| 大分類 | 中分類 | Questions | Answer |
|---|---|---|---|
可用性 | メンテナンス通知 | 計画停止、障害停止などの連絡・報告は、いつどのように行われますか。 | 計画停止につきましては、主に土日に実施することがあります。実施の際は弊社の担当者よりメールにて事前にご連絡いたします。 障害停止につきましては、障害を検知し次第、影響のあるお客様には弊社の担当者からご連絡いたします。 |
可用性 | 信頼性 | RISAは冗長構成で作成されていますか。 | はい。RISAで利用しているアプリケーション、データベース基盤はマルチAZ構成で運用を行っております。 |
可用性 | スケーラビリティ | RISAのレスポンス確保のため、サーバやネットワークに対してどのような対策をされていますか。 | CDNサービスでのキャッシュ配信やロードバランサーによる負荷分散対策を実施しています。 |
サービス認証処理 | パスワード設定 | 利用者の認証パスワード要件を教えてください。 | パスワード要件は「文字数:8文字以上 、文字種:半角大・小英字、数字、記号」のいずれか1つ以上を利用 |
サービス認証処理 | パスワード設定 | 利用者の初回パスワード変更を強制していますか。 | はい。初回利用時は各自でパスワード設定が必須となります。 |
サービス認証処理 | パスワード設定 | パスワード変更は一般ユーザの権限で可能ですか。 | はい。任意のタイミングでパスワード変更が可能です。 |
サービス認証処理 | アカウント発行 | アカウント発行を行えるユーザを制限することは可能ですか。 | はい。アカウント発行は管理ユーザのみ可能な操作となります。 |
サービス認証処理 | アカウント発行 | フロアにアクセス出来るユーザを制限することは可能ですか。 | はい。管理ユーザによってアクセス可能な一般ユーザを設定することが可能です。 |
サービス認証処理 | アカウント発行 | アカウント発行は指定ドメインのみに行うことは可能ですか。 | いいえ。ドメイン名称に関係無く管理ユーザが指定したドメインに対して招待することが可能です。 |
サービス認証処理 | アカウント発行 | ゲストユーザとして外部メンバーを招待することはできますか? | はい。ゲストアカウント用のURLを発行して許可されたフロアへの入室が可能となります。 |
アクセス管理 | マルチテナント処理 | RISAはシングルテナントですか、マルチテナントですか。 | マルチテナントとなります。 |
アクセス管理 | マルチテナント処理 | RISA利用中の他契約者が不正にデータアクセスできないようアクセスコントロールができていますか。 | はい。利用者にそれぞれトークンが生成され、RISA内のアクセス制御に基づいて情報隔離を実施しアクセスコントロールしています。 |
データ | ローカル保存 | 利用者はデータをダウンロードできますか? | いいえ。データダウンロード機能はございません。 |
物理管理 | 物理セキュリティ | RISAに必要な機器(サーバ・ストレージ機器等)を設置している場所のセキュリティ対策はどのように実施していますか。 | RISAはクラウドサービス(AWS, 一部NTTのSkyway)を利用しています。弊社で管理している物理設備はございません。 |
内部不正 | アクセス権限管理 | RISAシステムファイルや個人情報など重要なデータへアクセスできる者を管理していますか。 | はい。システム管理者に許可された開発者に限定して、アカウント発行ならびにアクセス権限を付与しています。 |
ログ・監視 | 監査ログ | システム管理者による不正操作がないか監査していますか。 | はい。AWSのCloudTrailを有効化し監査ログを取得しています。 |
ログ・監視 | 利用者ログ | 利用者の操作ログは取得されていますか。 | はい。RISA内での操作はURIアクセスとしてログが記録されます。 |
ログ・監視 | 利用者ログ | RISAの操作ログ(閲覧/編集など)を管理ユーザが閲覧、ダウンロードすることは可能ですか。 | いいえ。各種ログは弊社管理となるため利用者には原則提供しておりません。 |
ログ・監視 | ログ保存期間 | アプリケーション、データベースなどで取得したログの保存期間を教えてください。 | 最低6ヶ月の保存としています。 |
ログ・監視 | ログ保存期間 | システム管理者の操作ログの保存期間を教えてください。 | 最低1年の保存としています。 |
不正アクセス | WAF | ファイヤーウォール等、サービス提供者によって第三者からの情報の閲覧・取得を防止するためのセキュリティ対策がされていますか。 | はい。AWS WAFを適用しています。シグネチャも定期的に更新される仕組みを構築しております。 |
不正アクセス | WAF | インターネットの境界は必要最小限の通信のみに限定していまsか。 | はい。RISAに必要となるプロトコルのみを許可しています。 |
不正アクセス | フィッシング対策 | 第三者がRISAサーバになりすますこと(フィッシング等)を防止するため、サーバ証明書の取得等の必要な対策を実施していますか。 | はい。Amazon Certificate Managerを利用し証明書の自動更新を実施しています。 |
不正アクセス | DDoS対策 | DDoSプロテクション等にてDDoS攻撃の対策を講じていますか。 | はい。AWS Shieldを有効化しています。 |
脆弱性対策 | ウイルス対策ソフト | RISAで利用しているサーバにはウイルス対策やパッチ適用がされていますか。 | 全てマネージドサービスで運用しているため、OSレベルで弊社が管理するサーバはございません。 |
脆弱性対策 | パッチ適用 | サービスに関わる機器やソフトウエアへの脆弱性対策は、発見後実施されていますか。 | はい。ミドルウェアに対して脆弱性診断を定期的に行っています。脆弱性が発見された際は脆弱性情報の確認、最新バージョンへの適用を適宜実施しています。 |
脆弱性対策 | 情報収集 | 技術的脆弱性に関する情報を定期的に収集し、随時パッチによる更新を行っていますか。 | はい。IPA/JPCERT/JVNより脆弱性情報を収集し、該当情報を確認した際に適宜対応を行っています。 |
ネットワーク | 暗号化 | 利用者とRISA間において通信の暗号化はされていますか。 | はい。利用者とRISAのインターネット通信にはTLS1.2以上でのアクセスが必要となります。 |
データベース | 法令管理 | データが保存されるサーバ/ストレージはどの国に設置されていますか。 | すべて日本国内のサーバー/ストレージとなります。 |
データベース | データ暗号 | サービスに保存されるデータは暗号化されていますか。 | はい。各種データはAES-256で暗号化保存されています。 |
データベース | 格納データ種別 | RISAに保管されるデータはありますか。 | チャットログ、利用者ログイン情報がRISA内に保存されます。 |
データベース | 契約終了時の扱い | RISA契約終了時、利用期間中に保存したデータの消去・廃棄について教えてください。 | サービス利用終了後、契約者の個人情報が分かるデータに関して30日以内に削除いたします。 |
※以下参考用のデータ-------------—-------------—
| 大分類 | 1 | 2 | |
|---|---|---|---|
可用性 | メンテナンス通知 | 計画停止、障害停止などの連絡・報告は、いつどのように行われますか。 | 計画停止につきましては、主に土日に実施することがあります。実施の際は弊社の担当者よりメールにて事前にご連絡いたします。 障害停止につきましては、障害を検知し次第、影響のあるお客様には弊社の担当者からご連絡いたします。 |
可用性 | SLA | サービスの稼働率、障害発生頻度、障害時の回復目標時間など、利用者の意図するサービス品質になっている事を確認することを確認していますか。 | 稼働率:99.5%としている。 ※詳細は別途SLA資料を参照 CloudWatchで基盤のメトリクスを監視して確認している。 |
可用性 | 信頼性 | 特に重要な秘密情報を取り扱い、維持・継続性が求められるもの、またはシステムダウンなどにより与える影響が甚大なサービスを提供する場合については、当該利用サービスがシステムとして冗長化されていることを確認していますか。 「特に重要な秘密情報」を預託する場合は、必須。 | マルチAZ構成とし、AP基盤はFargateで拡張・縮退運用を行っています。 |
可用性 | 復旧時間 | BCPで想定している災害レベルとその復旧目標時間を教えてください。 | 想定している災害レベルはAZ障害まで。マルチAZ構成で冗長化をしている。 免責についてはRISA利用規約 第16条 5項(非保障および免責)に記載。 |
可用性 | スケーラビリティ | 利用者へのレスポンス確保のため、サーバやネットワークに対して、どのような対策をされていますか。(負荷集中時の対策等) | CloudFrontでのCDNでの配信を行い、ECS+ALB構成での負荷分散対策を実施しています。 |
可用性 | スケーラビリティ | スタンバイ機による運転再開 | 同機能のサーバーが常に複数起動し負荷状況に合わせてユーザーに割り振られるようになっております。 |
サービス認証処理 | ユーザ管理 | サービス利用者のID、パスワードが漏れないための対策はどのようにされていますか。 パスワード強度に関する情報も併せてご提示ください。 | DBに利用者情報を保管し、保存時には暗号化設定を行っています。 パスワード強度は「最低8文字」の半角英数字を設定しています。 |
サービス認証処理 | パスワード設定 | クラウドサービス利用者の認証パスワードの難読性はどのように保証できますか? | パスワード最低8文字は必須。 他項目については対応しておらず、管理アカウントによる制御も実装しておりません。 |
サービス認証処理 | パスワード設定 | 全アカウントのパスワードはシステム上で8文字以上、英大文字+英小文字+数字+記号で制限できる。 | パスワード要件は以下となります。 文字数:8文字以上 文字種:半角大・小英字、数字、記号のいずれか1つ以上を利用 |
サービス認証処理 | パスワード設定 | パスワード文字数 ・8文字以上にしているか ・個人情報を扱う場合は、10文字以上にしているか | |
サービス認証処理 | パスワード設定 | サービスの利用等に際して用いる認証パスワードは、大文字・小文字の英字、数字、記号を組み合わせた8桁以上で設定できることを確認していますか。 (8桁以上のものが設定できない場合は、許容範囲内での最大長のものを設定し、自社内の各種システムを利用する際に用いるパスワードとは異なるものを設定していますか。) | |
サービス認証処理 | パスワード設定 | 全アカウントのパスワードは推測されやすい値を設定されないよう、.システム上、辞書チェック等により容易に推測可能なパスワードを設定出来ないよう制限できる。 | 辞書チェックシステムは導入していない |
サービス認証処理 | パスワード設定 | パスワード文字種 英文字・数字・記号の3種のうち、2種以上を含むようにしているか | 実施していない |
サービス認証処理 | パスワード設定 | 総当り攻撃対策(アカウントロック) ・パスワードの失敗を許すのは12回以内とし、それを超えたらアカウントをロックしているか ・アカウントロックの解除は、受け付けて行うか、一定時間経過後(翌日など)に自動で行ってるか | 実施していない |
サービス認証処理 | パスワード設定 | アカウント(ID)や認証パスワードを継続して複数回間違えた場合のアカウントロックが自動で行えることを確認していますか。 | |
サービス認証処理 | パスワード設定 | 初回パスワード変更 パスワードが初期設定されている場合、初回ログイン時のパスワード変更を強制しているか | 複数回認証失敗時の自動アカウントロック機能は有していません。 |
サービス認証処理 | パスワード設定 | 総当たり攻撃対策(一定頻度以上での試行制限) 一度間違えたら数秒はパスワードを入力できないようにしているか | 管理者からのシステム利用招待URLから自身でパスワード設定が必須 |
サービス認証処理 | パスワード設定 | 同一IPからの一定回数以上のログイン試行発生時にアクセス制限もしくは当社担当者宛にメール発報される機能がある。 | 何度も試行可能 |
サービス認証処理 | パスワード設定 | サービスへアクセスする際、アカウント/パスワードの他、本人を特定する認証方法があるか? | ID/PWのみの実装となります。 |
サービス認証処理 | パスワード設定 | 利用部門の管理責任者がユーザのパスワードを強制リセット・変更可能である。 ※ユーザ自身で実施可能な場合も可。その場合コメント欄に記載すること。 | ユーザの任意のタイミングでパスワード変更が可能 |
サービス認証処理 | 認証システム | 不正アクセスの監視方法を備えているか?リストアタック、パスワード総当たりなどに対してアカウントロック機構などの防止機能などを備えているか? | アカウントロックの仕組みはありません。 |
サービス認証処理 | 認証システム | ログイン時の認証機能はSAML認証を用いたSSO認証の機能がある。 SAML認証を用いたSSO認証が可能な場合、当社のSSO認証基盤と連携させる。 | SAML認証でのSSOは設けていません。 |
サービス認証処理 | 認証システム | ログイン時の認証機能は、パスワード+αの認証を利用できる。 | メールアドレス+パスワードのみの運用となる。 |
サービス認証処理 | アカウント発行 | サービスを利用する際に用いるアカウント(ID)は、アカウント(ID)発行権限を持たないこと。 | 管理者アカウント以外はログイン機能(システム利用権限)のみとなります。 アカウント発行は管理者アカウントのみが可能となります。 |
サービス認証処理 | アカウント発行 | アカウント(ID)については、自社ドメインのメールアドレス(例:kddi.com)を用いないようにしていますか。 なお利用するサービスにより、アカウント(ID)に、自社ドメインのメールアドレスを利用せざるを得ない場合は、モバイル端末から利用有無および特に重要な秘密情報の預託に関わらず、B-8 ⅰ~ⅲ記載のいずれか利用しているかご記入願います。 | ドメイン名関係無く、利用者がアカウント登録可能な状態となります。 |
サービス認証処理 | モバイル | モバイルデバイスでは、多要素認証(生体、デバイス、ワンタイムパスワードなど)又は、多段認証(認証を複数回行う)を実施しているか | 現在はPC環境からのアクセスのみ利用可能なシステムとなっている。 |
サービス認証処理 | モバイル | モバイル端末向けアプリについて定期的に脆弱性診断を行い、その結果に基づいて対策を行っている。 | |
サービス認証処理 | アクセス制御 | サービスにアクセスできる人をIPアドレスで制限できるか? | |
サービス認証処理 | アクセス制御 | Web画面へのアクセスをIPアドレス等にて指定したアクセス元のみに制限できる。 | |
サービス認証処理 | アクセス制御 | クライアント証明書認証、MACアドレス制限等システム的に利用端末を制限する機能がある。 | |
サービス認証処理 | アクセス制御 | クラウドサービスへの利用者のアクセスを制限する機能はありますか(IPアドレス制限、端末認証など) これら機能が無い場合、認証を強化するために「多要素認証」機能はありますか? | IPアドレスによる仮想空間上のフロアへのアクセス権限制御あり(2022/3月上旬実装予定) |
サービス認証処理 | アクセス制御 | クラウドサービスの利用者単位に利用機能の制限、アクセス権限などを制御できますか? | 一部可能(アバター(ユーザ)がアクセスできる仮想空間上のフロアのアクセス権限のみ) |
サービス認証処理 | アクセス制御 | 管理者アカウント(特権ID)は、IPアドレス制限、端末認証、その他の多要素認証を利用して、不正アクセス対策できますか? | IPアドレスによる管理者画面へのアクセス権限制御あり(2022/3月上旬実装予定) |
サービス認証処理 | アクセス制御 | クラウドサービスは、外部サービスとの連携機能がありますか?もしくは、利用者(管理者を除く)の機能として、外部メンバーの招待、外部メンバーとのデータ共有はできますか? | 外部ユーザーをRisa内へゲストとして招待する機能のみ該当します。 |
ユーザ発行 | 特権管理 | 御社(サービス提供者側)が使用する管理者IDは、漏洩、利用制限の観点から、どのように管理統制されていますか。 | 技術責任者の許可範囲に限り、対象者へアクセス権限を付与しています。 また、不要になった際は都度アクセス権限を削除しています。 |
ユーザ発行 | ユーザ管理 | 当社が利用するデータ領域には、当社(SoftBank 以下同様)より書面/メール等の依頼が無い限り、アクセスできないようシステム的に制限する。 | 管理者の招待ユーザのみアクセス可能(メールアドレス管理) |
ユーザ発行 | ユーザ管理 | データに対するアクセス権設定が支障なく設定できること、利用期間中に社内管理者による変更・見直しが可能であることを確認してください。 | 管理ユーザによってワールド利用者を変更可能です。 |
ユーザ発行 | ユーザ管理 | システムファイルや重要なデータへアクセスできる一般利用者を以下のように制限しているか ・一般利用者のアクセス権限(ロール)を設定する ・アクセス権限を設定できる管理者を限定する | 利用者のみに限定してアクセス権限を設定している。 アクセス権限はシステム管理者のみが変更可能としている。 |
アクセス管理 | IP制御 | 利用するサービスへのアクセスに際しては、グローバルIPアドレスでアクセス制限をするとともに、不特定のアクセス元からの利用は行わないようになっていることを確認していますか。 | グローバルIPでのアクセス制限は不可となります。 |
アクセス管理 | IP制御 | アクセス元のipアドレスを限定し、必要な経路のみの通信制御をおこなうことはできるか確認してください。 | 当社ではIPアドレスの制御は行っておりません。 |
アクセス管理 | マルチテナント処理 | サービス利用中の他顧客が不正にデータアクセスできないよう、隔離などアクセスコントロールができていますか。 | ログイン時に、ユーザーごとのトークンが生成され、常にそのトークンをもとに認証をしています。各ユーザーは権限のあるデータにのみアクセスすることができます。 |
アクセス管理 | マルチテナント処理 | クラウドサービスは、シングルテナントですか、マルチテナントですか。 マルチテナントの場合、異なる利用企業間情報隔離、障害時の影響の局所化に関する対策を記載してください。 | マルチテナント(システム内のアクセス権限にて情報隔離を実施しています。) |
アクセス管理 | マルチテナント処理 | 他社とのデータの独立性をどのような方法で担保しているかサービス事業者に確認をし、データを預けても問題ないかチェックしてください。 | ログイン時に、ユーザーごとのトークンが生成され、常にそのトークンをもとに認証をしています。各ユーザーは権限のあるデータにのみアクセスすることができます。 |
データ | ローカル保存 | クラウドサービスは、データを閲覧した際に、利用者側のデバイス(パソコン、iPadなど)にデータが残りますか?また、利用者(管理者を除く)は、データをダウンロード(またはメール転送)できますか? また、クラウドサービスのセッションタイムアウトは何分ですか? | ・閲覧時にデータが残るか?(利用者側端末上にはデータは残りません) ・利用者はデータをダウンロード(またはメール転送)できるか?(データ送信機能はございません。Webカメラとテキストデータのみのやり取りとなります。) ・セッションタイムアウト時間(非公開) |
| 大分類 | 1 | 2 | |
|---|---|---|---|
物理管理 | 物理セキュリティ | サーバなどサービスに必要な機器を設置している場所のセキュリティ対策(入館セキュリティ等)はどのように実施していますか。 | サービスをホストしているサーバーはすべてクラウド(AWS, 一部NTTのSkyway)を利用していますので弊社で管理している物理設備はございません。 |
物理管理 | 物理セキュリティ | 重要な物理的セキュリティ境界(カード制御による出入口、有人の受付等)に対し、個人認証システムを用いて、従業員及び出入りを許可された外部組織等に対する入退室記録を作成し、適切な期間保存すること。 | システムはクラウド上のマネージドサービスで構成されているため、弊社管理の筐体、サーバOS、ミドルウェアはございません。そのため物理的セキュリティ境界は弊社側に存在いたしましせん。 |
内部不正 | アクセス権限管理 | 個人情報へアクセスできる者は以下のように管理されているか ・個人情報へアクセスできる者の台帳を作成し、最新の状態に管理している ・不要に個人情報が取得されないようにOS、DB、AP権限をそれぞれ分離している ・アクセス権を付与する権限について限定し、最小限にする | AWSのIAM台帳で管理している |
内部不正 | アクセス権限管理 | 個人情報へアクセスできる特権コマンドの利用を以下のように管理しているか ・特権コマンドの利用の際は認証を行う ・特権コマンドの利用者を限定し、制限する ・特権コマンドの悪用対策を行う | 特権コマンドは特権ユーザのみに限定している。 また、個人情報が保存されているDBのパスワードはシステム管理者が把握、管理している。 開発者はシステム管理者が許可したもの以外アクセスすることが出来ない。 |
内部不正 | アクセス権限管理 | システムファイルや重要なデータへアクセスできる一般利用者を以下のように制限しているか ・一般利用者のアクセス権限(ロール)を設定する ・アクセス権限を設定できる管理者を限定する | 利用者のみに限定してアクセス権限を設定している。 アクセス権限はシステム管理者のみが変更可能としている。 |
ログ・監視 | 監査ログ | ・障害・攻撃・不正アクセスを検知するため、ログを定期的*に監視しているか *重要システム:月1回以上等 ・特権アカウントによる重要情報(個人情報・機密情報)へのアクセスについては特に注意して監視しているか | CloudTrail、Config、Shield、GuardDutyで定期監視を行っている。 |
ログ・監視 | 監査ログ | 特権アカウントの利用においては、使用に関するログが取得されること | CloudTrailを有効化 risaサービス上の特権アカウントのログは提供しておりません。 |
ログ・監視 | 監査ログ | 管理者による不正操作がないか監査していますか。 | CloudTrailログを取得し監査しております。 |
ログ・監視 | 利用者ログ | サービス利用者の操作ログは取得されていますか。 | Risa内での操作はURIアクセスとしてログが記録されます。 なお、ログは弊社管理となるため利用者には公開はしておりません。 |
ログ・監視 | 利用者ログ | サービス管理者の操作ログは取得されていますか。 | Risa内での操作はURIアクセスとしてログが記録されます。 なお、ログは弊社管理となるため利用者には公開はしておりません。 |
ログ・監視 | 利用者ログ | サービスの操作ログ(閲覧/編集など)が記録されており、必要に応じて確認することが可能か? | 弊社内で操作ログを保持していますが、開示請求での提供は実施しておりません。 |
ログ・監視 | 利用者ログ | Webアプリケーションについて、以下いずれかのログを取得している。 1.アクセスログを取得 2.操作ログを取得 3.アクセスログ及び操作ログを取得 | 1.アクセスログを取得 |
ログ・監視 | ログ保存期間 | ・以下のログは6ヶ月以上、保管しているか 認証(ログイン,DB,アプリ)、サーバーログ(Web,アプリ)、syslog、messages、event logなど ・個人情報や機密情報を扱う場合は、アクセスログを12ヶ月以上、保管しているか | 1年の保存期間としている。 |
ログ・監視 | ログ保存期間 | Webアプリケーション、OS、DBなどで取得したログは3か月以上保存している。 | 6ヶ月保存としている |
ログ・監視 | ログ保存期間 | 利用者の利用状況の記録(ログ等)の保存期間 | アクセスログを最低でも6ヶ月保存を行っています。 |
ログ・監視 | ログ保存期間 | 例外処理及び情報セキュリティ事象の記録(ログ等)の保存期間 | CloudTrailのログを1年間保存としている |
ログ・監視 | ログ保存期間 | サービスの利用ログ(アクセスログや操作ログ等)が管理されており、必要に応じて閲覧、取得して利用できることを確認していますか。 なおログの保存期間は1年とするが、SaaSのセキュリティ要件および預託する情報の性質に応じて永年のログ保持を求める場合があります。また「永年」は10年間のログ調査性維持、20年間のログ保存とする。 | 弊社内でログを1年保存しているが、各社への提供は不可となっている。 |
ログ・監視 | ログの提供 | 個人情報の第三者提供(提供を行う/受ける場合共)の記録となるログを3年間保管している。 | 第三者に提供はしておりません。 |
ログ・監視 | ログの提供 | ログ抽出について、以下いずれかの手段を提供可能である。 1.ユーザがログを抽出する機能がある。 2.ユーザがログを条件指定して抽出する機能がある。 3.抽出機能はないが(障害対応でない場合においても)依頼により提供可能。 | ユーザーに提供することを前提としたログ取得ではありません。 |
ログ・監視 | ログの提供 | セキュリティ事件・事故が発生した場合、当社利用範囲の使用状況、例外処理及びセキュリティ事象の記録(操作ログ(特にデータ抽出ログ))を当社に提供可能である。 | 協議の上でログ提供。 |
ログ・監視 | ログの提供 | セキュリティ事件・事故が発生した場合、操作ログの提供以外にも当社が行う調査に協力可能である。 | 取得しているログ項目については非公開です。また、取得しているログ項目は当社にて管理し、確認することは可能です。 御社管理下の仮想空間上のフロアへのアクセス履歴(ログオン・ログオフ)につきましては提供可能です。 |
ログ・監視 | ログの提供 | 利用者のログで確認できる事項(回答欄から選択)とログ保管期間 | |
不正アクセス | 異常検知 | 障害、攻撃、不正アクセスを検知するため、ログを取得してるか 例:認証(ログイン,DB,アプリ)、syslog、messages、event log,Webの処理ログ,アプリの処理ログ ・機密情報を扱う場合は、アクセスログを取得しているか ・個人情報を扱う場合は、アクセスログを取得し、更にその漏えいを防ぎ、毀損から保護しているか | 認証ログ(アクセスログ)の取得、AWSConfig、CloudTrail等を有効化し確認を行っている。 |
不正アクセス | WAF | ファイヤーウォール等、サービス提供者によって第三者からの情報の閲覧・取得を防止するためのセキュリティ対策がされていますか。 | AWS WAFにWafCharmを適用させております。シグネチャも定期更新される仕組みとなります。 |
不正アクセス | WAF | WAF等にて、Webアプリケーション(APIを含む)を監視し防御している。 | |
不正アクセス | フィッシング対策 | 第三者がSaaS提供会社のサーバになりすますこと(フィッシング等)を防止するため、サーバ証明書の取得等の必要な対策を実施している。 | ACMによる証明書自動更新を実施 |
不正アクセス | フィッシング対策 | 第三者が当該事業者のサーバになりすますこと(フィッシング等)を防止するため、サーバ証明書の取得等の必要な対策を実施すること。 | Amazon Certificate Managerを利用し証明書の自動更新を実施しています。 |
不正アクセス | DDoS | DDoSプロテクション等にてDDoS攻撃の対策を講じている。 | |
不正アクセス | セキュアコーディング | 本番環境に適用するソースコード(プログラム)は、コードスキャナにて脆弱なコードを排除している。なお、セキュアコーディングレビューの手順が整備されている場合、これに代替できる。 | |
不正アクセス | 通信制御 | インターネットの境界にはFirewallを設置し、必要最小限の通信のみに限定している。 | ALB/CloudFront HTTPS:443のみ許可 |
不正アクセス | 通信制御 | IDS/IPS等にて、本番環境ネットワークへの不正侵入を監視し防御している。 | |
脆弱性対策 | ウイルス対策ソフト | サーバにはウイルス対策がされていますか。 | 全てマネージドサービスで運用しているため、弊社管理のサーバはございません。 |
脆弱性対策 | ウイルス対策ソフト | ASP・SaaSサービスの提供に用いるプラットフォーム、サーバ・ストレージ(データ・プログラム、電子メール、データベース等)についてウイルス等に対する対策を講じること。 | AP基盤はFargateで構築。ECRイメージスキャンで脆弱性を確認後に構築、その後は読み取り専用として稼働するため、ウイルス感染の可能性はありません。 また、DBはAuroraを使用しているため対策不要となります。 |
脆弱性対策 | パッチ適用 | ・重要なセキュリティーパッチ*はリリース後1カ月以内に適用しているか *マイクロソフトの緊急パッチなど ・CVSS:4以上の脆弱性に対するパッチも重要度を見極め、適宜適用しているか | |
脆弱性対策 | パッチ適用 | サーバや運用端末等の本番環境について、ウィルス対策ソフトを導入し定期的にウイルスチェックを行っている。ウィルスパターンファイルも定期的に最新化している。 | |
脆弱性対策 | パッチ適用 | サーバや運用端末等の本番環境に、正式な変更管理のプロセスを通していないプログラム等のインストールを行わせない。 | |
脆弱性対策 | パッチ適用 | サービスに関わる機器やソフトウエアへの脆弱性対策は、発見後速やかに実施されていますか。 (WAF等の適用による対策を含む) | ECRイメージスキャンを行い脆弱性が発見された際は脆弱性情報の確認、最新バージョンへの適用を行っております。 |
脆弱性対策 | パッチ適用 | システムを最新の状態に保っているか? | マネージドサービスで構築しているためOS管理は範囲外となる。 ECRイメージスキャンでミドルウェアの脆弱性をチェックし、アラート確認時に適宜対応を行っている。 |
脆弱性対策 | 情報収集 | プラットフォーム、サーバ・ストレージ、情報セキュリティ対策機器、通信機器についての脆弱性情報を定期的に収集し、随時パッチを適用している。 | |
脆弱性対策 | 情報収集 | プラットフォーム、サーバ・ストレージについて定期的に脆弱性診断を行い、その結果に基づいて対策を行っている。 | |
脆弱性対策 | 情報収集 | ASP・SaaSサービスの提供に用いるプラットフォーム、サーバ・ストレージ、情報セキュリティ対策機器、通信機器についての技術的ぜい弱性に関する情報(OS、その他ソフトウェアのパッチ発行情報等)を定期的に収集し、随時パッチによる更新を行うこと。 | IPA/JPCERT/JVNより脆弱性情報をRSSで収集し、必要に応じて適宜対応を行っています。 また、システムはマネージドサービスで構成されているため、弊社管理の筐体、サーバOSはございません。 各マネージドサービスへの脆弱性対応は各サービス提供側のメンテナンス通知より確認ならびに自動適用を行う想定です。 |
脆弱性対策 | 検査 | Webアプリケーションの脆弱性検査を、SEC、第三者機関、のいずれか一つ以上で実施しているか | Webアプリケーションの脆弱性検査は外部へ依頼していない |
脆弱性対策 | 検査 | Webアプリケーションについて定期的に脆弱性診断を行い、その結果に基づいて対策を行っている。 | |
脆弱性対策 | 検査 | ぜい弱性診断の実施間隔(サーバ等への外部からの侵入に関する簡易自動診断(ポートスキャン等)) | Amazon GuardDutyで常時監視しています。 なお、提供サービスはサーバレス構成のためWebアクセス関連以外のポートは全て遮断される動きとなります。 |
脆弱性対策 | 検査 | ぜい弱性診断の実施間隔(サーバ等への外部からの侵入に関する詳細診断(ネットワーク関係、外部委託を含む)) | Amazon GuardDutyで常時監視しています。 なお、提供サービスはサーバレス構成のためWebアクセス関連以外のポートは全て遮断される動きとなります。 |
脆弱性対策 | 検査 | ぜい弱性診断の実施間隔(アプリケーションの脆弱性の詳細診断(外部委託を含む)) | アプリケーションレイヤーはペネトレーションテストについては現在準備中でございます。 その為、現在は実施しておりません。 実装予定については2021年9月30日までに完了する予定です。 2021年8月2日現在の状況としては、ツールテスト環境構築中のステータスです。 |
通信経路 | 通信の暗号化 | インターネット上で通信が盗聴され、それによるデータ漏洩・改竄が発生しないよう、対策がされていますか。(サービス利用時の暗号化通信等) | RisaへのアクセスはTLS1.2以上での通信が必須となるよう設定しています。 |
通信経路 | 通信の暗号化 | インターネットを経由する通信経路はTLS1.2以上で暗号化しているか | |
通信経路 | 通信の暗号化 | 通信の暗号化を行っている。 | |
通信経路 | 通信の暗号化 | 利用者とシステムの通信(サービスの通信)は暗号化されているか? | |
通信経路 | 通信の暗号化 | 利用者側からクラウドサービス事業者環境までの接続形態を記載してください。 また、通信経路の暗号化対策(SSL/End to Endのアプリレベルの暗号化等) | インターネット接続(TLS1.2以上での通信のみ可能としています。) |
通信経路 | 通信の暗号化 | インターネットを経由してアクセスする場合は、通信の暗号化を行う機能が利用できることを確認していますか。 | Risaシステムとクライアント端末間のインターネット通信にはTLS1.2以上が必要となります。 |
通信経路 | 通信の暗号化 | 通信経路の暗号化対策について、実施有無およびその実現内容をサービス事業者にヒアリングしてください。 | 「RISA」との通信には常にSSL/TLSによって暗号化されております。通信についてはWebRTCのP2P通信を採用しており、STRPやDTLSを用いて暗号化されているため、盗聴やデータ傍受などの問題が生じることはありません。 |
通信経路 | 通信プロトコル | HTTP/HTTPS以外の利用プロトコルはありますか?また、80番/443番/8080番以外にポート利用はありますか?※当社の標準環境(Proxy.pac設定)で利用できますか? | ・HTTP/HTTPS以外のプロトコル利用の有無( なし ) ・80/443/8080以外のポート利用の有無( なし) ・当社のProxy.pacを利用してアクセス可能か?(proxy環境で利用している方もいるため可能ではあるかと思いますが、貴社環境のpacでアクセス可能かは判断致しかねます。 ) |
通信経路 | 削除データの漏えい対策 | 削除データの漏えい対策として、利用者によるデータ削除や、サービス解約を行った後、データ復元などによる情報漏えいがないよう、対策がされていますか。 | マネージドサービスへの保管となるため、物理破壊等は出来ません。しかし、暗号化を行っているため弊社のAWSアカウントのキーでのみ復号が可能となるため実質的な復号は不可となります。 |
データベース | バックアップリストア | システムやデータのバックアップはどのような方法、サイクルで取得、運用していますか。また、データリストア可能な単位はどうなっていますか。(一括のみ/ファイル単位/レコード単位等) | マネージドサービスのスナップショット機能を利用しています。 取得間隔は1日単位とし、データリストは前日分のスナップショットから一括による復元となります。 |
データベース | バックアップリストア | 「特に重要な秘密情報」を預託する場合は、その秘密情報がサービス提供事業者において、定期的にバックアップされていること、もしくはバックアップデータの取得、保存が可能であることを確認していますか。 「特に重要な秘密情報」を預託する場合は、必須。 | AWSの定期スナップショットで取得しています。 |
データベース | バックアップリストア | データのバックアップはどのくらいの頻度で取得され、何世代分取られていて、どのように保管しているか確認してください。 | バックアップ頻度:毎日 世代管理:1世代 保管方法:スナップショット |
データベース | 配置 | 重要なデータはDMZから分離された信頼できるネットワークに格納しているか | プライベートサブネットに保存 |
データベース | ポータビリティ | データの他システム/サービスへの移植性について教えてください(CSV等、汎用的な形式でデータの一括取り出しができるか等) | 製品内でのテキストチャットなどのデータにつきましてはCSV出力等の機能は実装しておりません(幣サービスが通話がメインのアプリケーションでテキストチャット等は補助的な機能のため)。 |
データベース | 法令管理 | データが保存されるサーバ/ストレージはどの国に設置されていますか。 | すべて日本国内のサーバー/ストレージとなります。 |
データベース | 法令管理 | 当該サービスに登録/保管したデータが国内環境(リージョン)に保管されている。 | |
データベース | 法令管理 | クラウドサービス利用上の適用法規・係争裁判所を記載してください。 また、日本以外の国の政府関与がある場合は、記載してください。 | ・日本法 ・東京地方裁判所 ・日本以外の政府関与無し |
データベース | 法令管理 | クラウド事業者が提供するサービスのデータセンターは公表されていますか。 もしくは、データ保管場所の国名は公表されていますか。 | 日本国内 |
データベース | データ暗号 | 重要なデータは「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」に従って暗号化しているか | RDS暗号化設定済 |
データベース | データ暗号 | 個人に関する情報および、 特定の個人を識別できる情報は、リスクアセスメントを行い、重要度に応じて、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」に従って暗号化しているか | RDS暗号化設定済 |
データベース | データ暗号 | サービスに保存されるデータは暗号化されているか? | AES-256で暗号化保存されています。 |
データベース | データ暗号 | サーバ上のデータベース領域の暗号化を行っている。 | |
データベース | データ暗号 | データベースに格納されたデータの暗号化を行うこと | Auroraの暗号化を有効化しています。 |
データベース | データ暗号 | データベースの暗号化対策について、対策有無をサービス事業者に確認してください。パスワード情報や重要情報のみといった場合は、補足事項に暗号化対象を記載してください。 | RDSへ暗号化して保存しています。 |
データベース | 暗号鍵管理 | ・暗号鍵は管理者本人のみがアクセス可能にしているか ・暗号鍵を別組織がバックアップする場合、当該鍵バックアップ管理者のみがアクセス可能にしているか | 以下仕様で管理している。 https://aws.amazon.com/jp/kms/features/ |
データベース | アクセス制御 | データは第3者からアクセス不可能な場所に格納しているか? | システム保守を目的としたスタッフしかアクセスできません |
データベース | アクセス制御 | 貴社/貴社からの委託先の運用担当者以外の者の本番環境へのアクセスを禁止する。 | システム部門長許可者のみシステムへアクセス可能 |
データベース | 格納データ種別 | 外部サービスに保管(格納)されるデータは何か? | チャットログ 各ユーザのログインID(メールアドレス) ハッシュ化された各ユーザパスワード |
データベース | 契約終了時の扱い | 利用期間中に保存したデータの消去・廃棄方法は? | サービス利用終了後、30日以内に削除いたします。 |
データベース | 契約終了時の扱い | SaaSサービス上に保存したデータについて、契約終了後の取り扱いを定めている。 | |
データベース | 契約終了時の扱い | クラウドサービスを利用中に、保存したデータの一部を完全に削除する方法がある場合は、その旨記載してください。 また、クラウドサービス契約終了時のデータの取扱いについて記載してください。 | ・クラウドサービス利用時にデータの一部を完全に削除する方法 (なし) ・クラウドサービス契約終了時のデータの取扱い (ユーザー情報の削除) |
データベース | 物理破壊 | 設備障害などで、クラウド事業者が記憶装置を交換した場合、記憶装置内には当社の業務情報が格納されている可能性があるため、データの復元ができないように物理的な破壊を行うこと。 | 下記URLの通り物理的な破壊が実施されます。 https://aws.amazon.com/jp/blogs/news/data_disposal/ |
データベース | 物理破壊 | クラウドサービス終了時には、論理的消去も含めたデータ消去をクラウド事業者が確実に実施することとし、かつ消去プロセスの適切性を外部の第三者機関等による消去証明書を提出すること。 | 下記URLの通りKMSキー削除により証明となります。 https://aws.amazon.com/jp/blogs/news/data_disposal/ |
組織 | 運用体制 | セキュリティに関する体制・対策実施状況を監査等にて定期的に確認する。また監査等で発見された改善事項は是正する。 | AWS SecurityHubのアラートを確認し対応方針をセキュリティ委員会にて報告、改善対応を実施している |
組織 | 運用体制 | 貴社内においてセキュリティ教育を実施すること また、クラウドサービスに関する情報セキュリティ教育、訓練及び意識向上プログラムを実施するにあたり、貴社が提供するクラウドサービスの操作マニュアル及び連絡先情報を必要に応じて提供すること | Eラーニング等の受講を定期的に実施 |
組織 | 運用体制 | セキュリティ事件・事故を発見した場合、マスコミ等への公表の事前に当社へ報告する | |
組織 | 運用体制 | ・個人情報を取り扱う端末からの印刷を禁止しているか ・個人情報を取り扱う端末への外部記憶媒体の接続を禁止しているか | 外部記憶装置の利用を社として禁止している。 また、管理は全てクラウドストレージで行い、特定のユーザのみが閲覧できるようにしている。 |