毎日イベントログをバックアップ 且つ、毎週データベース全体のスナップショットを
バックアップ しております。
Q. データをバックアップした媒体を保管する期限はどの程度になりますか?
A. 個人情報ログは3ヶ月、システムログは2年
Q. サービス解約後の、データ消去の実施有無/タイミング、保管媒体の破棄の実施有無/タイミング、
およびデータ移行など、利用者に所有権のあるデータの消去方法はどうなる?
A. 3ヶ月後
個人情報を含むすべてのイベント記録は、3ヶ月後に削除されます。
管理者ユーザーデータも同様に、解約後に削除されます。
また、入力されたユーザーデータは、管理者がシステムから削除した時点で削除することができるように、
ルールを定めております。
Q. 保証するバックアップ世代数を教えてください。
A. CLUeのバックアップはスナップショット機能を用いた、差分のバックアップとなるため、
世代管理のバックアップではありません。
Q. データを保護するにあたり、暗号化要件はありますか?
A. あります。データは暗号化されています。
Q. データ漏えい・破壊時の補償/保険はありますか?
A. ありません。
Q. 解約時、元データが完全な形で迅速に返却される、もしくは責任を持ってデータを消去する体制を
整えており、外部への漏えいの懸念のない状態が構築できていますか?
A. あります。
個人情報を含むすべてのイベント記録は、3ヶ月後に削除されます。管理者ユーザーデータも同様に、
解約後に削除されます。また、入力されたユーザーデータは、管理者がシステムから
削除した時点で削除することができるように、ルールを定めております。
Q. データの整合性を検証する手法が実装され、検証報告の確認作業が行われていますか?
A. あります。
各データは、APIチェックで一致したデータのみ入力を受け付けるため、データの整合性は担保されます。
Q. 利用者のデータにアクセスできる利用者が限定されていますか?
また利用者組織にて規定しているアクセス制限と同様な制約が実現できているますか?
A. できています。
CLUeのサーバーサイド開発チームだけがAWSのBastionを持ち、厳格な認証でサーバーにアクセスできます。
Q. IDの付与単位、IDをログ検索に利用できるか、ログの保存期間は適切な期間が確保されているか、
利用者の必要に応じて受容可能に且つ期間内に提供されるかなど設定状況を教えてください。
A. 確保できています。
各ログには一意のIDがあり、システムイベントログは最大2年間保存されます。
Q. 二次記憶媒体の安全対策は取れていますか?
(バックアップメディア等では、常に暗号化した状態で保管していること、 廃棄の際にはデータの完全な
抹消を実施し、また検証していること、USBポートを無効化しデータの吸い出しの制限等の対策を講じていること)
A. はい。
私たちのAWSサービスアーキテクトは、いかなる種類の追加ストレージも許可していません。
Q. データ保存地の各種法制度の下におけるデータ取扱い及び利用に関する制約条件を把握していますか?
A. はい。これににより、 ISO27001/27701を達成しています
Q. OSやミドルウェアのログをどの程度保管するかを教えてください。
A. 保管期間は、1年間です。
Q. バックアップ対象のデータを教えてください。
A. システム内の全データの復旧です。
Q. バックアップの自動化の状態について教えてください。
A. 全ステップを自動で行うバックアップ処理です。
Q. バックアップの取得間隔を教えてください。
A. 毎日、バックアップを取得しています。
Q. バックアップの保存期間を教えてください。
A. バックアップの保存期間は、1年未満です。
Q. バックアップの方式を教えてください。
A. オフラインバックアップ+オンラインバックアップです。
Q. 保存されているデータが暗号化されているかを教えてください。
A. 重要情報を含めて、暗号化しています。
Q. 端末から、ネットワークを使わずにデータを取り出すかどうかを教えてください。
(USBメモリ等の外部記憶装置でのデータ移転有無)
A. 必要に応じ、外部記憶装置で取り出すことはありますが、通常の運用ではありません。
Q. 個人データの保存期間が決まっているか、明示されているかを教えてください。
(消去されるタイミングがあればそれを記載)
A. 保存期間は設定していません。
Q. 該当システムからの個人情報漏洩を検出する仕組みがあるかを教えてください。
A. 検出する仕組みがあります。
Q. クラウド利用者がデータを削除した場合に、複数のサーバ、ストレージ間で複製されている
全てのデータ(ログ、バックアップを除く)がもれなく削除され、残存オブジェクトとして
残らないようになっていますか。
A. ログとバックアップデータ以外のすべてのデータを削除しています。
Q. 個人情報あるいは個人情報と紐付く可能性がある情報を扱う場合は、
保管サーバは日本国内にありますか?
A. ストレージサーバーは韓国にあり、韓国の個人情報保護法に従っています。
また、ISO27001/27001を取得しており、グローバルスタンダードに対応しています。
監査ログについて[CLUe]
Q. クラウドサービスの利用者の活動、例外処理およびセキュリティ事象を記録した監査ログは取得されていますか?
A. はい。
CLUeには、監査ログの機能があります。すべてのアクティビティを監視し、最大2年間
記録することができます。
Q. 監査ログのうち、弊社従業員が行った操作、弊社の管理下にあるデータに対するアクセスに関するものを
提供いただくことは可能ですか?
A. はい。
ケースによっては、プライバシーポリシーに抵触しない範囲で必要な監査ログを提供することが可能です。
Q. 監査ログの保存期間は定められていますか?
A. はい。
CLUeは、最大2年間の監査ログをサポートしています。
Q. システム運用者の作業については操作ログ等を取得し、記録されていますか?
A. はい。
すべてのアクティビティの記録を監査ログで記録しています。
Q. システム運用者による内部不正に対して対策を行っていますか?
A. はい。
CLUeには、専門のサイバーセキュリティ部門があり、異常な活動を監視し、そのような事例が
あった場合には、システム開発チームに警告を発し、必要な措置を迅速に講じています。
Q. システムの運用者に対し、情報セキュリティに関する意識向上のための教育を行っていますか?
A. はい。
Supremaでは、毎月サイバーセキュリティデイを設け、教育プログラムと自己点検プログラムを
実施しています。
Q. 第三者機関による認証を取得されていますか。
・ISO27001、27017
・ISMAP
・Pマーク
その他?
A. はい。
ISO27001, 27017 を取得しています。
Q. システム監視基準(監視内容/監視・通知基準)の設定に基づく監視は行っていますか?
A. はい。
AWSのアラートシステムとWAFシステムを監視に使用しています。
Q. 業務アプリ等の稼働監視方法を教えてください。
A. エラー監視を行う方法です。
Q. 業務アプリ等の監視間隔を教えてください。
A. リアルタイム監視(秒間隔)です。
Q. バックアップやジョブ状態等の監視について教えてください。
A. これらの状態については、監視は行っていません。
Q. サーバのOSレベルでの監視について教えてください。
A. これらの状態については、監視は行っていません。
Q. 不正行為等を検出や確認する為、ログを出力しているかを教えてください。
A. はい ログの出力を行っています。
Q. クラウド事業者が、従事者による特権権限を利用した不正を発見するため、特権権限のログを残していますか?
A. はい ログを残しています。
Q. 特権権限のログの保管期間はどのくらいです?
A. ログは1年間保管しています。
Q. クラウド事業者にて、クラウド利用者が保管した情報をダウンロードすることはできますか?
A. ユーザー情報をエクセルファイルにダウンロードする機能を提供しています。。
脆弱性について[CLUe]
Q. クラウドサービスの提供に用いるアプリケーション、オペレーティングシステム、サーバー、
ネットワーク機器について定期的な脆弱性診断(第三者による実施/自己診断による実施)を行っていますか?
A. はい。
Suprema社には、サイバーセキュリティの専門部門があり、定期的なセキュリティチェックと脆弱性診断を
行っております。
Q. クラウドサービスの提供に用いるアプリケーション、オペレーティングシステム、サーバー、
ネットワーク機器について定期的な脆弱性診断(第三者による実施/自己診断による実施)を行っている場合、
結果を基に対策を行っていますか?
A. はい。
CLUeチームは、脆弱性診断により、脆弱な箇所が見つかった場合、最優先の優先度で迅速に
対処するルールで稼働しております。
Q. クラウドサービスを提供するサーバー等にウイルス対策が施されていますか?
パターンファイルは最新化されていますか?
A. はい。
CLUeはAWS Fargateの自動パッチアップデートサービスを利用しております。
Q. OSやミドルウェアに対し、常に最新のセキュリティパッチを適用し、脆弱性に対する対応を行っていますか?
A. はい。
CLUeはAWS Fargateの自動パッチアップデートサービスを利用しております。
Q. 悪意を持ったサービス妨害攻撃(いわゆるDoS攻撃)を無効化する対策は実施されていますか?
A. はい。
CLUeは、AWS API ゲートウェイを使用し、このようなリスクの対策を行っております。
Q. クラウドサービスに対する不正な探査、不正なポートスキャンに対する対策は実施されていますか?
A. はい。
CLUeサービスへの接続は、AWS API ゲートウェイのみとなります。
このため、スキャンツール等のツールを使用することはできません。
Q. クラウドサービスにおいて不正な探査、不正なポートスキャンを検知することは可能な構成となっていますか?
A. はい。
CLUeでは、WAFシステムを利用しており、疑わしい行為が繰り返された場合、自動的に検知し、
警告を発し、そのような試行を遮断する機能を有しています。
Q. ウイルススキャンの頻度を教えてください。
A. 常時実施しています。
AWS インフラはAWSによってチェックされ、監視されています。ドッカーイメージ上にアップデートが
あった際にチェックします。
Q. OSやミドルウェアのセキュリティ更新プログラム(所謂パッチ)の適用範囲を教えてください。
A. システム全体に対して適用します。
Q. OSやミドルウェアのセキュリティ更新プログラム(所謂パッチ)をどのように適用するかを教えてください。
A. 全てのセキュリティパッチを適用します。
Q. OSやミドルウェアのセキュリティ更新プログラム(所謂パッチ)をどのタイミングで適用するかを教えてください。
A. 定期保守時に実施します。
Q. DoS攻撃の検知、被害軽減措置、クラウド利用者間の被害波及の防止対応がクラウド事業者により
行われるようになっていますか?
A. API Gatewayを使用して、利用状況を適切に把握しており、WAFを適用しているため、
異常な動作を検知することができています。
Q. クラウド基盤において、クラウド利用者ごとにテナントが分離されており、他のクラウド利用者の
テナントへはアクセスできないようになっていますか?
A. クラウド基盤において、クラウド利用者毎にテナント分離又はユーザーID等による
アクセス制御によって別の利用者のデータにはアクセスできないよう制御しています。
Q. クラウドサービスの脆弱性対処(脆弱性診断等)を行っていますか?
A. 毎年セキュリティチェックを行い、定期的にセキュリティパッチの更新を行っています。
Q. 攻撃可能となる経路を遮断するため、必要なポート、プロトコル、サービス等以外が無効化されていますか ?
A. サービスに不可欠なポートやプロトコルのみを開放しています。
Q. 不正なアクセス検知するためにWAFを導入していますか?
A. WAFを導入しています。
Q. 不正な操作を検知するためにIPS(もしくはIDS)を導入していますか?
A. IPSは導入しておりませんが、WAFコントロールによって置き換えています。
災害・障害時対策について[CLUe]
Q. 災害時においてサービスの全面停止を防ぐためにシステムおよびデータは分散して設置管理されていますか?
A. はい。
CLUeは、アベイラビリティゾーンインフラのAWSリージョンサービスを採用しています。
Q. クラウドサービスのシステムは冗長化され、一つのサブシステムの障害が全体に波及しない構成と
なっていますか?
A. はい。
CLUeは、このようなケースをカバーするためにマイクロサービスアーキテクトを採用しています。
Q. クラウドサービスの提供に用いるアプリケーション、オペレーティングシステム、サーバー、ネットワーク機器
の稼働監視を行っていますか?
A. はい。
CLUeは、AWSのクラウドウォッチを利用しています。
Q. サービスの停止や障害を検知した場合は、利用者に対して通知を行っていますか?
A. はい。
サービスの停止や障害を検知した場合、CLUeはウェブポータルと登録されたメールアドレスに対し
通知を行います。
Q. 対象クラウドサービスにおけるSLAは作成され、開示されていますか?
A. はい。
CLUeの規約とサービスには、このようなサービスレベル契約の詳細を記載し、開示しています。
Q. クラウドサービスの提供に用いるオペレーティングシステム、サーバー、ネットワーク機器について正確な
時刻同期は行われていますか?
A. はい。
CLUeは、すべての認証機とサービスに対して、AWS NTP時間同期サービスを利用しております。
Q. 災害発生時のシステム復旧/サポート体制はありますか?
A. はい。
弊社では、AWSを利用しており、AWSは、このような目的のために地域サービスをサポートしています。
Q. 早期復旧が不可能な場合の代替措置はありますか?
A. はい。
認証端末は、スタンドアロンで動作し、事前の設定に従って例外的なアクセス許可/拒否処理を
行うことができます。
Q. 代替措置で提供されるデータ形式の定義はありますか?
(ファイル形式など)
A. はい。
認証端末は Supremaプロトコルを使用するように設定されているため、認証機を交換し、
利用回復できます。
Q. 障害対応時の問合せ受付業務を実施する時間帯と問合せ方法を教えてください。
A. 時間帯は、営業日 9-17時 方法は、サポートチケットです。
弊社のサポートチケットにて、内容をご記載ください。サポートチケット自体は、常時受付しております。
Q. システム障害時に、予備機切替等に係る時間を教えてください。
A. 24時間未満です。
復旧目標は翌営業日中となります。
Q. 障害発生時の、想定しているシステム復旧目標地点を教えてください。
A. 障害発生時点(日次バックアップ+アーカイブからの復旧)です。
Q. 障害発生時の、想定されるシステム復旧時間を教えてください。
A. 1営業日以内です。 復旧目標は翌営業日中となります。
Q. 障害発生時の、復旧目標を教えてください。
A. 特定業務のみです。(当該システムの復旧のみ)
Q. クラウド型サービスを利用する場合、クラウド型サービスで主に利用するデータセンタで
大規模災害があった場合の復旧目標時間を教えてください。
A. 数ヶ月以内に再開を目標時間としています。
Q. サーバは冗長化されていますか?
A. 特定のサーバで冗長化しています。
Q. 各社で設置するルータやスイッチなどのネットワーク機器が冗長化されていますか?
A. 特定の機器のみ冗長化しています。
Q. 別途回線を用意する場合、回線が冗長化されていますか?
A. 一部冗長化しています。
Q. 外部ストレージなどが冗長化されていますか?
A. 特定の機器のみ冗長化しています。
Q. サーバ内蔵ストレージが冗長化されていますか?
A. 単一冗長化しています。
Q. 業務停止を伴う障害が発生した際に、どのように復旧作業をするかを教えてください。
A. 復旧用製品+業務アプリケーションによる復旧を行います。
Q. 業務停止を伴う障害が発生した際に、代替えの手段(手作業での業務)などが可能かを教えてください。
A. 一部の業務について代替業務運用が必要となります。
(端末不具合時には錠を使用しての解錠作業が必要)
Q. 障害発生時に復旧が自動化されているかを教えてください。
A. 障害復旧作業は全て手動で実施します。
Q. システムで異常が発生した際に、対応可能な時間を教えてください。
A. 24時間対応を実施します。
Q. システムで異常が発生した際に、保守員が到着するまでにかかる時間を教えてください。
A. 保守員到着が異常検知から数日中です。
Q. システムで異常が発生した際に、SEが到着するまでにかかる時間を教えてください。
A. SE到着が異常検知から数日中です。
Q. 保守部品の確保状況について教えてください。
A. 保守契約に基づき、部品を提供するベンダが規定年数の間保守部品を確保しています。
Q. 予備機の有無について教えてください。
A. 一部の予備機を確保しています。