情報セキュリティ
スフィアネットでは以下の規格の認証を受けております。
ISO/IEC 27001:2022
& JIS Q 27001:2023
登録番号 : IA165202
初回認証日 : 2016年 09月 23日
認証承認日 : 2023年 09月 26日
ISMS(ISO/IEC 27001)は国際的な情報セキュリティマネジメント規格で、組織の目的に応じてリスクマネジメントを行い情報セキュリティを強化するための管理策(対応策)を定めた規格です。
ISO/IEC 27017:2015
& JIS Q 27017:2016
登録番号 : S0932
初回認証日 : 2023年 09月 26日
認証書有効期間 : 2023年 9月26日から2026年 9月25日まで
CLS(ISO/IEC 27017)は、 ISMS(ISO/IEC27001)をベースとした、クラウドサービスの提供、利用における情報セキュリティに関する管理策(対応策)を定めた規格です。
弊社ではAperportおよびExperportのサービス提供にあたり当該規格で要求される管理策(対応策)を実施しております。
ISO/IEC 27701:2019
登録番号 : S0933
初回認証日 : 2023年 09月 26日
認証書有効期間 : 2023年 9月26日から2026年 9月25日まで
PIMS(ISO/IEC 27701)は、 ISMS(ISO/IEC27001)をベースとした、個人情報(PII:Personally Identifiable Information)とそれに関わるプライバシーまでを適切に保護するための管理策(対応策)を定めた規格です。
弊社ではAperportおよびExperportのサービス提供にあたり当該規格で要求される管理策(対応策)を実施しております。
情報セキュリティ及びプライバシー保護方針
当社にとって情報セキュリティ及びその一部であるプライバシー保護は、
・Aperportの開発・運用事業
・Experportの開発・運用事業
・ソフトウェア開発事業
及びこれらに関連する当社のビジネス活動において、ステークホルダーとの関係を構築・維持し、長期的な利益を生み出すための最も重要な活動である。また、当社は、情報セキュリティ事故とプライバシー侵害を未然に防止することを、弊社の社会的な責務として認識している。
【セキュリティ目的及びプライバシー保護目的】
当社は、以下のセキュリティ目的及びプライバシー保護目的を設定し、これらの目的を達成するための諸施策を確実に実施する。
・お客様との契約及び法的または規制要求事項を尊重し遵守する。
・情報セキュリティ事故を未然に防止する。
・情報セキュリティ上の脅威から情報資産とプライバシーを保護する。
【施策】
1. 当社は、情報セキュリティマネジメントシステム(ISMS)を適切に構築・運用し、情報資産の機密性、完全性、可用性の確保に努め、その有効性を継続的に確保する。ISMSはISO27001:2022、ISO27017(CLS)、ISO27701(PIMS)の3つの認証を基盤として構築する。
2. 当社は、ISMSの運営のために情報セキュリティ委員長と情報セキュリティ委員会を設置し、運用するために必要な組織体制を整備する。
3. 当社は、取り扱うすべての重要な情報資産のリスクを受容可能な水準に保つため、リスクアセスメントに関する体系的な手順と評価基準を定め、リスクアセスメントに基づく適切なリスク対策を講じる。
4. 当社は、ISMSの維持向上のため情報資産を扱う全従業員に対して定期的に教育を実施し、効果を測定する。
クラウドサービス情報セキュリティ方針
スフィアネット株式会社は、当社にて確立した「情報セキュリティ方針」を拡充し、クラウドサービス情報セキュリティ方針を制定します。
クラウドサービスプロバイダー(CSP):ISO27017(ISMS-CLS)
スフィアネット株式会社は、Aperport、Experportのサービスの提供に関して、情報セキュリティを維持し、お客様のビジネスへの貢献を継続的に行うため、サービスプロバイダーとしての方針を以下に定めます。
1. クラウドサービスの設計及び実装に適用する情報セキュリティ要求事項
・お客様からの情報セキュリティ要求事項及び当社にて確立した本方針を適用し、クラウドサービスの設計及び実装を行います。
2. クラウドサービス提供に関するリスク
・クラウドサービスの手協に関して、リスクアセスメントにて特定された社内外の脅威によってもたらされるリスクに対し、管理策を実施します。
3. クラウドコンピューティング環境の隔離
・仮想化されたマルチテナント環境を利用して、クラウドコンピューティング環境を論理的に隔離し、セキュリティの確保を行います。
4.当社従業員による、お客様データへのアクセス及び保護
・クラウドサービスを提供するにあたって、または技術的な問題の解決のため、当社が定める約款に従って、お客様のアカウントにアクセスすることがありますが、当社の約款に定める場合を除き、お客様の事前の許可なく、お客様のデータを監視、編集、開示しません。
5. アクセス制御手順
・お客様が利用されるクラウドサービスに対し、適切な認証方法を整備します。
6. お客様への変更通知
・クラウドサービスに関する仕様変更等については、当社ウェブサイト等への掲載等を通じて情報提供します。
7. 仮想化セキュリティ
・ハイパーバイザ(仮想化ソフトウェア)を攻撃から守り、ホスト基盤を仮想化環境において生じる脅威から守り、仮想マシンのライフサイクルを通じて保全します。
8. お客様のアカウント管理
・お客様のアカウント管理は、当社が定める約款に基づき、お客様の責任において作成し、管理していただくこととします。
9. 情報共有指針
・違反の通知、調査及びフォレンジック支援のための情報共有を実施します。通知・連絡の手段は当社の定める約款にて定義します。
クラウドサービスカスタマー(CSC):ISO27017(ISMS-CLS)
スフィアネット株式会社は、弊社のサービス提供および会社としての責務を果たすためのオペレーションにおいて他社クラウドサービスを利用しています。安定した事業の継続とお客様をはじめとする各ステークホルダーからの信頼を維持するために、クラウドサービスの利用を適切に行うための方針を以下に定めます。
1. クラウドサービス利用管理者(責任者・担当者)を設置する
2. 利用管理者の役割を明確に定める
3. クラウドサービスの利用者を明確にし、利用対象外の者はアクセスできないようにする
4. 各利用ユーザが行える操作・処理を決定し、不要な操作を行えないよう権限管理する
5. クラウドサービスを利用するにあたり管理者を定め、常に適切な対処ができる状態にする
6. クラウドサービスプロバイダーの所在地・国と、クラウドサービスのデータが保存されるデータセンターの所在地・国を把握し、情報の保護が適切になされるための管理策を実施する
7. クラウドサービス利用により発生が想定されるリスクやトラブル等が、業務上の許容範囲内となるよう管理策を実施する
8. クラウドサービスを利用する際の実行処理は、マルチテナントの仮想化されたクラウドサービス上で行われることを念頭に、隔離が失敗した場合などを考慮し、情報の保護のために適切な管理策を実施する
9. アプリケーションプログラム等の情報資産は、クラウド環境の中に保持され続ける可能性があることを念頭に、情報の保護のために適切な管理策を実施する
10. クラウド環境の保存された情報は、クラウドサービスプロバイダによるアクセスおよび管理の対象となることを念頭に、情報の保護のために適切な管理策を実施する
制定日 2017年8月22日
更新日 2023年4月3日
スフィアネット株式会社
代表取締役 唐澤 裕智