「ISO27001(ISMS)+ISO27017(クラウドセキュリティー)のシステム品質」 と 「おもてなし "紺" 認証のサポート力」

セキュリティー

TOP > 私たちの取り組み > セキュリティー(ISO取得)

記号情報セキュリティマネジメントシステム(ISO 27001)
及び ISMSクラウドセキュリティ認証(ISO 27017)を取得

株式会社アクアリーフはISMS+クラウドセキュリティ認証を取得しています

2015年7月31日、アクアリーフはASPサービスを提供する事業において、情報セキュリティマネジメントシステム(ISMS)の国際標準規格である「ISO/IEC27001:2013/JIS Q 27001:2014」の認証を取得いたしました。

さらに、2018年7月25日付でクラウドサービスに特化した情報セキュリティ管理策における国際標準規格である「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証」を取得いたしました。
(ISO27017はクラウドサービス特有のリスクを低減するための固有の管理策や実施の手引きが盛り込まれ、実際的なセキュリティレベル向上に役立つ規格です。)

私達は、変化の激しいインターネットサービスの世界で、時代が求めるセキュリティ基準をクリアし、お客様の機密情報や個人情報および自社に関わる情報の安全かつ効果的・効率的な取り扱いをする為に、「不正アクセスや紛失」「盗難」「破壊」などのリスクから情報を適切に保護し維持管理する目的で、下記の取り組みを行っています。

月1回の『社内セキュリティ委員会の定例会』

代表、役員、各部門の責任者が集まり、社内で発生した「セキュリティ事象・事故」等に対して、幅広く情報交換と対応策を検討し、その決定内容は、各部門責任者から、各メンバーに周知されます。

2カ月に1回の社内セキュリティー勉強会

IPA(独立行政法人 情報処理推進機構)からの最新の「コンピューターウィルス」に対する情報や、BSPを想定した試験・訓練、セキュリティeラーニング等、社内のセキュリティ意識を高める取り組みを継続して行っています。

年1回のシステムの外部監査

助ネコ通販管理システムは、年1回外部のセキュリティ専門会社より、サーバー、システムの脆弱性について、監査を受けています。監査で指摘された場合は、速やかに改修し、安全性を維持しています。

年1回の社内の内部監査

年1回、外部講習を受たISMS内部監査員が、各人が所属する部門とは別部門の内部監査を行い、日々の実業務がISMS及びクラウドセキュリティへ適合しているかを監査しています。監査での指摘は是正計画を作り、速やかにカイゼンしています。

AAAis(トリプルA)格付けのデータセンターとディザスタリカバリー導入

助ネコ通販管理システムは、常に停止できない業務を運営している為に、お客様の大切なデータを保管するデータセンターは、情報セキュリティ格付ランク「AAAis(トリプルA)」のデータセンターと契約をしております。

情報セキュリティ格付は、マネジメントの成熟度、脅威に対する対策の強度、コンプラ イアンスへの取り組みなどの視点から総合的に評価されるものです。
「AAAis(トリプルA)」とは、17段階中、最高ランクの格付けで、
要件:新たな脅威に迅速に対応し、常時、高水準の管理状態を維持、発展させている。
要件:常時、リスクをモニタリングし、即時に柔軟な対応ができる。
を満たし情報の管理体制を高水準で維持し、内部・外部を問わず悪意のある者から情報 を守る物理的な対策がきちんとなされており、リスク耐性は極めて高く、優れていることを意味します。
他にも以下のような、公的な各種安全対策基準を取得した国内第一級のハイレベルなデ ータセンターです。

  • IMS(マネジメントシステム統合プログラム)プレミアム・ステージ取得
  • ISO9001認証取得(品質保証に対応した国際規格)
  • ISO/IEC20000認証取得(ITサービスマネジメントの国際規格)
  • ISO/IEC27001認証取得(情報セキュリティ管理全般に関する適合評価制度)
  • ISO/IEC27017認証取得(クラウドサービス情報セキュリティ管理の国際規格)
  • ISO22301認証取得(事業継続マネジメントシステムの国際規格)
  • ISO14001認証取得(環境保証に対応した国際規格)
  • プライバシーマーク認証取得(個人情報保護における事業者認定制度)

また、メインデータセンターの有事に備え、500kmほど離れた別地域にバックアップデータセンターを準備し、常時レプリケーション(データバックアップ)を行い、スタンバイしております。

SSLによるデータの暗号化、ファイアウォール、およびWAF(ウェブアプリケーションファイアウォール)による不正アクセス対策のブロック

SSLによる、情報の暗号化によるデータ盗聴や改ざんの防止とファイアウォールの導入による外部攻撃からのネットワーク防御はもちろんのこと、WAFの導入により、Webサービスにおいて最も攻撃をされる可能性の高い、Webサーバに対する各種攻撃の防御も行っております。

URLリンクの暗号化、セッション管理によるシステムのセキュリティ強化

URLリンクの情報を暗号化すること可視化できる情報を最低限にし、システムの挙動を推測できない対応を行いセキュリティを強化しております。さらに、システムでセッション情報(暗号化した情報)を管理することにより、システムにログインしたままパソコンを放置してしまったとしても、一定時間後自動的にログアウトされ、第三者の操作による個人情報の流出を防いでおります。また、第三者が不正に管理画面ページの改ざんを試みた場合でも、システムがセッション情報を保持しているので、改ざんを認識し、自動的にログアウトされる仕組みを導入しております。

社内PCへの「3段階認証設定」及び「作業環境の仮想環境化」

社内の各PCには、BIOS及びWindowsパスワードによる2段階認証の設定、さらにリモートデスクトップ接続(3段階認証)により「仮想環境」へ接続し業務を行っております。

事務所へのセキュリティシステムを導入しています。

不在時における侵入者の検知や、火災発生の感知など、24時間365日体制で、社内情報を防守しております。

他にも様々な取組をしております。

  • PC・サーバ操作について、全従業員の作業ログを記録しています。
  • サポート・メンテナンス時のお客様アカウントへのクセス条件や操作制限及び、全作業ログ記録を取得しております。
  • USBメモリの使用制限をかけることにより、情報漏えいやウィルス感染リスクの防止をしています。
  • 弊社提供サービスでは、クレジットカード情報は一切保持いたしません。
  • 机上やPCのスクリーン上はクリアデスク・クリアスクリーンとし、重要な資産や情報が放置されないよう徹底しています。

アクアリーフは、「お客様が嬉しい驚きを感じるサービスのご提供」と共に「情報セキュリティレベルを国際的基準で管理」し、皆様からの更なる信頼とご満足をいただけるよう、情報セキュリティ対策の向上を継続的に行って参ります。