-
TEL: 03-5453-1250
マネジメント
| 大項目 | 中項目 | 評価内容 | チェック |
|---|---|---|---|
| 1. 情報セキュリティのための方針群 | (1) 方針・基準・および手順を示す文書の作成 | 整備した情報セキュリティに関する内部規程(方針・基準および手順を示す文書)を策定し、経営陣が承認している。 | |
| (2) 方針・基準・および手順を示す文書の見直し | 方針・基準および手順を示す文書を定期的に確認し、必要に応じて改定している。 | ||
| 2. 情報セキュリティのための組織 | (1) 責任者の任命 | 情報セキュリティ責任者を任命している。 | |
| (2) 職務の分離 | 組織の役割・責任に応じて、情報資産へのアクセス、閲覧、修正等の権限を分けている。 | ||
| 3. 人的資源のセキュリティ | (1) 雇用・契約時 | 従業員と秘密保持に関する契約を締結をしている。 | |
| (2) 教育 | 従業員に対して、定期的に情報セキュリティや重要情報の取扱いに関する意識向上のための適切な教育や訓練を実施している。 | ||
| (3) 雇用・契約の終了 | 従業員の雇用および契約相手との契約が、終了または変更となった場合のアクセス権(就業場所への立ち入りや情報システムのID等)の変更・削除や資産(PC・スマートフォン・タブレット等の会社支給品)の返却等を実施している。 | ||
| 4. 情報資産の管理 | (1) 評価 | 情報資産の管理(洗い出し・評価)を定期的に実施している。 | |
| (2) 廃棄 | 情報資産が記載・記録された媒体を廃棄する場合、情報を復元できない方法により行っている。 | ||
| 5. 技術的管理 | (1) アクセス制御 | 組織におけるそれぞれの役割や情報セキュリティの要求事項に基づき情報システムへのアクセス制御を行っている。 | |
| (2) 共有ID | 業務上または運用上の理由で必要な場合以外は、共有IDの利用を許可していない。 | ||
| (3) 不正アクセス | 不正アクセスを防止するために出入口対策(IPS・WAF・FWのアクセス制限等)を行っている。 | ||
| (4) マルウェア対策 | マルウェア感染を防止するためにエンドポイント対策(ウィルス対策ソフトの導入やセキュリティパッチの更新等)を行っている。 | ||
| (5) アクセスログ | システムへの不正アクセスを検知するためにアクセスログを取得している。 | ||
| (6) 運用のセキュリティ | 開発環境と運用環境を分けている。 | ||
| (7) 通信の秘匿 | 重要情報の送受信の際は、情報漏えい対策(通信の暗号化、添付ファイルのパスワード設定等)を行っている。 | ||
| 6. 供給者関係 | (1) 外部委託 | 外部委託における貴社自らが管理できない情報セキュリティリスクに対して、その対策や実施状況を契約や点検等で確認している。 | |
| 7. 情報セキュリティインシデント管理 | (1) 報告連絡体制・対応ルール | 情報事故が発生した場合の報告・連絡体制や対応ルールが定められている。 |
セキュリティ対策
| 対策目的 | 対策項目 | 対策概要(要件) | チェック |
|---|---|---|---|
| 1. セキュリティの向上と信頼性の確保 | (1) 公的認証の取得 | JIPDECやJQA等で認定している情報 処理管理に関する公的認証 (ISMS、プライバシーマーク等) が取得されていること。 | |
| 2. ウイルス感染時の影響の局所化 | (1) サーバへの接続制限 | IPアドレスによるアクセス制限等を施し、情報システムに接続可能な保守用端末を正規の保守用端末に限定する。 | |
| (2) 一般業務用端末と保守用端末の原則分離 |
ウイルス感染と情報漏えいリスク最小化のため,
●「システム保守用端末」は一般業務用端末とは別の専用端末とする。 ●「コンテンツ保守用端末」は一般業務用端末とは別の専用端末とすることを基本とする。 |
||
| 3. ウイルス感染の可能性の低減 | (1) ウイルス感染対策ソフトの導入(サーバ及び保守用端末) | ウイルス感染対策ソフトを導入し、常に最新のウイルス検出パターンファイルに更新することにより、ウイルス感染を未然に防止する。 | |
| (2) 脆弱性修正プログラム適用(保守用端末) | 使用するOS等ソフトウェアに対する脆弱性修正プログラムを適用し、脆弱性を攻撃するウイルス等への感染を未然に防止する。 | ||
| (3) 脆弱性修正プログラム適用(サーバ) | 使用するOS等ソフトウェアに対する脆弱性修正プログラムを適用し、脆弱性を攻撃するウイルス等への感染を未然に防止する。 | ||
| (4) インターネット閲覧制限(保守用端末) | インターネット接続が必要な保守用端末について、コンテンツフィルタを導入する等、危険なサイトの閲覧に伴うウイルス感染や不正サイトへの誘導を未然に防止する。 | ||
| 4. 情報漏えい対策 | (1) サーバ設置場所等の入退室管理 | サーバ管理に従事しない第三者が容易にサーバ機器に触れられないよう、入退室管理可能な場所(区画)へサーバを設置、あるいは施錠ラックに格納し、ルールを策定する。 | |
| (2) 通信データの暗号化 | 個人情報を取り扱うウェブ画面において、ウェブサーバに電子証明書を導入して通信内容をSSL暗号化し、第三者による通信の傍受を防止する。 | ||
| (3) 個人情報等機密データの暗号化 | 個人情報データ等の機密データをデータベースに登録・保存する際、その内容を暗号化することで、万が一データが漏えいした場合に機密情報が漏えいしないよう備える。 | ||
| 5. 外部からのネットワーク攻撃対策 | (1) ファイアウォールの設置 | 提供していないサービスに対する不要な通信や、脆弱性を有するプログラムに対する不正な通信を遮断し、サイバー攻撃を未然に防止する。 | |
| (2) ネットワーク攻撃対策(IDS{侵入検知システム}) | ファイアウォールで遮断できない、サーバ内部に侵入しようと試みる通信のパターンを検出し、管理者に通報する。 | ||
| (3) セキュリティ診断試験の実施(擬似侵入テスト) | 専門技術者に依頼し、ウェブアプリケーションに内在する脆弱性の有無を測定し、顕在化した不具合を改修してウェブアプリケーションの安全性を高める。 | ||
| 6. セキュリティ事故対応 | (1) ログの取得と必要期間の保管 | 不測の事態が発生した場合に、発生した事象を正確に把握し、適切な事後処置を講ずるため、サーバ・ネットワーク機器の動作ログおよび特権アカウントの操作証跡、を取得し、保管する。保管期間は、システムで取り扱う情報の重要度に応じて設定する。
特権アカウントの操作証跡は定期的に解析を行い、不正利用の有無を確認する。 |
アプリ運用・データ管理
| 大項目 | 中項目 | 回答 | チェック |
|---|---|---|---|
| 1. 信頼性・安全性 | (1) 第三者認証の取得状況 | ISMS(ISO/IEC 27001)、プライバシーマークを取得。 | |
| (2) 事件事故発生時、弊社からユーザに対する報告・連絡体制 | 事件事故が発生した場合、従業者はすみやかに上席にメールまたは電話にて報告し、事実・経緯確認を行なった上でユーザーにメールにて報告。 | ||
| (3) インシデント発生時の貴社の責任範囲
①インシデント対応における貴社の役割 ②インシデントの調査や対応に対する協力 |
①調査に必要なログ情報開示を行う。
②インシデントの調査や対応に必要なログを提供可能であり、協力を行う。 |
||
| (4) SLA
①稼働率 ②障害が起きた際に何分以内に連絡をするか ③障害が起きた際の復旧時間 ④画面遷移の目標応答時間 ⑤帳票出力の目標応答時間 ⑥同時接続可能数 |
①サービスの稼働率が99.999%/月
②10分以内 ③1時間以内 ④1秒以内(DBアクセスを伴う場合5秒) ⑤5秒以内 ⑥App Engineを使用しているため実質上限なし |
||
| (5) ディザスタリカバリ
①災害対策としてのバックアップDCの有無とのその場所 ②災害が起きた際の復旧時間 ③災害時に備えたサポート体制の有無 |
Googleクラウドにて対応。詳細下記参照。
https://cloud.google.com/solutions |
||
| 2. データの取り扱いに関する適用法令や利用規約、契約条件 | (1) 貴社のユーザの格納データに対する取り扱い
①ユーザの格納データへアクセス有無 ②ユーザの格納データの利用有無 |
①同意なしにはアクセスしない。
②格納データの利用なし。 |
|
| (2) データ保存先(国、地域、リージョン) | 日本国内。 | ||
| (3) ユーザが入力した個人情報に関して個人情報保護法準拠の明記の確認 (安全管理措置、委託先の監督など含む) | 当社プライバシーポリシーに明記。
https://opluswork.com/privacypolicy |
||
| 3. サービス利用終了時のデータ取り扱い | (1) ユーザ側都合によるクラウドサービス利用終了時の システム格納データの取り扱い | ユーザが契約期間満了日までに消去する。消去していない場合は、クラウド事業者側が消去できる。 | |
| (2) ユーザ側都合によるクラウドサービス利用終了時の解約条件 | ・ユーザは、解約を希望する月の1ヶ月前までに所定の方法で通知する。
・年間契約および半年契約の場合であっても契約期間の途中で利用契約を解約可能。(ただし、未利用期間の料金等について、当社は一切返還する義務を負わない) |
||
| (3) 貴社側都合によるサービス終了時、
クラウドサービス停止、変更の事前告知の記載 |
利用規約の第9条に記載。
当社は事業者に、本サービス終了の1ヶ月前に通知することで、本サービスを終了できるものとし、本サービスの終了と同時に、当社と事業者間の契約も終了とする。 https://opluswork.com/terms |
||
| 4. 情報伝達 | (1) 貴社側からの情報の提供方法(サービス仕様変更時など) | oplusのダッシュボードのお知らせページにて確認。 | |
| 5. ID、パスワードの管理 | (1) パスワードの仕様 | ログインにID・パスワードを使用せず、マジックリンク方式を採用。マジックリンクのセキュリティーについては下記参照。
https://opluswork.com/blog/other1063 |
|
| (2) パスワードクラッキングの対策 | 前述の通り、ID・パスワードを使用しないため対象外。 | ||
| 6. 認証方式 | (1) 利用可能な認証方式(クラウド管理者側、クラウドユーザ側の両方 | マルチセッション機能が付与可能(一度ログインURLを使用すると失効し、そのURLを使用したPCまたはスマホ以外からは同じログインURLからはアクセスできなくなる。万が一、そのログインURLが漏洩した場合もログインURLを再発行して、元のログインURLを失効させることができる。ログインURLは登録したメールアドレスに送付される。) | |
| 7. データのバックアップ | (1) データのバックアップ
①データのバックアップ方法・時間 ②パソコンへデータダウンロード ③データ一括取り込み機能 |
①クラウド事業者側で、毎日バックアップを取得。
②ダウンロード可能。 ③一括取り込み可能。 |
|
| (2) バックアップ後のデータの保存期間 | 6ヶ月間保管。 | ||
| (3) バックアップの世代管理(ランサムウェアによる暗号化・データ消失対策含む) | 全世代を管理。 | ||
| 8. ログ管理 | (1) ログ取得状況
①標準機能でログが取得されているか ②取得可能なログの種類 |
①クラウドサービス標準でログが取得されている。
②操作ログ、認証ログ、通信ログ(アクセスログ)。 |
|
| (2) ログの保存期間 | 12ヶ月以上保存。 | ||
| (3) ユーザ側でのログの確認
①ユーザ側のログの閲覧方法 ②ユーザ側のログ入手方法 |
①シフト作成ログのみユーザー側で閲覧可能。その他は当社に依頼しない限り確認不可。
②取り出すには、都度有償。 |