本文へジャンプします。

TOP

ニフクラSEハンドブック

クラウド トップ>SEハンドブック>セキュリティ関連情報

セキュリティ関連情報

目次

ドキュメント情報

区分

ガイダンス

リリース日

2023年02月27日

留意事項

2023年01月 時点の機能をもとに作成しております。
機能は順次エンハンスされますので、検討時にはニフクラホームページにて最新情報を確認ください。

■ニフクラホームページ

https://pfs.nifcloud.com/

はじめに

  • 本ドキュメントの目的

    • 本ドキュメントでは、ニフクラの利用を検討している方が、ニフクラにおけるセキュリティの考え方を理解することを目的としています。

  • 前提知識

    • 以下の知識を有することが望ましい

      • OSに関する基本的な知識

      • インターネット、イントラネットに関する基本的な知識

      • セキュリティに関する基本的な知識

      • バックアップ、監視、冗長化等システム設計/システム運用に関する基本的な知識

  • ニフクラサービスの変更は最新のドキュメントを参照してください。

アイコンの説明
  • 本ドキュメント構成図に使用されているアイコンは下記の通りとなります。

  • リージョン及びゾーンについて特に記載がなければ、単一リージョン、単一ゾーン構成を示します。

  • 構成図内の名称は略称で記載されている場合があります。(下記()内が略称の例)

image image

情報セキュリティとは

情報セキュリティとは
  • OECDが1992年に発表した「情報セキュリティのためのガイドライン」(※注1~注3)では、情報セキュリティの目的を以下のように定めています。
    「情報システムセキュリティが目的とするのは、可用性、機密性、完全性が不十分であることから生じる危害より、情報システムを信頼している人たちの関心を保護すること」

  • ここでいう、機密性、完全性、可用性は以下のように定義されています。

    • 機密性(Confidentiality):データや情報が、正当なときに、正当な手順によって、正当な権限を持つ人・実体・プロセスだけにのみ公開されること

    • 完全性(Integrity):データや情報が、正確かつ完全である状態が保たれること

    • 可用性(Availability):データや情報、情報システムが必要なときに必要な手順に従ってアクセスできること

  • これらは、英語の頭文字をとってCIAと呼ばれ「情報セキュリティの三要素」といわれています。

  • システムを構成する各要素、およびシステムの運用において「情報セキュリティの三要素」を意識し対策を積み重ねることが、情報システム全体のセキュリティを高めるためには重要です。

    (注1) OECD Guidelines for the Security of Information Systems,1992

    http://www.oecd.org/sti/ieconomy/oecdguidelinesforthesecurityofinformationsystems1992.htm

    (注2) OECD情報セキュリティガイドライン見直しに関する調査:注1ドキュメントの日本語サマリ

    https://www.ipa.go.jp/security/fy14/reports/oecd/oecd-security.pdf

    (注3) Digital Security Risk Management,2015 : OECDのセキュリティガイドラインの最新(2015年)版

    http://www.oecd.org/sti/ieconomy/digital-security-risk-management.htm

クラウド固有の情報セキュリティの考え方

一般的にクラウドを利用してシステムを運用する場合、クラウド固有の情報セキュリティの考え方を理解しておく必要があります。

クラウド(IaaS)では、システム管理者が管理可能なシステム構成要素は、オンプレミス上(利用者自身の環境など)でシステムを運用する場合と大きく異なります。

システムの構成要素(比較観点)

オンプレミス上のシステム

クラウド上のシステム

物理的な機器の設置施設

情報システム部門などのシステム管理者が管理

クラウドサービス事業者が管理
(利用者は関与できない)

物理的な機器の維持管理
(物理サーバー、ネットワーク機器等)

情報システム部門などのシステム管理者が管理

クラウドサービス事業者が管理
(利用者は関与できない)

仮想化基盤の管理

情報システム部門などのシステム管理者が管理

クラウドサービス事業者が管理
(利用者は関与できない)

OSや、ミドルウェア、業務アプリケーション等の仮想サーバー環境の維持管理

情報システム部門などのシステム管理者が管理

クラウドサービス利用者が管理
(クラウドの提供機能やOS標準機能、サードパーティ製のソフトウェアを利用して管理)

ファイアウォールなどのネットワーク利用環境の設定

情報システム部門などのシステム管理者が管理

クラウドサービス利用者が管理
(クラウドの提供機能やOS標準機能、サードパーティ製のソフトウェアを利用して管理)

セキュリティ管理の観点でメリット・デメリット

情報システムのセキュリティ管理の観点でメリット・デメリットをまとめると以下のようになります。

オンプレミス上のシステム

クラウド上のシステム

メリット

情報システムを構成するすべてのシステム構成要素をシステム管理者自身で管理可能なため、システムに必要となるセキュリティレベルを自ら定めて、適切に対処できる。

システム管理者(クラウドサービス利用者)は、物理機器を管理するための設備や、物理機器・仮想化基盤に関する運用(ハード故障への対応やファームウェア・セキュリティパッチの適用等)から解放される。なお、仮想サーバー環境の管理や、ネットワーク利用環境の設定は、従来どおりシステム管理者が運用管理する必要がある。

デメリット

情報システムを構成するすべてのシステム構成要素の運用を自分たちで行う必要がある。

システム管理者(クラウドサービス利用者)は、クラウドサービス提供者が管理する設備や、物理機器・仮想化基盤について、きちんとセキュリティを保った運用管理を行っていると信頼して、サービスを利用することとなる。

つまり、一般的に、クラウドサービスを利用する場合、クラウドサービスの提供者とクラウドサービスの利用者がお互いの責任分解点を理解したうえで、相互に協力してシステム全体のセキュリティを確保する必要があります。クラウドサービスを利用する場合は、このような考え方を理解しておくことが非常に重要になります。

IaaSサービスの責任分解点

IaaSサービスを利用する場合の責任分解点は以下のとおりです。

  • 物理機器を配置するファシリティ(データセンター)、物理機器、仮想化基盤については、富士通クラウドテクノロジーズの責任範囲となります。

  • サービス利用者の管理、および、サービスにより提供されたシステムの各構成要素(OS、ミドルウェア、仮想ストレージ、ファイアウォール等)の設定・運用管理や業務アプリケーションの管理、監視については、利用者の責任範囲となります。

image

クラウド基盤に対するセキュリティ確保の取組み

「情報セキュリティの三要素」概要
  • クラウド基盤をセキュアな状態で利用者へ提供するため、データセンターやクラウド基盤の構成要素(ネットワーク、物理ストレージ、物理サーバー)で、どのような技術的あるいは運用上の対策を施しているのかを以下の「情報セキュリティの三要素」の観点に添う形で記述します。

    • 機密性(第三者による不正アクセス対策)

    • 完全性(データの改ざん防止、証跡の管理)

    • 可用性(単一障害点の回避)

  • 記述に関する注意事項

    • 物理機器(ネットワーク、物理ストレージ、物理サーバー)、仮想化基盤の記述に関しては、ニフクラが提供するサーバー(Type-h2/e/c)、増設ディスクで利用するリソースとしてのネットワーク、ストレージ、サーバーを対象としています。

データセンターとしての対策

情報セキュリティ要素

項目

内容

機密性

サーバールームの監視

  • 空調は、温度、湿度を自動制御の上、24時間365日監視を実施しています。

  • 電源・空調・防災・防犯等設備類は24時間365日集中監視を行っています。

人的災害の抑止

  • 柵、フェンス、監視カメラ等による侵入防止対策をしています。

  • サーバールームは独立した無窓の部屋であり、外部からの容易な侵入を防止します。

  • 回線設備は専用の設備にあり、専用の錠によって施錠されています。

入退出管理

  • 入退館、指定エリアへの入退室が可能な従業者を限定しています。

  • 厳格な本人認証のうえ、持込み品の制限、記録の取得等の入退室管理を行っています。

完全性

不正防止、機密保護対策

  • 機器の移動、廃棄の場合には、円滑、確実かつ安全に実施するため、不正防止、機密保護対策を含めた計画、手順を策定しています。

可用性

災害対策

  • 火災、落雷、津波、地震、その他災害の影響を極力避けた立地を選定しています。

  • データセンターの専用の建物(災害及び障害に対して、被害最小化のための対策)としています。

  • 建築基準法に準拠した建物であり、耐震性、耐火性を備えています。

  • 障害や事故、災害時に備えて責任者や役割、対応手順等をまとめたマニュアル類を策定しています。

  • 障害、事故、災害の事象や原因を記録し、根本原因を分析した結果を再発防止策に活用しています。定期的に事業継続訓練や防災訓練を実施しています。

サーバールームの電源

  • 電源は2回線以上から引き込み、停電時でも継続して稼働できるよう、自家発電設備及びUPSを冗長構成で備えています。

  • 機器への引き込みは専用分電盤から供給し、その他のデータセンターの設備系からは独立しています。

サーバー/ネットワーク機器に対する対策

情報セキュリティ要素

項目

内容

機密性

アクセス制御

  • 目的ごとにネットワーク領域を分離し、運用しています。

  • サービス管理用ネットワークは、利用者がサービス利用するネットワークとは分離しています。

  • 必要な通信のみを許可し、ウイルス対策ソフトや不正アクセス検知装置、迷惑メールフィルタ等の技術的な対策を実装しています。

  • ニフクラ基盤の運用管理時には、専用線接続もしくはVPN接続による機密性を保持した通信をしています。

物理的なアクセス制限

  • 物理ストレージ上にあるディスクドライブの盗難防止のため、物理ストレージを搭載したラックは専用の錠によって施錠されています。

第三者による監査

  • サービス提供時には、セキュリティ専門部署による監査を受け、サービスが脆弱性を内包していないことを第三者の視点で確認しています。

完全性

不正プログラムによる被害防止

  • コンピューターウイルス等の不正プログラムによる被害を防ぐため、開発及び、運用で使用する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。インシデントが発生した場合は、定められた手順に従い、報告、調査、駆除、再発防止を実施しています。

可用性

機器の冗長化

  • クラウド基盤内の物理的なサーバー/ネットワーク機器は、冗長構成をとっています。

  • 物理ストレージのディスクドライブは、RAID6相当の構成で冗長化されています。

仮想基盤に対する対策

情報セキュリティ要素

項目

内容

機密性

アクセス制御

  • ニフクラ基盤の運用管理時には、専用線接続もしくはVPN接続による機密性を保持した通信をしています。

  • 本社内で使用しているLAN及び本社とDCと結ぶ回線は暗号化することで盗聴による漏洩防止策が実装されています。

  • 仮想基盤にはマイクロセグメンテーションを実装しており、利用者が利用するサーバー環境、ネットワーク環境は、論理的に区分されています。

物理的なアクセス制限

  • 物理ストレージ上にあるディスクドライブの盗難防止のため、物理ストレージを搭載したラックは専用の錠によって施錠されています。

完全性

仮想化基盤に脆弱性が発見された場合の対応

  • 仮想化基盤に関する脆弱性情報をセキュリティ専門部署にて常時確認しています。

  • 脆弱性が見つかった場合はニフクラが提供する機能・サービスへの影響を確認した後、速やかに修正対応の判断、および修正適用する場合は、その対応が行われます。

可用性

機器の冗長化

  • 障害や事故、災害時に備えて、迅速に事業継続ができるよう必要な予備、冗長化構成を整備しています。

  • 物理ストレージのディスクドライブは、RAID6相当の構成で冗長化されています。

自動フェイルオーバー機能(HA機能)

  • 物理サーバーで故障が発生した場合、当該物理サーバーにて稼働していたサーバーは、自動で別の物理サーバー上に移動します。その際にサーバーが再起動しますが、データや現在設定されているIPアドレス、付替IPアドレス等は引き継がれるため、停止時間を最小限に抑えます。

【参考情報】仮想基盤に対する対策例

機密性-仮想化リソースの区画化について

  • 共用ネットワークではファイアウォールによるマイクロセグメンテーションを実装し、論理的に区分しています。

  • プライベートLAN機能では、共用ネットワークからL2レベルで隔離されたプライベートネットワークセグメントを利用することが可能となります。

image

構成図補足

同一L2ネットワーク上でも論理分割可能なアーキテクチャ「マイクロセグメンテーション」をサービスとして提供

プライベートLAN(L2)も提供

ニフクラをセキュアに利用するために提供する機能

ニフクラが提供するセキュリティ機能概要

ニフクラの利用者は、OS、ミドルウェア、業務アプリケーションといった仮想サーバー環境や、仮想ストレージ、仮想ネットワークの利用に関するセキュリティについては、利用者自身でセキュリティを確保する必要があります。これには、ニフクラが提供する機能やOSの機能、あるいは、サードパーティのソフトウェアなどを用います。

  • システム全体のセキュリティを高めるためには、ニフクラが提供している機能だけではなく、様々な機能を併用する必要がある点にご留意ください。従来、オンプレミス上(利用者自身の環境など)のシステムで行っていた対策と同等の検討が必要です。

  • 本章では、ニフクラをセキュアにご利用頂くために、ニフクラが提供している機能を紹介します。なお、個々の機能詳細につきましては、各種マニュアルを参照してください。

image

利用環境管理

ニフクラの機能(コントロールパネル、API)に対するセキュリティ関連機能・サービス

機能名

詳細

セキュリティ面での期待効果

選択値・条件

IP許可制限(コントロールパネル)

コントロールパネルやAPIへのアクセスについて、特定のホストやIPアドレスからのアクセスのみを許可する機能です。許可したIPアドレス以外からのアクセスを制限します。

正当にアクセスする権利を持たない第三者からのアクセスを制限します。

OTP認証(コントロールパネル)

OTP認証とは、コントロールパネルへログインする際に、専用のアプリケーション[1]に表示されるワンタイムコードをパスワードとして用いる認証方式のことです。OTP認証を利用することで、セキュリティの強化を実現できます。
OTP認証は無料で利用できます。


1. FreeOTPまたはGoogle Authenticator(Google認証システム)

なりすましアカウントによりリソースの停止や削除、高額なサーバーを作成されてしまうなどの被害防止につながります。

マルチアカウント(コントロールパネル)

操作範囲に制限を持たせたアカウントを作成できる機能です。

操作範囲に制限を持たせたアカウントを作成することで、意図しない操作による被害防止につながります。

アクティビティログ(コントロールパネル)

コントロールパネルの操作ログを確認できます。[2]


2. コンピューティング以外の操作ログは確認できないものもあるため、サービスごとにイベントログ取得機能を確認してください。

取得したログから、意図しない操作が行われていないかを確認します。

  • 過去6ヶ月分まで確認可能

  • 毎月のログファイルを全件、CSV形式でダウンロード可能

ワンタイムパスワード(ニフクラID)

ワンタイムパスワード認証を設定することで、不正利用を防止できます。ワンタイムパスワードはメールから受け取ることができます。また、ワンタイムパスワードには有効期限があり、使い捨てのパスワードになるため、盗まれるリスクが低く安全です。

二段階認証を適用することで、盗聴や不正アクセスによる被害を防ぎます。

ログインアラート(ニフクラID)

ログインするたびにログインしたことをアラート(メール通知)する仕組みです。

不正ログインがあると、すぐに気づくことができるため、被害の拡大を防ぎます。

仮想マシン環境

仮想マシンに対するセキュリティ関連機能

サービス/機能名

概要

セキュリティ面での期待効果

キーペア管理機能を用いた仮想サーバーへのSSHログイン

仮想サーバー作成時にSSH通信をするためのキーペアを登録、管理する機能を提供します。

仮想サーバー接続時にキーペアの鍵ファイルを用いることで、SSHによるサーバーログイン、またはログイン情報の取得が可能です。IDやパスワードを利用せずに済むため、ブルートフォース攻撃(総当り攻撃)などによるサーバーへのクラッキングのリスクを低減できます。

仮想マシンに対するアップデートサーバーの提供

  • yum(RHEL)の適用環境は、ニフクラ専用リポジトリがあります。

  • その他パッチ適用環境(WSUSなど)は、ニフクラでは提供していません。利用者にて、適用方法を検討する必要があります。

常に最新のパッケージを適用することで、セキュリティを保ちます。

IDS

主に、以下の機能を提供します。

  • NWのリアルタイム監視とセキュリティ専門技術者による不正アクセスの解析

  • 各種報告書による不正侵入情報の報告と対応策提案

  • 利用者専用の検知基準による不正アクセス検知

ニフクラ上のサーバーへの様々な不正アクセスや、サーバーに仕掛けられた悪意のあるプログラム(トロイの木馬、バックドア等)の発する情報を常時監視し、ファイアウォールで防ぐことのできない攻撃も検知します。

仮想マシン環境 (ソリューションサービス)

仮想マシンに対するセキュリティ関連機能

サービス/機能名

概要

セキュリティ面での期待効果

Trend Micro Cloud One - Workload Security

仮想サーバーに対して、以下の機能を提供します。

  • ウイルス対策機能

  • サーバーに対するFirewall機能

  • ログ監視機能

  • サーバーに対するIDS/IPS機能

  • Webレピュテーション機能

  • 仮想サーバーに対する変更管理機能

左記の機能により、仮想サーバーに対する外部からのアタックを検知、防御することで仮想サーバーからの情報流出や、サーバーダウンのリスクを低減させることができます。

ウイルス・スパイウェア対策(ESET Server Security) [3]


3. ソリューションサービス

仮想サーバーに対して、以下の機能を提供します。

  • ウイルス・スパイウェア対策

  • サーバー保護機能

  • Webインターフェース

  • コマンドラインインターフェース

新種のマルウェアでも検出できる「ヒューリスティック技術」により、さまざまなアプローチによる多重防御機能を実装することで、標的型攻撃やアプリケーションの脆弱性を突いた攻撃、有害サイトへのアクセスによる被害等、さまざまなマルウェアの脅威から保護します。

Web改ざん検知(GREDセキュリティサービス)[4]


4. ソリューションサービス

主に、以下の機能が提供します。

  • サイトを定期チェック

  • 改ざん検知でアラートメールを送信

  • 改ざんページを安全なページに自動切り替え

サイトの改ざんの有無を定期的にチェックすることで、サイトの安全性を確保します。改ざんをいち早く見つけることで、システム保護と再発防止に貢献します。

脆弱性診断サービス Powered by GMOイエラエ [5]


5. ソリューションサービス

GMOサイバーセキュリティ byイエラエ株式会社のセキュリティエンジニアが、アプリケーションやシステムに対し、以下の脆弱性診断を実施するサービスです。

  • Webアプリケーション診断

  • スマホアプリ診断

  • ネットワーク診断

  • Webアプリケーション診断

    • SQLインジェクションやOSコマンドインジェクションなどの基本的な診断項目に加え、Webサービスの特性や使用されているアーキテクチャに合わせた脆弱性を診断します。

    • 攻撃者と同じ視点を持ったセキュリティエンジニアが疑似攻撃をすることによって、Webアプリに潜む脆弱性の有無を診断できます。

  • スマホアプリ診断

    • iOSやAndroidアプリ等のスマホアプリにセキュリティ上の問題点がないか、JSSECのセキュアコーディングガイドやOWASPMobileTop10に基づきセキュリティ診断サービスを実施します。 リバースエンジニアリングによるアプリの挙動解析も可能です。

  • ネットワーク診断

    • 診断対象ネットワークに存在するサーバーやネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないかを診断します。攻撃者の視点で実際に通信をするブラックボックステスト方式の脆弱性診断サービスです。過負荷や診断による障害発生を避けることについても最大限配慮して診断作業を実施します。

WAF(攻撃遮断くん) [6]


6. ソリューションサービス

WEBサイト/WEBサーバーへのサイバー攻撃を可視化・遮断するセキュリティサービスです。以下の遮断・制限機能を提供します。

  • サーバーセキュリティタイプ遮断

  • WEBセキュリティタイプ遮断

  • DDoSセキュリティタイプ遮断

  • IPによるアクセス元制限

  • サーバーセキュリティタイプ遮断

    • サーバーセキュリティタイプは、外部公開サーバーへのあらゆる攻撃を遮断します。

  • WEBセキュリティタイプ遮断

    • WEBセキュリティタイプは、WEBサイトへのあらゆる攻撃を遮断します。

  • DDoSセキュリティタイプ遮断

    • DDoSセキュリティタイプは、WEBセキュリティタイプ(Saas型WAF)に加えて、さまざまなロジックで解析するアンチDDoSシステムを備えております。DDoS攻撃を遮断します。

  • IPによるアクセス元制限

    Geo IP制限

    特定国からのアクセス拒否、日本国内のみ許可するといったリージョン別のIP制限ができます。[7]

    IPアドレス制限

    特定のIPアドレスのアクセス拒否、アクセス許可のIP制限ができます。[8]


7. CDN利用が有効のWAFセンター基盤では使用できません(CDNを利用中のFQDNが含まれる場合は使用できません)。
8. CDN利用が有効のFQDNでは使用できません。
ソリューションサービスのセキュリティ関連機能

ソリューションサービスに対するセキュリティ関連機能

サービス/機能名

概要

セキュリティ面での期待効果

バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)

アクロニス・ジャパン株式会社が提供するバックアップのソリューションサービスです。セキュリティ機能として ログインオプション を提供しています。

  • 二要素認証

  • IPアドレス制限

  • 二要素認証

    • 通常のパスワード認証に加えて、ワンタイムパスワードによる認証を設定することで、セキュリティを強化できます。ID/パスワードでログイン後、認証システムアプリに表示される6桁のコードを入力することで、管理画面にログインできます。

  • IPアドレス制限

    • 管理画面に、ログイン可能なIPアドレスを指定できます。 [9]


9. 申請フォームで誤ったIPアドレスを入力した場合、ログインできなくなります。また、指定のとおりに通信が許可されるのでIPアドレスを記入する際は注意してください。 誤入力に対し当社は一切責任を負いません。誤入力による変更申請においても、5営業日程度かかります。
仮想ストレージサービスのセキュリティ関連機能

オブジェクトストレージサービス

サービス/機能名

概要

セキュリティ面での期待効果

バケットポリシーの設定

権限付与、取得
下記のような設定が可能 [10]

  • オーナーのみ読み書き可能

  • インターネットから読み込みのみ可能

  • 認証キーを利用したアクセスに対してのみ読み込み可能


10. デフォルトでは、すべてのバケットとオブジェクトは作成したユーザーのみがアクセスできるようになっています。ほかのユーザーと共有したり、匿名ユーザーに公開するときは、 バケットポリシーを設定してください。

正当なアクセス権限を持たない第三者からのオブジェクトストレージへのデータアクセスを防止することが可能です。

ニフクラNAS

サービス/機能名

概要

セキュリティ面での期待効果

NASファイアウォール

NASファイアウォールグループでニフクラのファイアウォールグループからのアクセスや、IP帯からのアクセスの制御が可能です。

正当なアクセス権限を持たない第三者によるデータアクセスの防止が可能です。ActiveDirectoryとの連携[11] も可能です(NASの認証設定変更)。


11. 現在提供中のActiveDirectory連携は、2023年03月29日に新規申込受け付けを終了します。詳しくはサービスアクティビティのお知らせ(inf-000811 2023/01/13)を確認してください。
仮想ストレージサービス利用時の留意事項

仕様

詳細

ストレージ内のデータ暗号化
(データ単位での暗号化機能なし)

仮想ストレージに保存したデータを個々に暗号化する必要がある場合には、利用者がデータ暗号化の方式を検討する必要があります。

契約解除時のデータ消去証明書
(発行不可)

データ消去証明書の発行は行っていません。

仮想ネットワークに対するセキュリティ関連機能

サービス/機能名

概要

セキュリティ面での期待効果

ファイアウォール

仮想インスタンスに対して、パケットフィルタを行う機能を提供します。

不正な通信を遮断することで、システムに対する第三者からの不正アクセスを防止できます。

拠点間VPNゲートウェイ

オンプレミス環境との接続、またはリージョン間同士のシステム接続のために、IPsec 拠点間VPNゲートウェイ機能を提供します。

通信経路上での盗聴などの攻撃リスクを低減できます。

インターネットVPN(H/W)

機器設置型(ハードウェアタイプ)のVPNサービスです。動作実績のあるハードウェアによって安定した稼働を実現できるため、基幹システムや社内業務システム等に適しています。

通信経路上での盗聴などの攻撃リスクを低減できます。

リモートアクセスVPNゲートウェイ

利用者端末との接続のために、リモートアクセスVPNゲートウェイ機能を提供します。

通信経路上での盗聴などの攻撃リスクを低減できます。

ダイレクトポート
(専用線・閉域網接続サービス)

従来インターネットを通してニフクラに転送していたデータを、専用線・閉域網から可能にするためのサービスです。ニフクラへダイレクトに接続するためのポートを提供します。

社内環境とクラウドをセキュアなネットワークで接続することで、既存システムを維持したまま、イントラネットの延長として必要な分だけクラウドを利用することが可能です。ニフクラのリージョン同士の接続も可能です。

プライベートアクセス
(閉域網 集線型接続サービス)

ニフクラから回線事業者の閉域網へのプライベートな接続を提供するサービスです。ニフクラと回線事業者の閉域網の物理接続を事前に行っているため、論理接続を構築するだけで接続が可能です。

閉域網と直結しているので、インターネットを経由せずに拠点とのセキュアな通信が実現できます。

プライベートブリッジ

プライベートLAN同士をL2接続する機能を提供します。プライベートLAN上に作成されたコネクター同士を仮想経路(プライベートブリッジ)でつなぎます。

インターネットを経由せずにニフクラのリージョン同士、ゾーン同士のセキュアな通信が実現できます。

仮想ネットワーク利用時の留意事項

仕様

詳細

選択値・条件

ファイアウォールのログ

コントロールパネルで確認できるファイアウォールのログ情報は、ファイアウォールに設定したルールにより拒否されたIncoming/Outgoingの通信ログとなります。

  • 直近1,000件または14日間まで保存可能(14日間経過すると、1日分ごとにログを削除します。)。

  • 有料オプションで、ログ取得数を1,000件→100,000件に変更可能。

外部ネットワーク(インターネット)環境との接続

ニフクラのサーバーは、新規作成時にグローバルネットワークを適用するかどうかを選択できます。
グローバルネットワークを利用する場合は、必ずファイアウォールを設定するようにしてください。

セキュリティ推進体制と取組み

情報セキュリティへの組織的取組み
  • ニフクラでは、情報セキュリティ基本方針および規程/実施基準を基に、組織的に適切なセキュリティ教育を受けた運用者が、運用手順書に従い継続的に運用しています。

  • 技術的対策だけでなくサービス運用についても運用端末、アクセス権を限定し、運用者がアクセスする際のログを管理するなど、予防対策を講じることで問題が発生しないよう努めています。

  • また万が一セキュリティ上の問題が発生した場合は、事象の識別、原因の究明を実施し、被害を最小限かつ局所化するため組織的対応を迅速に実施します。

image

セキュリティ専門チームの設置
  • ニフクラにおけるセキュリティの脅威 (サイバーテロ、不正利用、情報漏洩等)に対して、予防および検知に努め、セキュリティ専門チームを設置することにより、トラステッド(高信頼) な対応をします。

  • 外部からの様々な攻撃を水際で検知するモニタリングを実施し、ニフクラをセキュリティの脅威より守ります。

  • 万が一セキュリティ事故の発生を検知した際には、収束に向け迅速に対応を実施します。

  • また、社内に情報セキュリティ委員会を設け、情報セキュリティガバナンスを実践しています。

image

社外セキュリティ組織との連携
  • 社外のセキュリティ組織と連携することで、高度化、複雑化するセキュリティ攻撃に対してグローバルな観点で適切に対処します。

    • JPCERT/CC(JPCERTコーディネーションセンター)

      • インターネットを介して発生するコンピューターセキュリティに関連する事象の情報を収集し、インシデント対応の支援、コンピューターセキュリティ関連情報の発信などを行なう組織。日本の代表的なCSIRT。

    • JASA(日本セキュリティ監査協会)

      • セキュリティ監査技術の向上、監査主体の質の向上(監査人スキルアップ、行動規範の確立、監査人資格のあり方の検討)の他、各種団体との連携、監査制度の国際標準の調査研究や改善提言、並びに監査などについての相談窓口の開設など、幅広い活動をし「公正かつ公平な情報セキュリティ監査」の普及・浸透をさせる組織。

    • 富士通サイバーディフェンスセンター

      • 富士通グループにおける、ICTに対する高度化、複雑化したサイバー攻撃に対し適切に対処し、情報共有する組織。

脆弱性診断・モニタリングと検知
  • 脆弱性診断やモニタリング等の情報セキュリティ対策を実施し、運用しています。

    • 脆弱性診断

      • 品質・セキュリティ管理部より定期的に脆弱性診断を実施し、問題があった場合は関連部署と検討・協議し、対応を実施します。

    • モニタリングと検知

      • 不正アクセスとマルウェアのモニタリングを実施しています。何か問題があれば関連部署と情報共有し、連携を行い迅速に対応を検討・実施します。また、ログ/イベントの相関分析とレポーティングを行います。

image

脆弱性情報の収集・分析・管理のプロセスを確立
  • 脆弱性情報を収集し、セキュリティ専門チームによる分析を実施、インパクト(影響度)に応じたトリアージ(影響度と緊急度からの優先度付け)を実施し、変更管理・パッチ管理に反映するプロセスを確立しています。

  • 脆弱性対策を実施することにより、利用者にトラステッド(高信頼)なパブリッククラウドサービスを提供しています。

image

迅速・確実なインシデントマネジメントの実施
  • ニフクラでは、セキュリティインシデント発生時の対応プロセスを定めており、万が一にセキュリティインシデントが発生した際には、事象の識別・解決・被害局所化を迅速かつ確実に実施します。

  • 利用者システム固有の問題を除いたセキュリティインシデントの発生を検知した場合、セキュリティ専門チームにエスカレーションされ、インシデントレベルのトリアージ(影響度と緊急度からの優先度付け)を実施、事象の確認、インパクト(影響度)を判断したうえで対応します。

  • また、万が一セキュリティインシデントが発生した場合に備え、迅速に行動ができるよう定期的にトレーニングを実施し、関連部署との連携確認、証拠保存等のオペレーション訓練を行っています。

image

情報の集中管理
  • ニフクラ基盤の「構成情報」「性能情報」「ログ」「イベント」を統合管理することにより、課題を可視化し、課題への対処を迅速に対応できる体制を整えています。

  • ニフクラ基盤に関わる各機器(物理サーバー、ネットワーク、ストレージ等)のリソース状況、ネットワーク利用状況、APIの受け付け状況等を常に監視しサービスを維持するためのキャパシティ管理、ネットワーク管理をしています。ニフクラ基盤に対する監視を実施しており、利用者個別のリソースの監視は実施していません。

image

各リージョンに関する情報

ニフクラの認証・規格への対応状況(日本)

項番

認証・規格

概要

認定機関

取得状況

1

ISO/IEC 27001:2013

組織が保有する情報にかかわるさまざまなリスクを適切に管理し、組織の価値向上をもたらすISMSの国際規格。

国際標準化機構(ISO)/国際電気標準会議(IEC)

IaaS,PaaS分野において取得済み

2

ISO/IEC 27017:2015

クラウドサービスに関する情報セキュリティ管理策の国際規格。

国際標準化機構(ISO)/国際電気標準会議(IEC)

取得済み

ニフクラのセキュリティ評価制度、基準への対応状況(日本)
  • 政府情報システムのためのセキュリティ評価制度(ISMAP)

    • ニフクラは、日本政府が求めるセキュリティ要求を満たしたクラウドサービスをISMAP運営委員会があらかじめ評価・登録する制度である「政府情報システムのためのセキュリティ評価制度(通称:ISMAP[イスマップ])」のクラウドサービスリストに登録されています。

    • ISMAPに登録されたクラウドサービスを提供する事業者は、管理基準に基づいた情報セキュリティ対策の実施状況について、監査基準などに基づき監査機関による監査を受け、さらにISMAP運営委員会による適合状況の審査に合格することが求められています。ニフクラの登録状況の詳細につきましては、以下のページを確認してください。

  • FISC安全対策基準への対応状況

    • 公益財団法人「金融情報システムセンター(FISC)」は、日本国内の金融システムの安全性向上を目的に1984年設立された非営利組織です。

    • FISCでまとめられた「金融機関等コンピューターシステムの安全対策基準・解説書(通称:FISC安全対策基準)」は、金融システムの導入・運用における事実上の業界標準ガイドラインとして位置付けられています。

    • 例えば、金融庁による監査は「FISC安全対策基準」へ沿った内容で行われます。

    • ニフクラでは、「FISC安全対策基準」へ対して、クラウドサービス事業者としてニフクラが実施済みの対応や利用者自身で必要な対応をまとめたチェックリストを提供しています。詳細は以下を確認してください。

ニフクラの認証・規格への対応状況(海外)
  • 各リージョンの法制度

    • 利用者が、ニフクラ上に保管したデータについても同様に各リージョンが置かれた各国の法令などの遵守が求められ、利用者自身での管理が必要となります。

    • ニフクラは、利用者のデータは等しく扱い、内容については関知しておりません。

    • 法令、裁判所の命令その他法的手段により、第三者へのデータ開示を強制された場合に、法的に開示可能な範囲で、ニフクラにおいて定められたプロセスに従い判断します。

  • EU一般データ保護規則(GDPR)への対応

    • EU一般データ保護規則(以下「GDPR」といいます)とはEUの個人情報保護に関する法律です。利用者がGDPRにおける管理者または処理者としてEU個人データを取り扱うとき、ニフクラは、処理者としてGDPRに準拠したサービスを提供します。

    • ソリューションパートナーのGDPRへの対応方針につきましては、各ソリューションパートナーのWebサイトを確認してください。

導入のご相談はお電話でも受け付けております。

0120-22-1200

0120-22-1200

受付時間:9:00~17:45(土日祝・当社指定の休業日を除く)
※携帯電話・PHSからもご利用可能