セキュリティチェックシート
お客様のセキュリティポリシーとクラウドサービスのセキュリティ対策との適合性を確認するチェックリスト作成時などで参考にしていただくことを⽬的として、ニフクラをご検討中のお客様から多くいただいたセキュリティ対策についての問い合わせをチェックシート形式でまとめました。
※ 本ドキュメントは、2022年9⽉時点の機能をもとに作成しています。ニフクラは継続的にエンハンスが⾏われるクラウドサービスであり、本ドキュメントの記載内容についても今後変更が発⽣する可能性があります。
クラウド事業者の責任範囲
1.クラウドサービス管理
| No | 項目 | 評価内容 | 回答内容 |
|---|---|---|---|
| 1-1 | ニフクラにおけるセキュリティの基本的な考え⽅ | セキュリティインシデント発生時の責任範囲が定められていますか。 | ニフクラは、仮想化されたコンピューティングリソース及び、コンポーネントをサービスとして「コントロールパネル及びAPI」(以下、「インターフェース」と表記)を通じて提供し、「ニフクラをサービスとして構成するための物理的設備からインターフェースまでのコンポーネント及び関連するサービス運⽤プロセス」の提供について責任を有しています。 |
| 1-2 | サービス運用体制 | ニフクラでは、利用者のデータにアクセスできる従業者が限定されていますか。 | ニフクラでは、ニフクラサービスを始めとした情報システムを利用する従業者を限定し、権限の設定を行っています。アカウント管理(発行、削除、棚卸し等)、パスワード管理、及び、これに関連するルールの策定を実施しています。さらに、情報システムにアクセスした各種ログを一定期間保存し、不正防止やインシデント発生を防止するなど、社内ルールに基づいた情報システムの操作、運用管理等をまとめた文書類の策定、保管、見直しを行っています。 |
| 1-3 | 富士通社内で扱う電子データの原本性が確保されていますか。 | 富士通では、ファイルのコピーや盗難等を防ぐために、保存先のアクセス制限やパスワードによる認証を実装しています。認可されていないデータのコピーや盗難等を防ぐために、情報資産を重要度に応じて分類し、ストレージや通信の暗号化も含めて適切に管理しています。 | |
| 1-4 | 富士通社内で使用する紙、磁気テープ、光メディア等の媒体の保管管理を適切に⾏っていますか。 | 社内ルールに基づいた情報システムの操作、運⽤管理等をまとめた⽂書類の策定、保管、⾒直しを⾏っています。また、マニュアル類のバックアップを取得しています。 | |
| 1-5 | ニフクラを利用しているユーザーのシステムにおいて、セキュリティインシデントが発生した場合、ニフクラ基盤側で出力される各種ログをユーザーに提供することはできますか。 | ログの提供は行っていません。 | |
| 1-6 | ニフクラ基盤では、不正侵入検知システムは常に最新の攻撃等に対応可能なように定義ファイルを更新していますか。 | 適切に実施しています。 | |
| 1-7 | ニフクラ基盤に対する脆弱性評価結果等のセキュリティ対策確認の結果を公開していますか。 | セキュリティ対策確認の結果を公開はしていませんが、ニフクラはコンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運用で使用する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。また、システム開発に際しては、仕様書に基づいた開発とテストを行い、標準化や自動化にも取り組んでいます。テスト工程では検証環境と稼働環境との整合性やウイルスチェック、脆弱性チェックなどの結果を検証し、問題がないことを確認しています。 | |
| 1-8 | 以下のような場合のデータ消去対応について教えてください。
|
ユーザー側でサーバ上のデータを削除します。サーバーを削除した場合は、ニフクラ側でデータの削除が実施されます。ニフクラを解約した場合は、サーバー(およびそのデータ)も削除されます。詳しくは下記をご参照ください。
FAQ:ニフクラIDを解約したら、作成しているサーバーはどうなりますか? ・※「5.5.4. 利用契約終了後の措置」を参照。 |
|
| 1-9 | ニフクラコントロールパネルへのアクセスを送信元IPアドレスで制限はできますか。 | ニフクラコントロールパネルについては、通信元のIPアドレスを制御可能です。 | |
| 1-10 | ニフクラ基盤のシステム管理者は、どのような認証方式を採用していますか。 | 詳細は非公開となります。 | |
| 1-11 | 富士通ではWinny等ファイル共有ソフトの使用を禁止していますか。また、技術的な対策(専用対策ソフト等)を行っていますか。 | 富士通グループの規定に則り実施しています。 | |
| 1-12 | 富士通では業務上不要なソフトウェアのインストールを禁止していますか。また、技術的な制限(Administrator権限の管理、資産管理ソフトの導入等)を行っていますか。 | 富士通グループの規定に則り実施しています。 | |
| 1-13 | 富士通では情報セキュリティ管理の重要性について意識向上を図るための定期的な教育や訓練を実施していますか。 | 富士通社内で定期的に情報セキュリティに係る教育を受講しています。 | |
| 1-14 | 富士通ではインシデント対応管理体制の一環として、正式なフォレンジック手続を備えていますか。備えている場合、証拠の収集および保護が適切に実施されていますか。 | ニフクラでは、サービス提供に携わる要員に対して、スキルの把握を実施し、能力と責任に応じた育成を実施しています。情報システムにアクセスした各種ログを一定期間保存し、不正防止やインシデント発生を防止しています。 | |
| 1-15 | 富士通では機密情報が漏洩した場合の方針、ルール、社内体制および社外への報告体制を整備していますか。 | ニフクラでは、サービス提供に携わる要員に対して、スキルの把握を実施し、能力と責任に応じた育成を実施しています。その中には、順守すべきセキュリティルールや最新のセキュリティ動向/対策等を反映した教育等も含まれます。 | |
| 1-16 | ニフクラ基盤のバックアップデータはどのように保管していますか。 | 取得方法、保管場所は非公開となります。 | |
| 1-17 | 富士通は、ニフクラを管理運用するすべての要員(例:業者、再委託先等)管理の責任を負っていますか。 | 富士通は、要員管理の責任を負っております。 | |
| 1-18 | 富士通が所有する機密情報はサーバー内に暗号化して保存していますか。 | 富士通では、ファイルのコピーや盗難等を防ぐために、保存先のアクセス制限やパスワードによる認証を実装しています。認可されていないデータのコピーや盗難等を防ぐために、情報資産を重要度に応じて分類し、ストレージや通信の暗号化も含めて適切に管理しています。 | |
| 1-19 | 富士通では機密情報を入力する場合、通信路の暗号化を行っているか。また、サーバーの実在確認が実施していますか。 | 富士通では、ファイルのコピーや盗難等を防ぐために、保存先のアクセス制限やパスワードによる認証を実装しています。認可されていないデータのコピーや盗難等を防ぐために、情報資産を重要度に応じて分類し、ストレージや通信の暗号化も含めて適切に管理しています。 | |
| 1-20 | 富士通の社内情報システムへのアクセス状況を監視・記録し、定期的に点検や監査を実施していますか。(作業記録とアクセスログの突合せ 等) | 富士通では、情報システムにアクセスした各種ログを⼀定期間保存し、不正防⽌やインシデント発⽣を防⽌しています。社内ルールに基づいた情報システムの操作、運⽤管理等をまとめた⽂書類の策定、保管、⾒直しを⾏っています。 | |
| 1-21 | ニフクラ基盤に対しシステムメンテナンス等を設置施設外からリモートアクセスで行っている場合は、適切なセキュリティ対策を施していますか。 | ニフクラの運⽤管理時には、専⽤線接続もしくはVPN 接続による機密性を保持した通信を⾏っています。 | |
| 1-22 | 個人情報や会社情報の漏えいについて、社員や協力会社社員(パートナー)に、教育しているか。 | ニフクラでは、サービス提供に携わる要員に対して、スキルの把握を実施し、能力と責任に応じた育成を実施しています。その中には、順守すべきセキュリティルールや最新のセキュリティ動向/対策等を反映した教育等も含まれます。 | |
| 1-23 | 富士通の社員が使用する場合のSNSについて、会社として使用ルールを定め、運用していますか。 | 富士通グループの情報管理規定に則り、運用しています。 | |
| 1-24 | 富士通が社員へ貸与しているメールアドレスを社外(公共機関や自宅等)で使用する際の注意事項を、教育していますか。 | ニフクラでは、サービス提供に携わる要員に対して、スキルの把握を実施し、能力と責任に応じた育成を実施しています。その中には、順守すべきセキュリティルールや最新のセキュリティ動向/対策等を反映した教育等も含まれます。 | |
| 1-25 | クラウド基盤のハードウェア、ネットワーク装置はサービス提供事業者の責任で保守・監視・運用を実施していますか。 | ニフクラは、ニフクラサービスにおける各機器(物理サーバー、ネットワーク、ストレージ)、システムの性能・リソース・API などについて、監視を実施しています。ニフクラは、異常を迅速に検知・通知する監視機能を実装しています。 | |
| 1-26 | 日本国内のデータセンターで提供されるサービスであり、日本国内で運用され、国内法が適用されますか。また、所轄裁判所は東京地方裁判所となっていますか。 | 東日本/西日本/北米からデータセンターを選択可能です。ニフクラはニフクラ基本利⽤規約において、準拠法を⽇本法とし、専属的合意管轄裁判所を東京地⽅裁判所としています。 | |
| 1-27 | クラウドサービス提供事業者として、いかなる理由や目的であっても、ユーザーのデータが二次利用されることはありませんか。 | ユーザーがニフクラに保管したデータについても同様に各リージョンが置かれた地域の法令等の順守が求められ、ユーザー⾃⾝での管理が必要となります。ニフクラにおいては、ユーザーのデータは等しく情報として扱い、内容については検知していません。捜査当局や裁判所などの機関からの開⽰要求については、富士通において定められた⼿順により判断を⾏っています。 | |
| 1-28 | ニフクラ基盤への、以下の情報を含むアクセスログを取得し、一定期間(3ヶ月、6ヶ月等)保管していますか。
|
情報システムにアクセスした各種ログを一定期間保存し、不正防止やインシデント発生を防止しています。社内ルールに基づいた情報システムの操作、運用管理等をまとめた文書類の策定、保管、見直しを行っています。また、マニュアル類のバックアップを取得しています。 | |
| 1-29 | ニフクラ基盤や情報システムのアクセスログをユーザーの要請に応じて確認することはできますか。 | ニフクラ基盤や情報システムのアクセスログはユーザーへの開示はしていません。ただし、ニフクラコントロールパネルへのアクセスログ、ニフクラファイアウォールの拒否ログはニフクラコントロールパネルで確認することが可能です。 | |
| 1-30 | 富士通は、規程等の整備や従業員の教育を行っていますか。
|
ニフクラでは、サービス提供に携わる要員に対して、スキルの把握を実施し、能力と責任に応じた育成を実施しています。その中には、順守すべきセキュリティルールや最新のセキュリティ動向/対策等を反映した教育等も含まれます。 | |
| 1-31 | ニフクラ基盤に関して、システムレベル(OS、DBMS、JOB)の管理者用アカウントは、全て特定された上で、極めて限定された適切な要員にのみ付与されていますか。 | ニフクラサービスを始めとした情報システムを利用する従業者を限定し、権限の設定を行っています。アカウント管理(発行、削除、棚卸し等)、パスワード管理及び、これに関連するルールの策定を実施しています。 | |
| 1-32 | 富士通では、アカウントの不正な使用の有無を監視するために、どのような手段を講じていますか。 | 情報システムにアクセスした各種ログを⼀定期間保存し、不正防⽌やインシデント発⽣を防⽌しています。 | |
| 1-33 | 富士通では、不要な管理者用アカウントの有無、及び不適切なアクセス権限の有無を確認するために、どのような手段を講じていますか。(定期的なレビュー手続等) | ニフクラサービスを始めとした情報システムを利用する従業者を限定し、権限の設定を行っています。アカウント管理(発行、削除、棚卸し等)、パスワード管理及び、これに関連するルールの策定を実施しています。 | |
| 1-34 | ニフクラ基盤では、重要なデータ及びプログラムのバックアップを適時適切に取得するために、どのような手段を講じていますか。 | 富士通社内で定めた手順等に従ってファイル操作や管理を行っています。また、重要なデータについてはバックアップを取得し保管しています。ニフクラに保存したデータの保護についてはユーザーの責任範囲になります。 | |
| 1-35 | 富士通の社内情報システムにあるデータの直接修正を行う場合、適切な管理者が文書により承認を行っていますか。 | 社内で定めた手順等に従ってファイル操作や管理を行っています。 | |
| 1-36 | 情報セキュリティ監視(稼働監視、障害監視、パフォーマンス監視等)の実施基準・手順等を定めていますか。 また、ニフクラで用いるアプリケーション、プラットフォーム、サーバ、ストレージ、ネ ットワークの運用・管理に関する手順書を作成していますか。 | 手順を定め、適切に管理しています。 | |
| 1-37 | 富士通の社内情報システム管理者及びネットワーク管理者の権限の割当及び使用を制限していますか。 | ニフクラサービスを始めとした情報システムを利⽤する従業者を限定し、権限の設定を⾏っています。アカウント管理(発⾏、削除、棚卸し等)、パスワード管理及び、これに関連するルールの策定を実施しています。 | |
| 1-38 | ニフクラ基盤の運用者及び管理者(情報システム管理者、ネットワーク管理者等)等のアクセスを管理するための適切な認証方法、特定の場所及び装置からの接続を認証する方法等により、アクセス制御となりすまし対策を実施していますか。また、運用管理規定を作成しており、ID・パスワードを用いる場合は、その運⽤管理方法と、パスワードの有効期限を規定していますか。 | 富士通では、ファイルのコピーや盗難等を防ぐために、保存先のアクセス制限やパスワードによる認証を実装しています。認可されていないデータのコピーや盗難等を防ぐために、情報資産を重要度に応じて分類し、ストレージや通信の暗号化も含めて適切に管理しています。また、本社内で使⽤しているLAN 及び本社とDC と結ぶ回線は暗号化することで盗聴による漏洩防⽌策が実装されています。 | |
| 1-39 | 継続的な開発及び提供 | 富士通ではインターネットを使用した情報の持ち出しを禁止していますか。また、技術的な対策(URLフィルタリング、インターネット認証 等)を行っていますか。 | 富士通グループの規定に則り実施しています。 |
| 1-40 | クラウド基盤のアップデート等のメンテナンス作業とクラウド上で構築したシステムにおいて重要なイベントタイムと重複し、万が一Webサイトが停止してしまうと、ユーザーは甚大な影響を受けることになります。クラウド事業者またはコンテンツ事象者において、パッチの適用やファームウェアのアップデート等、Webサイトのサービスに影響を及ぼし得る全ての作業は事前にユーザーへ通知していますか。 | ニフクラ基盤はシステム構成を冗長構成としており、メンテナス作業においても原則無停止で実施可能です。またメンテナンスに際しは、事前にユーザー向けの情報として、メンテナンス情報を通知しています。 | |
| 1-41 | ニフクラでは被災やシステム障害を想定し、業務・サービスを継続するための方針、ルールおよび体制を整備していますか。 | 障害や事故、災害時に備えて責任者や役割、対応手順等をまとめたマニュアル類を策定しています。また、障害、事故、災害の事象や原因を記録し、根本原因を分析した結果を再発防止策に役立てています。定期的に事業継続訓練や防災訓練を実施しています。 | |
| 1-42 | ニフクラの基盤に関する脆弱性情報を入手する体制を整備されていますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運用で使用する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。インシデントが発生した場合は、定められた手順に従い、報告、調査、駆除、再発防止を実施しています。 | |
| 1-43 | ニフクラのシステム基盤に対してセキュリティパッチが提供された場合、システムへの影響を分析し緊急性が高いものについては速やかに対応する体制を整備していますか。 | ニフクラサービスなどの情報システムへの変更については、変更管理プロセスに則って変更作業を実施しています。また、定型的変更作業については、作業⼿順書を整備しています。機能変更時の品質を確保するために、変更機能に加えて既存機能のリグレッションテストを実施し、影響度の検証、障害の有無を検証しています。 | |
| 1-44 | ライフサイクル | ニフクラ基盤、および富士通が所有する機密情報が記載された媒体の廃棄などを廃棄する際は、物理的または論理的な方法でデータを復元できない対策を整備し、それに基づき実施していますか。 | システムの廃棄の際には、円滑、確実かつ安全に実施するため、運⽤及び、責任者の承認を得て不正防⽌、機密保護対策を含めた計画、⼿順を策定しています。 |
| 1-45 | ニフクラサービス運用に際し、富士通は再委託(再々委託も含む)を行っていますか。 | 再々委託は行っていません。 | |
| 1-46 | ニフクラサービス運用に際し、富士通が再委託を行なっている場合、再委託先の情報管理体制は富士通と同等となっていますか。 | 選定した外部委託先には、情報漏洩等を防ぐための安全管理処置の内容を義務づけた契約を締結しています。 | |
| 1-47 | ニフクラのシステム基盤(OS、ミドルウェア、パッケージソフト等)は、セキュリティパッチの配信が行われるもの使用していますか。 | ニフクラではシステムの導入に際しては、機能もしくは性能に関する評価を経た上で実施する体制を取っています。また、サポート契約、ベンダーとのリレーションシップ、バージョン管理を含むシステムの運用管理を実施しています。 | |
| 1-48 | ネットワーク管理 | コンピュータネットワークの適切かつ効率的な運用と、不正アクセス等の防止のため、どのような管理手順・体制を整備されていますか。 | ニフクラではユーザーリソースとサービス管理のための領域を、ネットワークを含め分離しています。リージョン内では、リソースプールを完全に独立したいくつかのまとまりに分割したゾーンという単位で提供することで、障害時の影響範囲を限定しています。また、それぞれのユーザーリソースも、ネットワークを含め分離する機能を提供しています。ユーザー環境のネットワーク環境は、ユーザーにて検討する必要があります。 |
| 1-49 | 第三者がクラウド事業者またはユーザーのサーバーになりすますこと(フィッシング等)を防止するため、サーバ証明書の取得等の必要な対策を実施していますか。 | ニフクラ基盤側環境における対策については非公開となります。ユーザー環境における対策はユーザーにて検討してください。 | |
| 1-50 | ニフクラで提供している全てのネットワーク関連サービスについて、情報セキュリティ特性、サービスレベル(特に、通信容量とトラヒック変動が重要)及び管理上の要求事項を明確にしていますか。 | グローバル側通信における帯域についてはユーザーが利用されるサーバータイプによって異なりますが、実際の速度についてはベストエフォートでの提供となります。 | |
| 1-51 | ニフクラ基盤では、不正侵入検知システム(IDSまたはIPSと呼ばれる装置)を用いて、不正アクセスを検出または防御する仕組みを講じていますか。 | 対策を講じています。 | |
| 1-52 | ニフクラによるユーザー情報資産の漏洩等リスクに対応するため、どのような人的管理策が取られていますか。 | ニフクラサービスを始めとした情報システムを利用する従業者を限定し、権限の設定を行っています。アカウント管理(発行、削除、棚卸し等)、パスワード管理及び、これに関連するルールの策定を実施しています。さらに、情報システムにアクセスした各種ログを一定期間保存し、不正防止やインシデント発生を防止しています。社内ルールに基づいた情報システムの操作、運用管理等をまとめた文書類の策定、保管、見直しを行っています。また、マニュアル類のバックアップを取得しています。 | |
| 1-53 | ニフクラは以下の脆弱性及びウイルス対策を行っていますか。
|
ニフクラは、ユーザーリソースについてデータ保護を実施し、厳重な管理を行っています。ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運用で使用する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。インシデントが発生した場合は、定められた手順に従い、報告、調査、駆除、再発防止を実施しています。ユーザーリソースへの完全性については、ユーザーにより適切な対策を行ってください。 | |
| 1-54 | ニフクラ基盤に対し、定期的に脆弱性診断を行っていますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運⽤で使⽤する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。頻度については非公開情報となります。 | |
| 1-55 | ニフクラ基盤で提供に用いるアプリケーション、プラットフォーム、サーバ・ストレージ等(情報セキュリティ対策機器、通信機器等)の時刻同期の方法を規定し、実施していますか。 | ニフクラは、ニフクラサービスにおける各機器(物理サーバー、ネットワーク、ストレージ)、システムの性能・リソース・API などについて、監視を実施しています。ニフクラは、異常を迅速に検知・通知する監視機能を実装しています。また、データセンターの死活監視を⾏い、複数のリージョン及び、ゾーンを運⽤することなどにより、サービスの継続性を維持する取り組みを⾏っています。 | |
| 1-56 | ニフクラ基盤で用いるプラットフォーム、サーバ・ストレージ、情報セキュリティ対策機器、通信機器についての技術的ぜい弱性に関する情報(OS、その他ソフトウェアのパッチ発行情報等)を定期的に収集し、随時パッチによる更新を行っていますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運⽤で使⽤する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。 | |
| 1-57 | ニフクラ基盤で用いるアプリケーション、プラットフォーム、サーバ・ストレージについて定期的にぜい弱性診断を行い、その結果に基づいて対策を行っていますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運⽤で使⽤する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。 | |
| 1-58 | ニフクラ基盤での、外部及び内部からの不正アクセスを防止する措置(ファイアウォール、リバースプロキシの導入等)を講じていますか。 | ニフクラのサービス管理のためのネットワークはユーザーのサービス利⽤のものとは分離しています。また、必要な通信のみを許可し、ウイルス対策ソフトや不正アクセス検知装置、迷惑メールフィルタ等の技術的な対策を実装しています。 | |
| 1-59 | ニフクラ基盤に関して、不正な通過パケットを自動的に発見、もしくは遮断する措置(IDS/IPS の導入等)を講じていますか。 | ニフクラのサービス管理のためのネットワークはユーザーのサービス利⽤のものとは分離しています。また、必要な通信のみを許可し、ウイルス対策ソフトや不正アクセス検知装置、迷惑メールフィルタ等の技術的な対策を実装しています。 | |
| 1-60 | 富士通社内での外部ネットワークを利用した情報交換において、情報を盗聴、改ざん、誤った経路での通信、破壊等から保護するため、通信の暗号化を行っていますか。 | 本社内で使用しているLAN及び本社とDCと結ぶ回線は暗号化することで盗聴による漏洩防止策が実装されています。 | |
| 1-61 | 監視 | ニフクラサービスの障害通知プロセスについて、障害発生時における連作プロセス(通知先/方法/経路)はどのようになっていますか。 | ニフクラの障害に関しては、事前に登録されたメールアドレスへ通知します。 |
| 1-62 | ニフクラサービスの障害通知時間について、異常が検出されてから、連絡先に通知するまでのリードタイムはどのくらいですか。 | ニフクラの障害に関しては、60分以内での通知を目標としています。 | |
| 1-63 | ニフクラサービスの障害監視間隔について、障害・インシデントを収集/集計する時間間隔はどのくらいですか。 | ニフクラに関しては、24/365で監視を行っています。監視の詳細ルールについては、原則非公開としています。(コンポーネント単位でさまざまな監視ルールを設定しています。) | |
| 1-64 | ニフクラサービス提供状況を報告する方法と、時間間隔について教えてください。 | 障害発生状況は以下にて案内しています。
|
|
| 1-65 | 富士通ではニフクラサービスを始めとした社内情報システムへの各種ログを保持していますか。 | 各種ログを一定期間保存しています。保存期間は非公開となります。 | |
| 1-66 | ニフクラ基盤に関してコンピューターウイルスを検知・駆除する仕組みを導入していますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運用で使用する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。インシデントが発生した場合は、定められた手順に従い、報告、調査、駆除、再発防止を実施しています。 | |
| 1-67 | ニフクラでインシデントが発生した場合の対応および管理体制を定め運用していますか。 | インシデントが発生した場合は、定められた手順に従い、報告、調査、駆除、再発防止を実施しています。ニフクラでは、サービス提供に携わる要員に対して、スキルの把握を実施し、能力と責任に応じた育成を実施しています。その中には、順守すべきセキュリティルールや最新のセキュリティ動向/対策等を反映した教育等も含まれます。また、ニフクラサービスを始めとした情報システムを利用する従業者を限定し、権限の設定を行っています。アカウント管理(発行、削除、棚卸し等)、パスワード管理及び、これに関連するルールの策定を実施しています。さらに、情報システムにアクセスした各種ログを一定期間保存し、不正防止やインシデント発生を防止しています。社内ルールに基づいた情報システムの操作、運用管理等をまとめた文書類の策定、保管、見直しを行っています。また、マニュアル類のバックアップを取得しています。 | |
| 1-68 | ニフクラ基盤はネットワーク配線経路の保護対策を講じていますか。 | 対策をしていますが、詳細方法については非公開情報となります。 | |
| 1-69 | 富士通社内で利用する端末にはウィルス対策ソフトを導入し、常に最新のパターンファイルを適用していますか。また、定期的に全件検索を行っていますか。 | 富士通グループの規定に則り実施しています。 | |
| 1-70 | 富士通では外部記憶媒体やスマートフォンを使用した情報の持ち出しを禁止していますか。また、対策(ポートの無効化、制御ソフトの導入 等)を行っていますか。 | 富士通グループの規定に則り実施しています。 | |
| 1-71 | ニフクラの稼動状況を監視・記録し、分析・改善を行っていますか。(死活監視、性能監視、障害監視 等) | ニフクラは、ニフクラサービスにおける各機器(物理サーバー、ネットワーク、ストレージ)、システムの性能・リソース・API などについて、監視を実施しています。ニフクラは、異常を迅速に検知・通知する監視機能を実装しています。 | |
| 1-72 | ニフクラにおける障害を、適時に発見するために、どのような(監視)手段を講じていますか。 | ニフクラは、何らかの異常が発生した場合に迅速に検知し、通知を行う監視の仕組みを有しています。また、障害時の影響範囲を限定させる機能を有しています。加えて、仮想マシンに障害が発生した場合に、自動的に復旧する機能を有しています。 | |
| 1-73 | ニフクラ基盤で用いるアプリケーション、プラットフォーム、サーバー・ストレージ、ネットワーク、情報セキ ュリティ対策機器、通信機器の稼働監視を実施していますか。また、 稼働停止を検知した場合は、ユーザーに速報を通知するサービスは提供していますか。 | ニフクラ基盤は適切に監視・運用を行っています。詳細方法については非公開情報となります。ユーザーへの通知時間(稼動停止検知後、ユーザーに通知するまでの時間)に関しては、ニフクラの障害情報、メンテナンス情報などはサービスアクティビティやメールを通じてお知らせします。通知時間は、当社が確認してから60分を目標としていますなお、「稼働停止」がユーザー操作による停止を指している場合、ニフクラ標準のサービスでは通知を行うことはありません。 | |
| 1-74 | ユーザーリソース利用状況の報告書を作成しユーザーへ定期的に報告するサービスは提供していますか。 | 報告書の作成、報告は行っていません。 | |
| 1-75 | ニフクラではユーザーの利用状況、例外処理及び情報セキュリティ事象の記録(ログ等)を取得していますか。また、その記録(ログ等)の保存期間を教えてください。 | ニフクラは、クラウド基盤のシステムの性能・リソース・API などについて、監視を実施していますが、取得しているログの種類や保存期間などは非公開情報となります。 | |
| 1-76 | インシデント管理 | ニフクラで使用しているデータベースシステムの種別やバージョン、セキュリティパッチの適用ポリシー、システム構成などについて、必要なセキュリティ対策を講じていますか。 | ニフクラで使用しているデータベースシステムの種類やバージョン、セキュリティパッチの適用ポリシーについては、非公開情報となります。しかしながらニフクラでは、本番システムのセキュリティを維持するため、複数段階の環境を整備しています。
|
| 1-77 | ニフクラ基盤でインシデントなどが確認された場合のクラウドサービス事業者の対応体制が明確になっていますか。 | ニフクラでは、ニフクラサービスに対する監視や、PCERT 等の外部機関からの情報提供に基づき、イベント管理を⾏っています。インシデントの発⽣時には、⼿順に基づき関係者への情報伝達を⾏い、対処にあたっています。また、ユーザーリソースに影響がある可能性があるインシデント、あるいはデータ侵害の可能性のあるインシデントの発⽣時には、メール等の⼿段により通知を⾏っています。通知はニフクラサービスにおけるサービス障害のほか、ユーザーが禁⽌事項に抵触した際の、ニフクラ側での対応結果も含まれます。 | |
| 1-78 | クラウド運用管理者の作業を記録・確認する機能はありますか。 | 運用管理者側の作業ログについてはニフクラにて保管しておりますが、ユーザーには公開していません。 | |
| 1-79 | 内部監査等の社内監査や第三者監査の実施状況および結果を開示していますか。 | 内部監査を実施するためのルールを策定しており、年に1回、ニフクラを含めた情報システムを対象に、内部監査を実施して予防・是正に取り組んでいます。 | |
| 1-80 | ニフクラではシステムリソースおよび能力所要量を適切に予測するために、どのような手続きおよび管理策が取られていますか。 | ニフクラは、システムの性能及び、キャパシティ管理のプロセスを定め、文書を策定し、それに基づいて実施しております。その中には監視対象、監視内容、監視方法が含まれ、管理表等のドキュメントを策定し、運用しています。また、監視から得られた情報や過去の動向などを基にして、コンピューティング資源の増強のためのプロセスを定め、監視により得られた情報などを基に随時増強を実施することで、ユーザーリソースのためのコンピューティング資源の枯渇を未然に防ぎ、ユーザーがオンデマンドでユーザーリソースを作成・管理できるように継続的に取り組んでいます。 | |
| 1-81 | 電子メールを使用した情報の持ち出しを禁止していますか。また、技術的な対策(添付ファイルの暗号化、外部送信制限 等)を行っていますか。 | 富士通グループの規定に則り実施しています。 | |
| 1-82 | 会社貸与及び個人所有のスマートフォンや携帯電話に対して、紛失や盗難時の漏えい対策を、会社として指示していますか。 | インシデントが発生した場合は、定められた手順に従い、報告、調査、再発防止を実施しています。 | |
| 1-83 | ニフクラではバックアップからのリカバリを確実に行えるようにするために、どのような手段を講じていますか。(定期的なテスト又は訓練等) | ニフクラは、障害発生時の回復についても手順を定めています。また、仮想マシンに障害が発生した場合に、自動的に復旧する機能を有しています。ユーザーがニフクラを利用して構築したシステムについてはユーザーの責任範囲になります。 | |
| 1-84 | ニフクラにおける事故及び障害を記録し、解決に至るまでを管理するために、どのような手段を講じていますか。 | ニフクラでは過去の障害情報を蓄積、分析することにより、障害の再発防止に継続的に努めています。また、データセンター及び本社では障害や事故、災害時に備えて責任者や役割、対応手順等を定めています。また、障害、事故、災害の事象や原因を記録し、根本原因を分析した結果を再発防止策に役立てています。定期的に事業継続訓練や防災訓練を実施しています。 | |
| 1-85 | 端末管理 | 富士通社内で使用する運用管理端末に関し以下について教えてください。
|
コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発/運⽤で使⽤する機器について、ウイルス対策、脆弱性チェックを含んだセキュリティ対策を実施しています。特に、悪意のあるコードを検知した場合の対応⼿順は明確化及び、ルール化しているため、これに従って報告、調査、駆除、再発防⽌を実施しています。さらに、本社のPC(社外持ち出しPC を含む)はハードディスクを暗号化しています。 |
| 1-86 | 富士通社内業務で使用するノートパソコン、外部記憶装置、機密情報が記載された紙データは、施錠可能な保管庫等で管理していますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発/運⽤で使⽤する機器について、ウイルス対策、脆弱性チェックを含んだセキュリティ対策を実施しています。特に、悪意のあるコードを検知した場合の対応⼿順は明確化及び、ルール化しているため、これに従って報告、調査、駆除、再発防⽌を実施しています。さらに、本社のPC(社外持ち出しPC を含む)はハードディスクを暗号化しています。 | |
| 1-87 | 富士通社内では、私物PCを使用した情報の持ち出しを禁止していますか。また、技術的な対策(Macアドレス制限等)を行っていますか。 | 富士通グループの規定に則り実施しています。 | |
| 1-88 | 供給者関係 | 富士通では外部委託先の選定基準、監査ルールおよび体制を整備していますか。 | 富士通グループ規定に則り整備しています。 |
| 1-89 | 顧客データ取扱記録保管 | ニフクラ運用者によるユーザーの機密情報の取得、入力、閲覧、複製、削除等の作業は発生しますか。 | ユーザーとの契約に関する情報など特に重要なデータについては、ニフクラを構成するシステム内に保持していません。ユーザーリソースへの機密性については、ユーザーにより適切な対策を⾏ってください。 |
| 1-90 | ユーザーの機密情報はセキュリティ対策を講じた場所に保管しているか。 | ニフクラサービス及び、それを構成する機器等からデータの漏洩が⽣じないように防⽌策が講じられています。サービスインターフェースに対しては不正アクセス等の対策を実施しています。 | |
| 1-91 | セキュリティ対策 | ニフクラコントロールパネルでは、パスワードが平文で保存されないよう対策を講じていますか。(暗号化、ハッシュ化) | 適切に運用・管理を行っています。対応方式などの詳細については非公開情報となります。 |
2.クラウドサービス構成
| No | 項目 | 評価内容 | 回答内容 |
|---|---|---|---|
| 2-1 | 機密性 | ニフクラ基盤の機密性について教えてください。 | ユーザーとの契約に関する情報など特に重要なデータについては、ニフクラを構成するシステム内に保持していません。ユーザーリソースへの機密性については、ユーザーにより適切な対策を⾏ってください。 ユーザーの、サービス利⽤中のユーザーリソースの削除、もしくはサービス利⽤解除の際には、ニフクラサービス及び、それを構成する機器等からデータの漏洩が⽣じないように防⽌策が講じられています。 サービスインターフェースに対しては不正アクセス等の対策を実施しています。 |
| 2-2 | 記録媒体を内蔵した装置の廃棄、再利用を行う際には、物理的な破壊や高度なデータ消去作業の実施など、どのような情報漏えい防止策を実施していますか。 |
|
|
| 2-3 | ユーザーのリソースが他ユーザーと論理的に分離・隔離されていない場合、他ユーザーからのアクセスが成立し、情報資産の侵害を受けることが考えらます。それを避けるためにニフクラでは論理的な分離・隔離を行っていますか。 | ニフクラではユーザーのリソースとサービス管理のための領域を、ネットワークを含め分離しています。リージョン内では、リソースプールを完全に独立したいくつかのまとまりに分割し、ゾーンとして提供することで障害時の影響範囲を限定しています。また、それぞれの利用者のリソースも、ネットワークを含め分離する機能を提供しています。 ニフクラ基盤の共用ネットワークは、ファイアウォールによるマイクロセグメンテーションを実装しており、マルチテナント間の機密性を確保が可能です。 |
|
| 2-4 | ニフクラ基盤に対するセキュリティ修正プログラムを適用する場合の判断基準および適用期限を定めていますか。 | 事業者責任側で、データセンター内の機器について修正プログラム等を適用させる場合は、定められた手順で行っております。詳細な内容については、非公開となります。 | |
| 2-5 | データの機密性・完全性を確保するためのセキュリティ対策として、ニフクラはどのような対策を行っていますか。 |
|
|
| 2-6 | ニフクラ基盤のハイパーバイザーへのアクセスは制限されていますか。制限されている場合、具体的な対策・方式を教えてください。 | ハイパーバイザーへのアクセスは制限されています。その方式については非公開です。 | |
| 2-7 | ニフクラでは情報漏えい対策の実施に関して規定されていますか。 | ユーザーとの契約に関する情報など特に重要なデータについては、ニフクラを構成するシステム内に保持していません。ユーザーリソースへの機密性については、ユーザーにより適切な対策を⾏ってください。 ユーザーの、サービス利⽤中のユーザーリソースの削除、もしくはサービス利⽤解除の際には、ニフクラサービス及び、それを構成する機器等からデータの漏洩が⽣じないように防⽌策が講じられています。 サービスインターフェースに対しては不正アクセス等の対策を実施しています。 |
|
| 2-8 | ニフクラは個人データの保護対策を実施していますか。 | ユーザーとの契約に関する情報など特に重要なデータについては、ニフクラを構成するシステム内に保持していません。ユーザーリソースへの機密性については、ユーザーにより適切な対策を⾏ってください。 | |
| 2-9 | ニフクラへの不正アクセス等の異常な通信の監視や遮断を行っていますか。(IDSやIPSを設置 等) | ニフクラでは必要な通信のみを許可し、ウイルス対策ソフトや不正アクセス検知装置、迷惑メールフィルタ等の技術的な対策を実装しています。 | |
| 2-10 | ニフクラへのDoS攻撃対策を実施していますか。(DoS対策製品を設置 等) | ニフクラでは必要な通信のみを許可し、ウイルス対策ソフトや不正アクセス検知装置、迷惑メールフィルタ等の技術的な対策を実装しています。 | |
| 2-11 | 完全性 | ニフクラ基盤の完全性について教えてください。 | ニフクラは、ユーザーリソースについてデータ保護を実施し、厳重な管理を⾏っています。ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運⽤で使⽤する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。インシデントが発⽣した場合は、定められた⼿順に従い、報告、調査、駆除、再発防⽌を実施しています。 ユーザーリソースへの完全性については、ユーザーにより適切な対策を⾏ってください。 |
| 2-12 | ニフクラは、定期的に脆弱性診断を実施していますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運⽤で使⽤する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。 | |
| 2-13 | ニフクラ基盤の物理的な損傷・盗難・妨害を避けるために、許可されていない物理的なアクセスを制限する仕組みを導入していますか。 | 認可されていない物理的なアクセスは制限します。 | |
| 2-14 | ニフクラ基盤に対しサイバー攻撃が行われていないことを定期的に点検していますか。(認証ログや操作履歴の確認 等) | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運⽤で使⽤する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。インシデントが発⽣した場合は、定められた⼿順に従い、報告、調査、駆除、再発防⽌を実施しています。 | |
| 2-15 | 可用性 | ニフクラでは、災害発生時に備えてどのような対策を実施していますか。 | ニフクラは、障害が発生した場合に、ユーザーリソースを自動的に復旧する機能を有しています。 また、その他障害発生時の回復についても手順を定めています。ユーザーリソースのOS 、アプリケーション、データについてはユーザーにより適切な監視及び、インシデント管理を行ってください。データセンター、及び、本社では事故・災害時に備えて責任者や役割、対応手順等をまとめたマニュアル類を策定しています。また、大規模な事故・災害を想定した訓練も実施しています。 |
| 2-16 | システムの可用性、信頼性を確保するための対策を実施していますか。 | ニフクラではユーザーリソースとサービス管理のための領域を、ネットワークを含め分離しています。リージョン内では、リソースプールを完全に独立したいくつかのまとまりに分割し、ゾーンとして提供することで障害時の影響範囲を限定しています。また、それぞれのユーザーリソースも、ネットワークを含め分離する機能を提供しています。 ニフクラは、障害が発生した場合に、ユーザーリソースを自動的に復旧する機能を有しています。また、その他障害発生時の回復についても手順を定めています。 |
|
| 2-17 | マルチテナント環境の場合、他社・他組織のユーザーからサーバーやストレージにアクセスできないようになっていますか。 | ファイアウォールを設定することで可能です。 テナントは分割されますが、アクセス制御の部分はユーザー責任範囲となります。ニフクラのファイアウォールやプライベートLAN等を用いて、適切なアクセス制御を行ってください。 |
|
| 2-18 | ニフクラのシステム基盤に関して、アクセス可能なネットワーク通信を限定していますか。(ファイアウォールを設置、アプリケーションファイアウォール 等) | ニフクラでは目的ごとにネットワーク領域を分離し、運用しています。ネットワークセキュリティ方針に従い、ネットワークの設定は物理と仮想において整合性を保っています。ニフクラのサービス管理のためのネットワークはユーザーのサービス利用のものとは分離しています。 | |
| 2-19 | ニフクラ基盤は冗長化されており、ホスト障害の際にも仮想マシンのダウンタイムを最小限に抑えることができるよう構成されていますか。 | ニフクラを構成する機器は、障害や事故、災害時に備えて、迅速に事業継続ができるよう必要な予備、冗⻑化構成を整備しています。 | |
| 2-20 | サービス運用体制 | ニフクラの点検・監査の観点、方法が明確になっていますか。 | 敷地内への不法侵入、破壊行為などの人為的災害については、柵、フェンス、監視カメラなど複数の手段によって侵入防止と監視を実施しています。サーバールームは独立した無窓の部屋であり、外部からの容易な侵入ができないようになっています。また、ニフクラとの関連が識別可能な表示は行っていません。回線設備は専用の設備にあり、専用の錠によって施錠されています。 データセンター及び、本社では、入退館、指定エリアへの入退室が可能な従業者を限定しており、厳格な本人認証の上、持ち込み品の制限、記録の取得などの入退室管理を行っています。 |
| 2-21 | - | ニフクラのネットワークの脆弱性について定期的に確認をしていますか。 | 行っていますが、頻度や具体的な日時につきましては、非公開情報となります。 |
3.ニフクラ管理
| No | 項目 | 評価内容 | 回答内容 |
|---|---|---|---|
| 3-1 | サービス運用体制 | ニフクラでは重要なデータ及びプログラムのバックアップを適時適切に取得するために、どのような手段を講じていますか。 | 社内で定めた手順等に従ってファイル操作や管理を行っています。また、重要なデータについてはバックアップを取得し保管しています。ニフクラに保存したデータの保護についてはお客様の責任範囲になります。 |
| 3-2 | 継続的な開発及び提供 | ニフクラ基盤更新に伴うニフクラ上で稼働中のサーバーの移行に際して、ユーザーが行う移行作業などは発生しますか。また、その場合の費用負担はどうなりますか。(事業者負担またはユーザー負担等) | 物理基盤及びハイパーバイザーのアップグレードは原則無停止かつ富士通にて実施します。(ユーザー業務および費用は発生しません。) |
| 3-3 | 供給者関係 | ニフクラがサービス提供にあたり、第三者の提供するサービスや業務委託を利用していますか。 | システムの開発や運用等で外部委託を行う場合は、事前に目的や範囲等を明確にしています。また、外部委託先の選定に際しては手続きを明確にし、委託業者を客観的に評価しています。委託業者の決定にあたっては、責任者の承認を得て行うのはもちろん、安全性確保のため、機密保護、安全運行等に関する項目を盛り込んだ委託契約を締結しています。 システムの開発や運用等で外部委託先を選定する場合、目的や要求事項、業務範囲等をまとめたプロセスを明確にしています。取り扱う情報や委託業務等を考慮し、外部委託先の選定を行っています。また、作業拠点の情報セキュリティ監査を実施しています。選定した外部委託先には、情報漏洩等を防ぐための安全管理処置の内容を義務づけた契約を締結しています。 |
| 3-4 | インシデント管理(過去障害) | ニフクラで過去に発生した大規模な事故内容及び類似事故の発生頻度を公開していますか。 | 「サービスアクティビティ」機能で、過去6カ月までの障害やメンテナンス情報を掲載しています。 |
4.規約・法制度など
| No | 項目 | 評価内容 | 回答内容 |
|---|---|---|---|
| 4-1 | 規約・SLA/SLO | 富士通の全従業員に対し、情報セキュリティ等の教育を定期的に行っていますか。 | 富士通グループ規定に則り整備しています。 |
| 4-2 | 富士通は定期的に認証・認可の点検を行っていますか。(人事データと連動、都度及び定期的にIDを棚卸 等) | 富士通グループの規定に則り実施しています。 | |
| 4-3 | 富士通は機密情報の自己点検、監査ルールおよび体制を整備していますか。 | 富士通グループ規定に則り整備しています。 | |
| 4-4 | ニフクラは実績として月間99.99%以上の稼働率であり、物理機器障害時にはサーバーが自動でフェイルオーバーする機能はありますか。 | 月間 SLA99.99%※となっています。 ※サービスによって異なります。HA構成になっており、物理器機の障害発生時には自動的に切り替わります。 |
|
| 4-5 | ニフクラは最低契約期間はありますか。 | 基本的に契約期間を定めていません。 | |
| 4-6 | ニフクラは解約条件が規定されていますか。 | 利用規約にて解約条件を定めています。
|
|
| 4-7 | ニフクラは契約等に利用条件やサービス内容及び料金の改定に関して規定されていますか。 | 利用規約にて規定しています | |
| 4-8 | ユーザーは、サービス提供事業者と秘密保持契約の締結を行うことができますか。または、契約書、利用規約、覚書、合意書等(以下、契約等という)に秘密保持の条項が盛り込まれていますか。 | 秘密保持契約の締結は可能です。契約関係に応じ、適宜締結します。 | |
| 4-9 | ニフクラ上で個人情報を取り扱う場合は、個人情報の安全管理措置等を記載した覚書等の締結を行うことができますか。または、契約書、利用規約、覚書、合意書等(以下、契約等という)に個人情報の安全管理措置等の条項が盛り込まれていますか。 | ニフクラはニフクラ基本利用規約において、準拠法を日本法とし、専属的合意管轄裁判所を東京地方裁判所としています。電気通信事業法、個人情報保護法、不正アクセス禁止法等の情報セキュリティに関する法令、規範及びガイドラインを順守し運営しています。 また、ニフクラは各リージョンが置かれた各種法令を順守し運営しています。お客様がニフクラに保管したデータについても同様に各リージョンが置かれた地域の法令等の順守が求められ、ユーザー自身での管理が必要となります。 |
|
| 4-10 | ニフクラではSLAが規定されていますか。 | 規定しています。 下記を参照してください。 |
|
| 4-11 | ニフクラは障害発生時の復旧手段・想定所要時間、および通知手段と通知タイミングが規定されていますか。 | 規定しています。 下記を参照してください。 |
|
| 4-12 | ニフクラはメンテナンス等の計画的なサービス停止の実施時間帯と想定所要時間、および通知手段と通知タイミングが規定されていますか。 | 規定しています。 下記を参照してください。 |
|
| 4-13 | ニフクラは障害発生時の復旧手段・想定所要時間、および通知手段と通知タイミングが規定されていますか。 | SLA規約にSLA基準を下回った際の補償について明記しています。 URLにつきましては、下記を参照してください。・保証する品質を下回った場合の対応 |
|
| 4-14 | ニフクラサービスを提供する時間帯を定め、この時間帯における稼働率を規定されていますか。 また、アプリケーション、プラットフォーム、サーバ・ストレージの定期保守時間を規定されていますか。 | ニフクラはSLA99.99%としています。なおSLA対象サービスは下記ページに記載しています。なお、各コンポーネントについては基本無停止での稼働を想定しており、定期的な保守時間は規定していません。 | |
| 4-15 | ニフクラサービス提供を終了する場合の事前通知はありますか。 | ニフクラサービス利用規約 第15条_1~3に記載しているとおりとなります。
|
|
| 4-16 | 性能保証を担保しているサービスは提供していますか。 | 性能保証を担保しているサービスは提供していません。 | |
| 4-17 | ニフクラが被災した場合でもサービスが継続利用できることを規定されていますか。 | クラウド 品質保証制度(SLA)利用規約を確認してください。 | |
| 4-18 | ニフクラの利用期間を過ぎた登録情報の取扱い(削除、返却)が定められていますか。 | ニフクラサービス利用規約 第14条(利用契約終了後の措置等)にて定めています。
|
|
| 4-19 | 個人情報及び匿名加工情報について、運用ルールを定めていますか。 | ニフクラ基本利用規約の第18条 (個人情報保護)を参照ください。 | |
| 4-20 | オプトアウト(個人データの第三者提供)によって、個人情報保護委員会に届出を提出したことがありますか。 | 非公開情報となります。 | |
| 4-21 | 個人情報を第三者に提供する場合、及び提供される場合、提供に関する情報を記録し、その記録を保管していますか。 | 非公開情報となります。 | |
| 4-22 | 法制度 | 法令や規則で定められている「保護が必要な記録」について、どのように保護されていますか。 | ニフクラはニフクラ基本利⽤規約において、準拠法を日本法とし、専属的合意管轄裁判所を東京地方裁判所としています。電気通信事業法、個人情報保護法、不正アクセス禁止法等の情報セキュリティに関する法令、規範及びガイドラインを順守し運営しています。 また、ニフクラは各リージョンが置かれた各種法令を順守し運営しています。お客様がニフクラに保管したデータについても同様に各リージョンが置かれた地域の法令等の順守が求められ、ユーザー自身での管理が必要となります。 ニフクラにおいては、ユーザーのデータは等しく情報として扱い、内容については検知していません。捜査当局や裁判所などの機関からの開示要求については、富士通において定められた手順により判断を行っております。 ニフクラでは、ユーザー自身の操作によるものを除き、ユーザーのデータを他のリージョンへ移転していません。また、ニフクラは処理者として GDPR に準拠するため、管理者または処理者に代わり行った顧客データの取扱い記録を保管します。 |
| 4-23 | セキュリティに関するインシデントが発生した場合の法的な準備状況はどうなっていますか。 | ニフクラは各リージョンが置かれた各種法令を順守し運営しています。お客様がニフクラに保管したデータについても同様に、各リージョンが置かれた地域の法令等の順守が求められ、ユーザー自身での管理が必要となります。 ニフクラにおいては、ユーザーのデータは等しく情報として扱い、内容については検知していません。 捜査当局や裁判所などの機関からの開示要求については、富士通において定められた手順により判断を行っています。 |
|
| 4-24 | 個人情報は関連する法令に基づいて適切に取り扱っていますか。 | ニフクラは個⼈情報保護法、GDPR、不正アクセス禁⽌法等の情報セキュリティに関する法令、規範及びガイドラインを順守し運営しています。 | |
| 4-25 | 富士通で保有する個人情報を特定し、定義していますか。 | 定義しています。 | |
| 4-26 | 富士通で定義している個人情報の中に、個人識別符号は含まれていますか。 | 非公開情報となります。 | |
| 4-27 | ユーザーが預託している情報について、主な個人情報はどういったものがありますか。 | 非公開情報となります。 | |
| 4-28 | コンプライアンス | ニフクラが取得している第三者認証や、コンプライアンス体制を含めた組織体制はどうなっていますか? | ニフクラの情報セキュリティマネジメント体制を客観的に評価していただくために、取得又は受領している第三者認証は以下の通りです。
ISMS (情報セキュリティマネジメントシステム)に基づいて、内部監査を実施するためのルールを策定しています。また、年に 1 回、ニフクラを含めた情報システムを対象に、内部監査を実施して予防・是正に取り組んでいます。 以下も併せて参照してください。 |
| 4-29 | ニフクラでは立入監査・立入調査に関する体制(海外にデータやデータ保管場所があるまたはその可能性がある場合も考慮する)に関し、以下について教えてください。
|
ニフクラでは、直接の監査要求は受け入れていません。ユーザーが監査を受ける際に、ニフクラからの情報提供が必要な場合は、あらかじめ個別に相談してください。 | |
| 4-30 | ニフクラはプライバシーマークの認定を取得していますか。取得していない場合、取得の予定はありますか。 | 取得していません。取得の予定はありません。 | |
| 4-31 | 富士通のセキュリティに関連するポリシー、基準、手順、および遵守義務についてのレビューおよび評価が実施されていますか。 | 富⼠通グループとして、情報セキュリティマネジメントを適切に⾏うために必要なセキュリティポリシーを公開しています。 | |
| 4-32 | 富士通は誓約書等により、全従業員(正規社員、契約社員、アルバイトなど)との間で、機密保持および安全管理に関する契約を締結しており、退職した後も有効となっていますか。 | 富士通グループ規定に則り整備しています。 | |
| 4-33 | 富士通の就業規則等に、機密保持および安全管理に違反した場合の懲戒処分を明記していますか。 | 富士通グループ規定に則り整備しています。 | |
| 4-34 | 富士通は、就業規則(または同等のもの)や懲戒処分について、会社として定めていますか。 | 会社として、就業規則(または同等のもの)や懲戒処分について定めています。 | |
| 4-35 | 富士通は、全従業員とNDA(秘密保持契約)を結んでいますか。 | 全従業員とNDA(秘密保持契約)を結んでいます。 | |
| 4-36 | ユーザーが指名する監査人による情報セキュリティ監査を実施できますか。 | ニフクラでは、直接の監査要求は受け⼊れていません。ユーザーが監査を受ける際に、ニフクラからの情報提供が必要な場合は、あらかじめ個別に相談してください。 | |
| 4-37 | ニフクラは第三者によるシステム監査や情報セキュリティ監査を定期的に受けていますか。 | はい。 | |
| 4-38 | ニフクラは第三者によるシステム監査結果や情報セキュリティ監査結果は通知されていますか。 | はい。 | |
| 4-39 | ニフクラの点検・監査の頻度について、基準が明確になっていますか。 | 富士通グループの社員一人一人の行動規範として定められた「The FUJITSU Way」に沿ってコンプライアンス遵守の取り組みを継続して推進しています。また、内部監査を実施するためのルールを策定しており、年に1回、ニフクラを含めた情報システムを対象に、内部監査を実施して予防・是正に取り組んでいます。 | |
| 4-40 | 富士通は反社会勢力とは無関係となっていますか。 | はい。 | |
| 4-41 | 利用契約終了後の処理 | ニフクラ解約の際、ユーザーデータが完全に消去されことを示すエビデンス(データ削除証明書など)として提示するサービスはありますか。 | サーバーやデータの削除証明書を提示するサービスはありません。 |
| 4-42 | ニフクラ解約後のデータ消去の実施有無/タイミング、保管媒体の破棄の実施有無/タイミング、およびデータ移行など、ユーザーに所有権のあるデータの消去方法を教えてください。 | ニフクラ利用契約が終了した後、富士通は、サービスの利用によりユーザーによってサーバーに格納されたデータの全てを消去します。消去方法については、非公開情報となります。 | |
| 4-43 | ニフクラ解約時、サーバー上にあるユーザーデータが完全な形でユーザーに返されるサービスはありますか。 | ニフクラ解約時に関わらず、ユーザーデータの管理・移行はユーザーにて実施する必要があります。 | |
| 4-44 | 一般データ保護規制 | ニフクラでは機密情報(個人情報も含む)の保護方針、運用ルールおよび体制を整備していますか。 | 富士通グループ規定に則り整備しています。 |
5.ニフクラサービス
| No | 項目 | 評価内容 | 回答内容 |
|---|---|---|---|
| 5-1 | ニフクラへのアクセス・運用管理 | ニフクラを利用する際の利用記録の保持期間と確認・提供方法はどうなっていますか。 | コントロールパネル上の操作については「アクティビティログ」機能として6カ月間保存しており、ユーザーにて確認することができます。なお、OS 上のログについてはニフクラでは保管していませんので、ユーザーにて対応を検討する必要があります。 |
| 5-2 | ニフクラのコントロールパネル利用に関して、どのようなアカウントの識別(ユーザID)、認証方式が利用可能ですか。 | ID管理:ニフクラID、マルチアカウントが利用可能です。 認証:パスワードによる認証の他、二要素認証による認証も可能です。 |
|
| 5-3 | ニフクラはサーバーの作成・削除・起動・停止等を簡易に可能なセルフサービス用のユーザーインターフェースを提供していますか。 また、サービス上のサーバーをグルーピングし、グループごとにユーザーインターフェースを利用可能な管理者を設定することはできますか。 |
セルフサービス用のユーザーインターフェースは提供しています。リソースをグルーピングし、グループごとで操作権限を変更できる機能は提供していません。 | |
| 5-4 | ニフクラのコントロールパネルのパスワードを定期的に変更することはできますか。 | 定期的に変更することは可能です。 | |
| 5-5 | ニフクラIDは脆弱なパスワードが設定されないよう、パスワードの設定ルールが適切に設定できますか。 | パスワードは、以下の形式で設定することができます。 ■使用可能な文字 【1】アルファベット:A~Z a~z 【2】数字:0~9 【3】記号:" # $ % & ' ( ) * + , - . / : ; < = < ? @ [ ¥ \ ] ^ _ ` { | } ~ ! |
|
| 5-6 | ニフクラIDは、ユーザー(管理者)もしくは富士通以外が登録、変更、削除を出来ないようになっていますか。 | はい。 | |
| 5-7 | ニフクラは第三者による不正アクセスを防止するためにIDとパスワードによるログイン認証を使用していますか。 | IDとパスワードによるログイン認証を使用しています。 | |
| 5-8 | ニフクラコントロールパネルを利用するユーザーアカウントの管理において、以下の事項を行う機能はありますか。
|
ニフクラでは、マルチアカウント機能を提供しています。マルチアカウント機能を利用し、管理画面を操作できるアカウントを複数発行することが可能です。 | |
| 5-9 | ニフクラコントロールパネルを利用するユーザーのアクセス権管理に関して、以下の事項を行う機能はありますか。
|
ニフクラでは、マルチアカウント機能を提供しています。 マルチアカウント機能を利用し、管理画面を操作できるアカウントを複数発行することが可能です。 マルチアカウント機能では、下記事項が実現可能です。
|
|
| 5-10 | ニフクラコントロールパネルにログインするユーザーアカウントのパスワード管理に関して、以下の事項を行う機能はありますか。
|
ニフクラコントロールパネルへログインする際には、ニフクラID 及び、パスワードが必要です。ニフクラID 及び、パスワードはユーザー自身で適切に管理してください。 パスワードの変更は契約管理メニューから行うことができます。 なお、ニフクラID にはワンタイムパスワード及び、ログインアラートの設定ができます。また、過去のログイン履歴を確認することができます 。 パスワード入力時にはパスワードが表示されないようにしています。また、セキュリティキーボードを利用することで、キーロガーへの対策を行えます。 |
|
| 5-11 | サーバー | ニフクラは、システム要件に合わせて、仮想マシンのスペックを選択できますか。 | 性能、コストパフォーマンスなどのニーズに応えられるよう多数のサーバータイプを用意しています。 |
| 5-12 | ニフクラ内システムデータ用ディスクはHDDまたはSSDを採用しており、アプリケーション用の仮想ディスクはSSDを選択することができますか。 | ディスクは、標準ディスク、高速ディスク、フラッシュディスクを準備しており、要件により選択可能です。 | |
| 5-13 | ニフクラ上のSQL Serverのライセンスを、コアライセンスまたはユーザライセンスより選択できますか。 | SQL Serverのライセンスは、コアライセンスでの提供となっています。 | |
| 5-14 | ニフクラは複数の仮想マシン、仮想ネットワークによる顧客専用の仮想データセンターを提供していますか。 | 利用者専用の仮想サーバーおよび仮想ネットワーク環境を提供することが可能です。(ただし物理環境は共有となります。) | |
| 5-15 | ニフクラは仮想マシンのリソース(CPU、メモリ、ディスク)セットの種別と追加可能なオプションリソース等を提供していますか。 | 提供してます。詳細は下記を確認してください。 | |
| 5-16 | ニフクラは仮想マシンにインストール可能なOSとバージョンを明記していますか。 | 提供してます。詳細は下記を確認してください。 | |
| 5-17 | ニフクラは仮想マシン1台に対するCPU数、ディスク容量及びネットワークインターフェースの上限はありますか。 | ニフクラが提供している最大スペックサーバーが下記のとおりです。 CPU数:28VCPU、256GBメモリ ディスク容量:28TB ネットワークインターフェース:8個(接続できるネットワークに制限があります。) |
|
| 5-18 | ニフクラにはデータを暗号化して保存する機能がありますか。 | ユーザーデータ、仮想サーバーのディスク暗号化機能は提供していません。 ローカルディスク、増設ディスクに関して、ストレージ筐体で暗号化を実施しているリージョン/ゾーンがあります。詳細は「ニフクラ ゾーン別機能対応表」を参考にしてください。 |
|
| 5-19 | バックアップ | ニフクラで提供しているバックアップサービスにデータの暗号化機能はありますか。 | バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)ではAES 暗号化アルゴリズムによるデータの暗号化は可能ですが、以下サービスは暗号化機能はありません。
|
| 5-20 | ネットワーク | ニフクラのリージョン間でのネットワークに関する特徴(パフォーマンス、品質等)を教えてください。 | ニフクラではプライベートブリッジによりリージョン間を接続して利用することが可能です。特徴は以下を参照してください。 |
| 5-21 | ニフクラでは通信を暗号化する機能を提供していますか。 | VPNサービス、SSL証明書等をオプション提供しています。VPNサービス | |
| 5-22 | 監視 | ニフクラが提供するリソース(PING結果/サーバステータス(停止)/CPU使用率/メモリ使用率/ディスク使用率)を監視し、予め設定した閾値を超過した場合はアラートメールなどを送付できるサービスは提供していますか。 | 基本監視機能で以下の監視ルールの設定が可能です。(5件まで)
|
| 5-23 | ソリューションサービス | ニフクラは遠隔地からのアプリケーションアクセス速度を向上させる機能を提供していますか。 | Fastly、CDNextを提供しています。 |
| 5-24 | ニフクラはネットワーク経由の攻撃、侵入を検知・遮断するサービスを提供していますか。 | WAF、サーバー向けクラウド型セキュリティ、ウイルス・スパイウエア対策、Web 改ざん検知、サーバー監視サービス等がございます。6.6. サードパーティのセキュリティ関連サービス | |
| 5-25 | メンテナンス・各種通知 | ニフクラサポート窓口ではOS運用・復旧支援サービスを提供していますか。 | OS以上のサポートサービスはユーザーにて別途用意するなどの検討をしてください。 Red Hat Enterprise Linux(サブスクリプション付き)のサポートについては当社が一次受けし、OSに関する内容についてはRed Hat社に問い合わせを行います。 またソリューションサービスとして以下のOSに関するサポートを提供しています。
|
| 5-26 | ニフクラサポート窓口では、クラウドサービスの提供に用いるアプリケーション、プラットフォーム、サーバ・ストレージ等(情報セキュリティ対策機器、通信機器等)に係る稼働停止、障害、パフォーマンス低下等について、速報をフォローアップする追加報告をユーザーに対して行っていますか。 | 「障害・お知らせ通知」機能にて【発生報】【復旧報】というかたちで報告していますが、定期的な経過報告については実施していません。 | |
| 5-27 | ニフクラは定期的な保守に関する事前連絡はありますか。(事前通知のタイミング/方法の記述を含む)。 | メンテナンスは原則無停止で実施しています。コントロールパネル・APIの計画停止の場合は、原則2週間前にメールにて通知されます。 | |
| 5-28 | ニフクラは定期的な保守のためにサービス全体または一部の停止することはありますか。また、一部停止時の場合、サーバーに対する影響はありますか。 | メンテナンスは原則無停止で実施していますが、コントロールパネル・APIは計画停止の場合があります。その場合、コントロールパネル・APIの操作はできなくなりますが、サーバーを含めサービス稼働には影響は発生しません。 | |
| 5-29 | PaaS | ニフクラはDockerまたはその互換機能を有したコンテナ稼働環境とその管理機能の提供していますか。 | Kubernetesによるコンテナ環境を提供しています。 |
| 5-30 | ニフクラは利用者が所有するドメインに対するDNS機能の提供と仮想マシンが名前解決するためのリゾルバ機能の提供をしているか。 | 権威サーバーの機能は提供しています。リゾルバ(参照)サーバーにつきましては、提供していません。 | |
| 5-31 | 市場に対しパッケージ製品またはオープンソースとして提供されているRDBMSおよびその互換DBの利用可否とその名称を教えてください。 | ニフクラRDBとしてMySQL / PostgreSQL / MariaDBを提供しています。 | |
| 5-32 | ニフクラは仮想マシンを用意せずにコードやアプリケーションを実行する機能を提供していますか。 | クラウド上にNode.js/Rubyで記述されたスクリプトを作成し、コントロールパネルやAPIからスクリプトの実行ができるスクリプトサービスを提供しています。 | |
| 5-33 | サポート | 障害発生時、また、通常時における対応窓口とサービス時間帯を教えてください。 | 障害・お知らせ通知は、ニフクラで障害が発生した際、経過や復旧情報などをメールにてご連絡するサービスとなります。また、メンテナンスなどのお知らせが発生した際も、同様にメールにてご連絡します。通常時のニフクラについてのお問い合わせは、電話またはメールフォームから受け付けています。ニフクラのお問い合わせ窓口のサポート範囲については、以下を参照ください。 |
| 5-34 | ニフクラサポート窓口は問い合わせに対する回答期限、問い合わせ内容による回答の優先度などを定めていますか。 | 問い合わせの初回応答目標時間は3日以内(※土日祝日・年末年始は除く)としています。 ニフクラで障害が発生している可能性がある場合は優先的に調査および回答します。 | |
| 5-35 | ニフクラは日本語によるサポートを提供していますか。 | ニフクラの窓口は日本語によるサポート窓口になります。 | |
| 5-36 | インポート | ニフクラはVMware vSphere®製品で構成されたオンプレミスの仮想基盤上の仮想マシンに対する移行手段を提供していますか。 | VMインポートによるOVF・VMDKファイルの持ち込みが可能です。(vMotionによる移行は不可となります。) |
| 5-37 | 性能・パフォーマンス | ニフクラで提供しているサーバーの1コア当たりのSPECInt値、または提供される仮想CPUの性能指標はありますか。 | 性能指標は公開しておらず、ベストエフォートでの提供となります。 |
| 5-38 | ニフクラで利用できるネットワークサービスに関する性能指標はありますか。(国内リージョン間ネットワーク平均遅延時間、国内リージョン内のゾーン間ネットワーク平均遅延時間など | 性能指標は公開しておらず、ベストエフォートでの提供となります。 | |
| 5-39 | ニフクラで提供しているストレージサービス(増設ディスク)ではIOPS値の指標はありますか。 | 性能指標は公開しておらず、ベストエフォートでの提供となります。 | |
| 5-40 | サービス利用実績 | ニフクラの利用実績件数を教えてください。 | 9,000件以上の実績を保有しています(2022年3月末時点)。 |
| 5-41 | ニフクラのサービス提供実績期間はどのくらいですか。 | ニフクラは2010年1月よりサービス提供しています。 | |
| 5-42 | ニフクラは遊技機・エンターテイメント系法人の利用実績はありますか。 | 利用実績はあり、導入事例も公開しています。 | |
| 5-43 | サービス基盤情報 | ニフクラを利用するにあたり、取得可能なログ情報はどのようなものがありますか。 | コントロールパネル上での操作ログであるアクティビティログを過去6カ月分確認することができます。また、毎月のログファイルを、全件CSV 形式でダウンロードできます。ファイアウォールのログは、ファイアウォールごとに直近1,000 件、又は 2 週間まで、拒否された通信のログを確認することができます。 2 週間経過すると、 1 日分ごとにログを削除します。ログの保存件数は、有償オプションとして 100,000 件に変更することができます。 |
| 5-44 | ニフクラはVMwareを基盤としたクラウドサービスですか。 | VMwareを基盤にしたクラウドサービスとなっています。 | |
| 5-45 | ニフクラが提供している日本国内及び海外のリージョン及びゾーン数を教えてください。また、それは自由に選択が可能ですか。 | 国内リージョン数:5 海外リージョン数:1 ※各リージョン内に複数のゾーンを保有 ※自由に選択可能ですが、リージョン/ゾーンごとに提供サービスに違いがある場合があります。 |
|
| 5-46 | 料金・課金体系 | ニフクラ利用料の支払いは日本円で且つ月額定額払いが可能ですか。 | 日本円での請求、支払い:可能です。月額定額払い:月額定額払いが可能です。 |
| 5-47 | ニフクラで作成したサーバー及びサーバーに接続されたネットワークとストレージの課金単位と課金条件を教えてください。 | 基本的には月額及び従量(時間単位)にて各種機能・サービスを提供しています。詳細は下記を確認してください。 | |
| 5-48 | ニフクラからインターネットまたは閉域接続されたオンプレミス環境等の外部へのネットワーク転送に対する課金は発生しますか。 | グローバルネットワーク(インターネット)の利用料金はIn/Outが毎月10TBまで無料となります。プライベートネットワークの利用料については転送料金は発生しません。 | |
| 5-49 | ニフクラのリージョン内またはリージョン間のネットワーク転送に対する課金は発生しますか。 | プライベートネットワーク(リージョン内)の利用料について転送料金は発生しません。閉域ネットワークを経由した通信についてのネットワーク転送料金は、プライベートブリッジサービス以外を利用する場合は、課金が発生します。(インターネットVPNを利用するサービスはインターネットを経由するため、ネットワーク転送課金が発生します。) | |
| 5-50 | マニュアル・FAQ | ニフクラサービスの利用方法や技術仕様について、ユーザーが自由に閲覧可能なマニュアル、資料などは提供していますか。 | マニュアル、ヘルプ、FAQを提供しています。 |
| 5-51 | ニフクラに関する技術情報の資料など、公開されているドキュメントは日本語に対応されていますか。 | ニフクラの基本技術仕様については公式HP及びセキュリティホワイトペーパーにて開示しています。ニフクラの活用方法においてはニフクラデザインパターンおよびSEハンドブックにて開示しています。これらの情報は、基本日本語にて提供します。 | |
| 5-52 | ニフクラを利用するユーザーがカスタマイズ(変更)できる事項/範囲/仕様等の条件や、その変更手順に必要な情報を明示しているか。 | サーバー・ストレージ・ネットワークのいずれも各種要件に応じられるよう、様々なスペックおよび機能を提供しています。 | |
| 5-53 | その他 | ニフクラを利用するにあたり、専用のアプリケーションを導入する必要はありますか。 | ニフクラのコントロールパネルの利用には対応ブラウザの導入が必要です。 |
| 5-54 | ニフクラを利用するにあたり、システム要件などはありますか。(オペレーションシステム、ブラウザ、通信ポート 等) | ニフクラのコントロールパネルの利用には対応ブラウザの導入が必要です。 | |
| 5-55 | ニフクラはサーバーをユーザーのオンプレミス環境との間で双方向に移動する機能は提供していますか。 | VMインポートによるOVF・VMDKファイルの持ち込みが可能です。(vMotionによる移行は不可)ニフクラから持ち出しを行うことはできません。 | |
| 5-56 | ニフクラはサーバーの操作(起動、停止等)を行うためにユーザーが作成したスクリプト等からの接続仕様(API、開発言語等)を提供していますか。 | API、コマンドラインツール、SDKを提供しています。詳細は以下を確認してください。 | |
| 5-57 | 富士通の経営は安定していますか。 | 富士通のコーポレートサイトを確認ください。 |
6.ファシリティ管理
ファシリティ管理の項目につきましては、北米リージョン(us-east-1)は、含まれませんのでご注意ください。
| No | 項目 | 評価内容 | 回答内容 | |
|---|---|---|---|---|
| 6-1 | 耐災害性 | 雷 | データセンター施設は直撃雷対策を施されていますか。 | 避雷針による対策を実施しています。 |
| 6-2 | データセンター施設は誘導雷対策を施されていますか。 | 避雷器による対策を実施しています。 | ||
| 6-3 | 地震 | データセンター施設は建物全体で免震構造もしくは制震構造になっていますか。 | 免震もしくは耐震構造となっております。 | |
| 6-4 | 水害 | データセンター施設は台風・高波・洪水などの水害に対し対処できる構造・設備を有していますか。 | 立地によって、必要に応じて対策を実施しています。 | |
| 6-5 | 建屋 | 拠点 | データセンター施設の所在地はどこですか。 | 所在地については、非公開情報です。 |
| 6-6 | 設備 | データセンター施設はデータセンター専用の建屋ですか。 | データセンター専用の建屋となっています。 | |
| 6-7 | データ取扱機器は、他社と独立した専用区画、専用室に設置されていますか。 | データ取扱機器は専用ラックにて管理されており、他社とは独立しております。 | ||
| 6-8 | 不意のラック同士の接触で倒れることを防止する対策が施されていますか。 | 対策が施されています。 | ||
| 6-9 | 床面の耐荷重は500kg/平方メートル以上ですか。 | 床面の耐荷重は500kg/平方メートル以上となります。 | ||
| 6-10 | 受発電 | データセンター施設の受電方法は冗長化されていますか。 | 受電方法は冗長化されています。 | |
| 6-11 | データセンター施設は非常用電源(自家発電機)を有していますか。 | 非常用電源(自家発電機)を有しています。 | ||
| 6-12 | 非常用発電設備は冗長化されていますか。 | 非常用発電設備は冗長化されています。 | ||
| 6-13 | 電源 | データセンター施設の電源は瞬停(サグ)、電圧降下(ブラウンアウト)、突入電流、サージ(過圧)等の電源トラブル対策を講じられていますか。 | 対策を講じています。 | |
| 6-14 | データセンター施設の電源は冗長構成を有していますか。 | 電源は冗長構成を有しています。 | ||
| 6-15 | 法定点検や工事等の際にも止まること無く電力供給可能ですか。 | 法定点検や工事等の際にも止まること無く電力供給が可能となります。 | ||
| 6-16 | データセンター施設には無停電電源装置(UPS)が設置されていますか。 | 無停電電源装置(UPS)を設置しています。 | ||
| 6-17 | 耐火災 | データセンター施設は自動消火設備が設置されていますか。 | 自動消火設備を設置しています。 | |
| 6-18 | 消火設備はガス系(窒素等)ですか。 | ガス系消火設備となります。 | ||
| 6-19 | データセンター施設は火災検知システムが設置されていますか。 | 火災報知設備を設置しています。 | ||
| 6-20 | 火災予兆検知システムは設置されていますか。 | 超高感度煙検知システムを設置しています。 | ||
| 6-21 | 火災検知・消火設備は集中監視していますか。 | 集中監視しています。 | ||
| 6-22 | 消火訓練は建築基準法・消防法基準で定められた期間のスケジュールで実施されていますか。 | 定められた期間のスケジュールで、実施しています。 | ||
| 6-23 | セキュリティ | データセンターの重要な物理的セキュリティ境界(カード制御による出入口、有人の受付等)に対し、個⼈認証システムを用いて、従業員及び出入りを許可された外部組織等に対する入退室記録を作成し、適切な期間保存していますか。 | 従業員及び出入りを許可された外部組織等に対する入退室記録を作成し、適切な期間保存しています。 | |
| 6-24 | 入退室管理システムは、バイオメトリックス認証システム等を採用していますか。 | 生体認証等を採用しております。 | ||
| 6-25 | データセンターの重要な物理的セキュリティ境界に対して監視カメラを設置し、その稼働時間と監視範囲を定めて監視を行うこと。 また、監視カメラの映像をあらかじめ定められた期間保存していますか。 |
監視カメラを設置し、稼働時間と監視範囲を定めて監視しており、映像をあらかじめ定められた期間保存しています。 | ||
| 6-26 | データセンターの重要な物理的セキュリティ境界からの入退室等を管理するためのルールを定めていますか。 | 管理ルールを適切に定めています。 | ||
| 6-27 | データセンターの重要な物理的セキュリティ境界に警備員を常駐させていますか。 | 警備員が常駐しています。 | ||
| 6-28 | ラックは施錠ができ、サービス利用者または許可されたものから申し出がない限り開錠できないよう管理されていますか。 | ラックは施錠ができ、サービス利用者または許可されたものから申し出がない限り開錠できないよう管理されています。 | ||
| 6-29 | データセンターは24時間365日、建物防災監視体制を有していますか。 | 24時間365日、建物防災監視体制を有しています。 | ||
| 6-30 | 建物の出入り口は、不特定多数の者が利用できないようになっていますか。 | 不特定多数の者が利用できないようになっています。 | ||
| 6-31 | 空調・熱量管理 | 空調設備は24時間365日で適切な稼働可能であり、停電時においても無停止で稼働継続可能ですか。 | 停電時においても無停止で稼働継続可能です。 | |
| 6-32 | 空調設備は集中監視されていますか。 | 空調設備は集中監視されています。 | ||
| 6-33 | 空調設備は冗長構成または自家発電装置によってされており保守作業・災害においても継続運転可能ですか。 | 保守作業・災害においても継続運転が可能です。 | ||
| 6-34 | 空調設備の空調機排水周りの水漏れ検知が可能ですか。 | 水漏れ検知が可能です。 |
クラウド利用者の責任範囲
7.クラウド利用者の責任範囲
| No | 項目 | 評価内容 | 回答内容 |
|---|---|---|---|
| 7-1 | ネットワーク | ユーザーが構築したサーバー間、ユーザーデータセンター間などの通信が暗号化されていますか。 | 通信を暗号化するためのサービスを提供しています。要件などを考慮し選択し利用してください。 |
| 7-2 | ニフクラ上で構築するシステムについて本番環境と開発環境の分離することは可能ですか。 | ニフクラではプライベートLANサービスを利用することで、共⽤ネットワークからL2レベルで隔離されたプライベートネットワークセグメントを利⽤することができます。 | |
| 7-3 | サーバー | ニフクラ上で稼働するサーバーのバージョンアップ/変更管理/パッチ管理の方針などはありますか。 | OS以上はユーザーの保守範囲となるため、ユーザーにてOS以上のアップデート等の対応が必要です。(ニフクラ基盤については富士通にて保守します。) |
| 7-4 | ニフクラが提供するサービスに使用されるサーバ等のOSには、セキュリティ修正プログラムの適用を適宜実施していますか。 | サーバー作成後のOS以上のセキュリティパッチ等の修正プログラム適用につきましては、ユーザー責任で行ってください。 | |
| 7-5 | ニフクラ上で構築するシステムでJOBスケジュールに従った運用を確実に行いたいが、JOB管理サービスなどは提供していますか。 | ニフクラではジョブ管理ミドルウェア(Systemwalker Operation Manager)を利用することで、定型バッチ業務/オンライン業務の自動化、業務の実行状況の監視、実績管理までを効率的に行うことができます | |
| 7-6 | バックアップ | ニフクラで提供しているサーバーの平均復旧時間(RTO)について、障害発生から修理完了までの平均時間はどのくらいですか。 | 物理サーバー障害時はvsphereHAによる自動フェイルオーバーが発生します。この時、仮想サーバの再起動まで5分間ほどの停止が発生します。OS以上の可用性設計はユーザーにて考慮が必要です。 |
| 7-7 | ユーザーは障害時等に備えて、ユーザーが必要なタイミング(随時、サービス終了時)でデータを取得できますか。 | ニフクラで提供しているバックアップサービスでは、ニフクラ以外へデータ転送可能な機能は有していませんが、ソリューションサービスのバックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)を利用しバックアップ保管先をニフクラ以外に指定することは可能です。 | |
| 7-8 | ユーザーは誤操作による上書き等によって、旧バージョンのデータが必要な場合に、簡単にデータを復旧することが可能ですか。また、何世代の履歴を持つことが可能ですか。 | ニフクラでは「ニフクラバックアップ」をはじめとする、パックアップ関連サービスを複数提供しています。ニフクラバックアップでは、最大10世代まで保存が可能です。 | |
| 7-9 | ユーザーが誤ってファイルを削除した場合に、簡単にデータを復旧することが可能ですか。 | ニフクラで提供しているバックアップサービスでは、OS内のファイル単位でのリストアに対応していません。ファイル単位でリストアしたい場合は、ソリューションサービスのバックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)の利用を検討ください。 | |
| 7-10 | ユーザーのサービスデータ、アプリケーションやサーバ・ストレージ等の管理情報及びシステム構成情報の定期的なバックアップを実施することはできますか。 |
|
|
| 7-11 | ニフクラはバックアップ内容(回数、復旧方法など) 、データ保管場所/ 形式、ユーザーのデータへのアクセス権など、ユーザーに所有権のあるデータの取扱方法がありますか。 | 以下のニフクラバックアップの比較表を確認してください。 | |
| 7-12 | ニフクラで取得したバックアップデータ保存保証期間はありますか。 | 以下のニフクラバックアップの比較表を確認してください。 | |
| 7-13 | ニフクラはデータをバックアップした媒体を保管する期限がありますか。 | 以下のニフクラバックアップの比較表を確認してください。 | |
| 7-14 | ユーザーが保持するデータ漏洩・破壊時の補償/保険の有無について確認させてください。 | 理由の如何を問わず一切の責任を負うものではありません。 | |
| 7-15 | DR | ユーザーが地域的災害発生時にサービス復旧ができますか。 | ニフクラでは、地域的災害に対応できるよう国内複数のデータセンター用意しており、それらは自由にユーザーが選択可能です。なお、データの同期や災害発生時のリストア等の構築や運用はユーザーにて自由に設計、構築することができます。 |
| 7-16 | ユーザーのサーバーが正常動作しないような障害発生時に、ユーザーへのサービス復旧4時間以内の保証が可能ですか。 | 障害発生時の復旧時間はベストエフォートでの対応となります。ユーザーのデータはユーザーにてバックアップ等の対策が必要です。 | |
| 7-17 | セキュリティ | ニフクラ上で構築されるシステムでは、パスワードが平文で保存されないよう対策を講じていますか。(暗号化、ハッシュ化) | ユーザーの責任範囲となります。 |
| 7-18 | パスワードの有効期限を定めていますか。(最長有効期限は90日とする)
|
ユーザーの責任範囲となります。 | |
| 7-19 | パスワードは直近の3世代(直近3回の変更時に使用したもの)は再利用不可とする機能を有していますか。
|
ユーザーの責任範囲となります。 | |
| 7-20 | 連続したログイン失敗時にログインを一時停止する機能を有していますか。
|
ユーザーの責任範囲となります。 | |
| 7-21 | ニフクラはセキュリティパッチの適用基準を明確にしていますか。 | OSパッチはユーザーにて適用する必要があります。 | |
| 7-22 | IPアドレスによる接続元制限を利用することが可能ですか。 | ファイアウォールの機能で可能です。 | |
| 7-23 | 権限のないユーザーがニフクラIDを利用できないようにしていますか。(ID/パスワードによる認証、クライアント証明書による認証 等) | ニフクラIDの登録、管理方法については以下を参照ください。 ニフクラを利用中のユーザーが、操作範囲に制限を持たせたアカウントを作成できるマルチアカウント機能も提供しています。 | |
| 7-24 | ニフクラコントロールパネルのサービス利用に対し、適切な認証・認可を設定していますか。(個人単位にIDを付与、機能の制限 等) | ニフクラIDの登録、管理方法については以下を参照ください。 ニフクラを利用中のユーザーが、操作範囲に制限を持たせたアカウントを作成できるマルチアカウント機能も提供しています。 | |
| 7-25 | ニフクラIDの追加や削除は、サービスユーザーの承認なく実施できない仕組みとなってていますか。(ユーザー管理機能の提供 など) | ニフクラIDの登録、管理方法については以下を参照ください。 ニフクラを利用中のユーザーが、操作範囲に制限を持たせたアカウントを作成できるマルチアカウント機能も提供しています。 | |
| 7-26 | ニフクラ認証・認可にIDとパスワードを用いている場合、適切なパスワード制御ができますか。(長さ、複雑性など) | ニフクラIDの登録、管理方法については以下を参照ください。 ニフクラを利用中のユーザーが、操作範囲に制限を持たせたアカウントを作成できるマルチアカウント機能も提供しています。 | |
| 7-27 | サーバー証明書等を使用して、第三者による偽装防止対策を実施していますか。 | ニフクラ基盤に関してはウイルス対策ソフトや不正アクセス検知装置、迷惑メールフィルタ等の技術的な対策を実装しています。また、最新のセキュリティ動向や対策等を反映した教育を定期的に実施しています。さらに、インシデント発生時には、報告するフロー等を定めています。ユーザーがニフクラを利用して構築したシステムについてはユーザーの責任範囲になります。 | |
| 7-28 | ファイアウォール・IDS(侵入検知システム)・IPS(侵入防止システム)の設置等、外部からの盗聴・不正アクセス対策等の攻撃に対する検知、防御等の対策を実施していますか。 | ニフクラ基盤に関しては、ウイルス対策ソフトや不正アクセス検知装置、迷惑メールフィルタ等の技術的な対策を実装しています。また、最新のセキュリティ動向や対策等を反映した教育を定期的に実施しています。さらに、インシデント発生時には、報告するフロー等を定めています。ユーザーがニフクラを利用して構築したシステムについてはユーザーの責任範囲になります。ユーザー責任の範囲につきましては、ファイアウォール、IDSの機能を提供しています。 | |
| 7-29 | 監視 | ログの取得について、ユーザーに提供可能なログの種類はどのようなものがありますか。(アクセスログ、操作ログ、エラーログ等) | ニフクラで取得可能なログは以下の通りです。
|
| 7-30 | ニフクラ上で構築されるシステムでは、アクセスログの取得が可能ですか。 | コントロールパネルのアクティビティログ、ニフクラファイアウォールの拒否ログについては、ユーザーにて取得可能です。ニフクラ上のシステムに関しては、ユーザーの責任範囲となります。 | |
| 7-31 | ニフクラでユーザーが構築したシステムに関して監視を実施していますか。 | ユーザーの責任範囲となります。 | |
| 7-32 | 移行 | ニフクラへ移行する際の、データの抽出方法について教えてください。また、実際の移行作業内容について教えてください。 | ユーザーの責任範囲となります。 |
| 7-33 | ユーザーがサービスの乗り換えや利用終了・サービス終了に伴い、データを移行できますか。 | 富士通はユーザーが作成したOS以上のデータの取り扱いには関知しておらず、またその持ち出し制限なども行っていません。ユーザー側で自由にデータ移行は可能です。 | |
| 7-34 | オンプレミス仮想環境からニフクラIaaS基盤への移行時にユーザー側で考慮するべきことはありますか。 | 移行についてはユーザーの責任範囲となります。 | |
| 7-35 | ニフクラはネットワークを介さず、大量のデータをオンプレミスからクラウドへ移行する手段がありますか。 | ディスク受取サービスを利用することで大容量のデータ移行にも対応可能です。 |
免責事項
- ・本ページは、富士通株式会社(以下、「富士通」といいます)が情報提供のみを目的として作成したものとなります。
- ・本ページの内容は、作成時点における富士通の見解を反映したものです。また、事前の予告なく変更されることがあります。
- ・富士通とニフクラのユーザーとの間の契約条件は、「ニフクラサービス利用規約」などに定めるとおりであり、本ページはその一部とはなりません。また、本ページの内容によって当該契約条件が変更されることもありません。
- ・本ページの内容の全部、または一部を無断転載することを禁じます。
- ・本ページに掲載されている会社名、製品名などは、それぞれ各社の商標、登録商標、製品名です。
