セキュリティチェックシート
お客様のセキュリティポリシーとクラウドサービスのセキュリティ対策との適合性を確認するチェックリスト作成時などで参考にしていただくことを⽬的として、ニフクラをご検討中のお客様から多くいただいたセキュリティ対策についての問い合わせをチェックシート形式でまとめました。
※ 本ドキュメントは、2022年9⽉時点の機能をもとに作成しています。ニフクラは継続的にエンハンスが⾏われるクラウドサービスであり、本ドキュメントの記載内容についても今後変更が発⽣する可能性があります。
クラウド事業者の責任範囲
1.クラウドサービス管理
| No | 項目 | 評価内容 | 回答内容 |
|---|---|---|---|
| 1-1 | ニフクラにおけるセキュリティの基本的な考え⽅ | セキュリティインシデント発生時の責任範囲が定められていますか。 | サービスの責任分界の考え方について以下に定めています。 |
| 1-2 | サービス運用体制 | ニフクラでは、利用者のデータにアクセスできる従業者が限定されていますか。 | ニフクラでは、ニフクラサービスを始めとした情報システムを利用する従業者を限定し、権限の設定を行っています。アカウント管理(発行、削除、棚卸し等)、パスワード管理、及び、これに関連するルールの策定を実施しています。さらに、情報システムにアクセスした各種ログを一定期間保存し、不正防止やインシデント発生を防止するなど、社内ルールに基づいた情報システムの操作、運用管理等をまとめた文書類の策定、保管、見直しを行っています。 |
| 1-3 | 富士通社内で扱う電子データの原本性が確保されていますか。 | 富士通では、ファイルのコピーや盗難等を防ぐために、保存先のアクセス制限やパスワードによる認証を実装しています。認可されていないデータのコピーや盗難等を防ぐために、情報資産を重要度に応じて分類し、ストレージや通信の暗号化も含めて適切に管理しています。 | |
| 1-4 | 富士通社内で使用する紙、磁気テープ、光メディア等の媒体の保管管理を適切に⾏っていますか。 | 社内ルールに基づいた情報システムの操作、運⽤管理等をまとめた⽂書類の策定、保管、⾒直しを⾏っています。また、マニュアル類のバックアップを取得しています。 | |
| 1-5 | ニフクラを利用しているユーザーのシステムにおいて、セキュリティインシデントが発生した場合、ニフクラ基盤側で出力される各種ログをユーザーに提供することはできますか。 | ログの提供は行っていません。 | |
| 1-6 | ニフクラ基盤では、不正侵入検知システムは常に最新の攻撃等に対応可能なように定義ファイルを更新していますか。 | 適切に実施しています。 | |
| 1-7 | ニフクラ基盤に対する脆弱性評価結果等のセキュリティ対策確認の結果を公開していますか。 | セキュリティ対策確認の結果を公開はしていませんが、ニフクラはコンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運用で使用する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。また、システム開発に際しては、仕様書に基づいた開発とテストを行い、標準化や自動化にも取り組んでいます。テスト工程では検証環境と稼働環境との整合性やウイルスチェック、脆弱性チェックなどの結果を検証し、問題がないことを確認しています。 | |
| 1-8 | 以下のような場合のデータ消去対応について教えてください。
|
ユーザー側でサーバ上のデータを削除します。サーバーを削除した場合は、ニフクラ側でデータの削除が実施されます。ニフクラを解約した場合は、サーバー(およびそのデータ)も削除されます。詳しくは下記をご参照ください。 サーバーやディスク・NAS・RDBに対する削除操作について、その操作が実行されたという証明書を発行できます。 ※「5.5.4. 利用契約終了後の措置」を参照。 | |
| 1-9 | ニフクラ基盤のシステム管理者は、どのような認証方式を採用していますか。 | 詳細は非公開となります。 | |
| 1-10 | 富士通ではWinny等ファイル共有ソフトの使用を禁止していますか。また、技術的な対策(専用対策ソフト等)を行っていますか。 | 富士通グループの規定に則り実施しています。 | |
| 1-11 | 富士通では業務上不要なソフトウェアのインストールを禁止していますか。また、技術的な制限(Administrator権限の管理、資産管理ソフトの導入等)を行っていますか。 | 富士通グループの規定に則り実施しています。 | |
| 1-12 | 富士通では情報セキュリティ管理の重要性について意識向上を図るための定期的な教育や訓練を実施していますか。 | 富士通社内で定期的に情報セキュリティに係る教育を受講しています。 | |
| 1-13 | 富士通ではインシデント対応管理体制の一環として、正式なフォレンジック手続を備えていますか。備えている場合、証拠の収集および保護が適切に実施されていますか。 | ニフクラでは、サービス提供に携わる要員に対して、スキルの把握を実施し、能力と責任に応じた育成を実施しています。情報システムにアクセスした各種ログを一定期間保存し、不正防止やインシデント発生を防止しています。 | |
| 1-14 | 富士通では機密情報が漏洩した場合の方針、ルール、社内体制および社外への報告体制を整備していますか。 | ニフクラでは、サービス提供に携わる要員に対して、スキルの把握を実施し、能力と責任に応じた育成を実施しています。その中には、順守すべきセキュリティルールや最新のセキュリティ動向/対策等を反映した教育等も含まれます。 | |
| 1-15 | ニフクラ基盤のバックアップデータはどのように保管していますか。 | 取得方法、保管場所は非公開となります。 | |
| 1-16 | 富士通は、ニフクラを管理運用するすべての要員(例:業者、再委託先等)管理の責任を負っていますか。 | 富士通は、要員管理の責任を負っております。 | |
| 1-17 | 富士通が所有する機密情報はサーバー内に暗号化して保存していますか。 | 富士通では、ファイルのコピーや盗難等を防ぐために、保存先のアクセス制限やパスワードによる認証を実装しています。認可されていないデータのコピーや盗難等を防ぐために、情報資産を重要度に応じて分類し、ストレージや通信の暗号化も含めて適切に管理しています。 | |
| 1-18 | 富士通では機密情報を入力する場合、通信路の暗号化を行っているか。また、サーバーの実在確認が実施していますか。 | 富士通では、ファイルのコピーや盗難等を防ぐために、保存先のアクセス制限やパスワードによる認証を実装しています。認可されていないデータのコピーや盗難等を防ぐために、情報資産を重要度に応じて分類し、ストレージや通信の暗号化も含めて適切に管理しています。 | |
| 1-19 | 富士通の社内情報システムへのアクセス状況を監視・記録し、定期的に点検や監査を実施していますか。(作業記録とアクセスログの突合せ 等) | 富士通では、情報システムにアクセスした各種ログを⼀定期間保存し、不正防⽌やインシデント発⽣を防⽌しています。社内ルールに基づいた情報システムの操作、運⽤管理等をまとめた⽂書類の策定、保管、⾒直しを⾏っています。 | |
| 1-20 | ニフクラ基盤に対しシステムメンテナンス等を設置施設外からリモートアクセスで行っている場合は、適切なセキュリティ対策を施していますか。 | ニフクラの運⽤管理時には、専⽤線接続もしくはVPN 接続による機密性を保持した通信を⾏っています。 | |
| 1-21 | 個人情報や会社情報の漏えいについて、社員や協力会社社員(パートナー)に、教育しているか。 | ニフクラでは、サービス提供に携わる要員に対して、スキルの把握を実施し、能力と責任に応じた育成を実施しています。その中には、順守すべきセキュリティルールや最新のセキュリティ動向/対策等を反映した教育等も含まれます。 | |
| 1-22 | 富士通の社員が使用する場合のSNSについて、会社として使用ルールを定め、運用していますか。 | 富士通グループの情報管理規定に則り、運用しています。 | |
| 1-23 | 富士通が社員へ貸与しているメールアドレスを社外(公共機関や自宅等)で使用する際の注意事項を、教育していますか。 | ニフクラでは、サービス提供に携わる要員に対して、スキルの把握を実施し、能力と責任に応じた育成を実施しています。その中には、順守すべきセキュリティルールや最新のセキュリティ動向/対策等を反映した教育等も含まれます。 | |
| 1-24 | クラウド基盤のハードウェア、ネットワーク装置はサービス提供事業者の責任で保守・監視・運用を実施していますか。 | ニフクラは、ニフクラサービスにおける各機器(物理サーバー、ネットワーク、ストレージ)、システムの性能・リソース・API などについて、監視を実施しています。ニフクラは、異常を迅速に検知・通知する監視機能を実装しています。 | |
| 1-25 | 日本国内のデータセンターで提供されるサービスであり、日本国内で運用され、国内法が適用されますか。また、所轄裁判所は東京地方裁判所となっていますか。 | 東日本/西日本/北米からデータセンターを選択可能です。ニフクラはニフクラ基本利⽤規約において、準拠法を⽇本法とし、専属的合意管轄裁判所を東京地⽅裁判所としています。 | |
| 1-26 | クラウドサービス提供事業者として、いかなる理由や目的であっても、ユーザーのデータが二次利用されることはありませんか。 | ユーザーがニフクラに保管したデータについても同様に各リージョンが置かれた地域の法令等の順守が求められ、ユーザー⾃⾝での管理が必要となります。ニフクラにおいては、ユーザーのデータは等しく情報として扱い、内容については検知していません。捜査当局や裁判所などの機関からの開⽰要求については、富士通において定められた⼿順により判断を⾏っています。 | |
| 1-27 | ニフクラ基盤への、以下の情報を含むアクセスログを取得し、一定期間(3ヶ月、6ヶ月等)保管していますか。
|
情報システムにアクセスした各種ログを一定期間保存し、不正防止やインシデント発生を防止しています。社内ルールに基づいた情報システムの操作、運用管理等をまとめた文書類の策定、保管、見直しを行っています。また、マニュアル類のバックアップを取得しています。 | |
| 1-28 | ニフクラ基盤や情報システムのアクセスログをユーザーの要請に応じて確認することはできますか。 | ニフクラ基盤や情報システムのアクセスログはユーザーへの開示はしていません。ただし、ニフクラコントロールパネルへのアクセスログ、ニフクラファイアウォールの拒否ログはニフクラコントロールパネルで確認することが可能です。 | |
| 1-29 | 富士通は、規程等の整備や従業員の教育を行っていますか。
|
ニフクラでは、サービス提供に携わる要員に対して、スキルの把握を実施し、能力と責任に応じた育成を実施しています。その中には、順守すべきセキュリティルールや最新のセキュリティ動向/対策等を反映した教育等も含まれます。 | |
| 1-30 | ニフクラ基盤に関して、システムレベル(OS、DBMS、JOB)の管理者用アカウントは、全て特定された上で、極めて限定された適切な要員にのみ付与されていますか。 | ニフクラサービスを始めとした情報システムを利用する従業者を限定し、権限の設定を行っています。アカウント管理(発行、削除、棚卸し等)、パスワード管理及び、これに関連するルールの策定を実施しています。 | |
| 1-31 | 富士通では、アカウントの不正な使用の有無を監視するために、どのような手段を講じていますか。 | 情報システムにアクセスした各種ログを⼀定期間保存し、不正防⽌やインシデント発⽣を防⽌しています。 | |
| 1-32 | 富士通では、不要な管理者用アカウントの有無、及び不適切なアクセス権限の有無を確認するために、どのような手段を講じていますか。(定期的なレビュー手続等) | ニフクラサービスを始めとした情報システムを利用する従業者を限定し、権限の設定を行っています。アカウント管理(発行、削除、棚卸し等)、パスワード管理及び、これに関連するルールの策定を実施しています。 | |
| 1-33 | ニフクラ基盤では、重要なデータ及びプログラムのバックアップを適時適切に取得するために、どのような手段を講じていますか。 | 富士通社内で定めた手順等に従ってファイル操作や管理を行っています。また、重要なデータについてはバックアップを取得し保管しています。ニフクラに保存したデータの保護についてはユーザーの責任範囲になります。 | |
| 1-34 | 富士通の社内情報システムにあるデータの直接修正を行う場合、適切な管理者が文書により承認を行っていますか。 | 社内で定めた手順等に従ってファイル操作や管理を行っています。 | |
| 1-35 | 情報セキュリティ監視(稼働監視、障害監視、パフォーマンス監視等)の実施基準・手順等を定めていますか。 また、ニフクラで用いるアプリケーション、プラットフォーム、サーバ、ストレージ、ネ ットワークの運用・管理に関する手順書を作成していますか。 | 手順を定め、適切に管理しています。 | |
| 1-36 | 富士通の社内情報システム管理者及びネットワーク管理者の権限の割当及び使用を制限していますか。 | ニフクラサービスを始めとした情報システムを利⽤する従業者を限定し、権限の設定を⾏っています。アカウント管理(発⾏、削除、棚卸し等)、パスワード管理及び、これに関連するルールの策定を実施しています。 | |
| 1-37 | ニフクラ基盤の運用者及び管理者(情報システム管理者、ネットワーク管理者等)等のアクセスを管理するための適切な認証方法、特定の場所及び装置からの接続を認証する方法等により、アクセス制御となりすまし対策を実施していますか。また、運用管理規定を作成しており、ID・パスワードを用いる場合は、その運⽤管理方法と、パスワードの有効期限を規定していますか。 | 富士通では、ファイルのコピーや盗難等を防ぐために、保存先のアクセス制限やパスワードによる認証を実装しています。認可されていないデータのコピーや盗難等を防ぐために、情報資産を重要度に応じて分類し、ストレージや通信の暗号化も含めて適切に管理しています。また、本社内で使⽤しているLAN 及び本社とDC と結ぶ回線は暗号化することで盗聴による漏洩防⽌策が実装されています。 | |
| 1-38 | 継続的な開発及び提供 | 富士通ではインターネットを使用した情報の持ち出しを禁止していますか。また、技術的な対策(URLフィルタリング、インターネット認証 等)を行っていますか。 | 富士通グループの規定に則り実施しています。 |
| 1-39 | クラウド基盤のアップデート等のメンテナンス作業とクラウド上で構築したシステムにおいて重要なイベントタイムと重複し、万が一Webサイトが停止してしまうと、ユーザーは甚大な影響を受けることになります。クラウド事業者またはコンテンツ事象者において、パッチの適用やファームウェアのアップデート等、Webサイトのサービスに影響を及ぼし得る全ての作業は事前にユーザーへ通知していますか。 | ニフクラ基盤はシステム構成を冗長構成としており、メンテナス作業においても原則無停止で実施可能です。またメンテナンスに際しは、事前にユーザー向けの情報として、メンテナンス情報を通知しています。 | |
| 1-40 | ニフクラでは被災やシステム障害を想定し、業務・サービスを継続するための方針、ルールおよび体制を整備していますか。 | 障害や事故、災害時に備えて責任者や役割、対応手順等をまとめたマニュアル類を策定しています。また、障害、事故、災害の事象や原因を記録し、根本原因を分析した結果を再発防止策に役立てています。定期的に事業継続訓練や防災訓練を実施しています。 | |
| 1-41 | ニフクラの基盤に関する脆弱性情報を入手する体制を整備されていますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運用で使用する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。インシデントが発生した場合は、定められた手順に従い、報告、調査、駆除、再発防止を実施しています。 | |
| 1-42 | ニフクラのシステム基盤に対してセキュリティパッチが提供された場合、システムへの影響を分析し緊急性が高いものについては速やかに対応する体制を整備していますか。 | ニフクラサービスなどの情報システムへの変更については、変更管理プロセスに則って変更作業を実施しています。また、定型的変更作業については、作業⼿順書を整備しています。機能変更時の品質を確保するために、変更機能に加えて既存機能のリグレッションテストを実施し、影響度の検証、障害の有無を検証しています。 | |
| 1-43 | ライフサイクル | ニフクラ基盤、および富士通が所有する機密情報が記載された媒体の廃棄などを廃棄する際は、物理的または論理的な方法でデータを復元できない対策を整備し、それに基づき実施していますか。 | システムの廃棄の際には、円滑、確実かつ安全に実施するため、運⽤及び、責任者の承認を得て不正防⽌、機密保護対策を含めた計画、⼿順を策定しています。 |
| 1-44 | ニフクラサービス運用に際し、富士通は再委託(再々委託も含む)を行っていますか。 | 再々委託は行っていません。 | |
| 1-45 | ニフクラサービス運用に際し、富士通が再委託を行なっている場合、再委託先の情報管理体制は富士通と同等となっていますか。 | 選定した外部委託先には、情報漏洩等を防ぐための安全管理処置の内容を義務づけた契約を締結しています。 | |
| 1-46 | ニフクラのシステム基盤(OS、ミドルウェア、パッケージソフト等)は、セキュリティパッチの配信が行われるもの使用していますか。 | ニフクラではシステムの導入に際しては、機能もしくは性能に関する評価を経た上で実施する体制を取っています。また、サポート契約、ベンダーとのリレーションシップ、バージョン管理を含むシステムの運用管理を実施しています。 | |
| 1-47 | ネットワーク管理 | コンピュータネットワークの適切かつ効率的な運用と、不正アクセス等の防止のため、どのような管理手順・体制を整備されていますか。 | ニフクラではユーザーリソースとサービス管理のための領域を、ネットワークを含め分離しています。リージョン内では、リソースプールを完全に独立したいくつかのまとまりに分割したゾーンという単位で提供することで、障害時の影響範囲を限定しています。また、それぞれのユーザーリソースも、ネットワークを含め分離する機能を提供しています。ユーザー環境のネットワーク環境は、ユーザーにて検討する必要があります。 |
| 1-48 | 第三者がクラウド事業者またはユーザーのサーバーになりすますこと(フィッシング等)を防止するため、サーバ証明書の取得等の必要な対策を実施していますか。 | ニフクラ基盤側環境における対策については非公開となります。ユーザー環境における対策はユーザーにて検討してください。 | |
| 1-49 | ニフクラで提供している全てのネットワーク関連サービスについて、情報セキュリティ特性、サービスレベル(特に、通信容量とトラヒック変動が重要)及び管理上の要求事項を明確にしていますか。 | グローバル側通信における帯域についてはユーザーが利用されるサーバータイプによって異なりますが、実際の速度についてはベストエフォートでの提供となります。 | |
| 1-50 | ニフクラ基盤では、不正侵入検知システム(IDSまたはIPSと呼ばれる装置)を用いて、不正アクセスを検出または防御する仕組みを講じていますか。 | 対策を講じています。 | |
| 1-51 | ニフクラによるユーザー情報資産の漏洩等リスクに対応するため、どのような人的管理策が取られていますか。 | ニフクラサービスを始めとした情報システムを利用する従業者を限定し、権限の設定を行っています。アカウント管理(発行、削除、棚卸し等)、パスワード管理及び、これに関連するルールの策定を実施しています。さらに、情報システムにアクセスした各種ログを一定期間保存し、不正防止やインシデント発生を防止しています。社内ルールに基づいた情報システムの操作、運用管理等をまとめた文書類の策定、保管、見直しを行っています。また、マニュアル類のバックアップを取得しています。 | |
| 1-52 | ニフクラは以下の脆弱性及びウイルス対策を行っていますか。
|
ニフクラは、ユーザーリソースについてデータ保護を実施し、厳重な管理を行っています。ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運用で使用する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。インシデントが発生した場合は、定められた手順に従い、報告、調査、駆除、再発防止を実施しています。ユーザーリソースへの完全性については、ユーザーにより適切な対策を行ってください。 | |
| 1-53 | ニフクラ基盤に対し、定期的に脆弱性診断を行っていますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運⽤で使⽤する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。頻度については非公開情報となります。 | |
| 1-54 | ニフクラ基盤で提供に用いるアプリケーション、プラットフォーム、サーバ・ストレージ等(情報セキュリティ対策機器、通信機器等)の時刻同期の方法を規定し、実施していますか。 | ニフクラは、ニフクラサービスにおける各機器(物理サーバー、ネットワーク、ストレージ)、システムの性能・リソース・API などについて、監視を実施しています。ニフクラは、異常を迅速に検知・通知する監視機能を実装しています。また、データセンターの死活監視を⾏い、複数のリージョン及び、ゾーンを運⽤することなどにより、サービスの継続性を維持する取り組みを⾏っています。 | |
| 1-55 | ニフクラ基盤で用いるプラットフォーム、サーバ・ストレージ、情報セキュリティ対策機器、通信機器についての技術的ぜい弱性に関する情報(OS、その他ソフトウェアのパッチ発行情報等)を定期的に収集し、随時パッチによる更新を行っていますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運⽤で使⽤する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。 | |
| 1-56 | ニフクラ基盤で用いるアプリケーション、プラットフォーム、サーバ・ストレージについて定期的にぜい弱性診断を行い、その結果に基づいて対策を行っていますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運⽤で使⽤する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。 | |
| 1-57 | ニフクラ基盤での、外部及び内部からの不正アクセスを防止する措置(ファイアウォール、リバースプロキシの導入等)を講じていますか。 | ニフクラのサービス管理のためのネットワークはユーザーのサービス利⽤のものとは分離しています。また、必要な通信のみを許可し、ウイルス対策ソフトや不正アクセス検知装置、迷惑メールフィルタ等の技術的な対策を実装しています。 | |
| 1-58 | ニフクラ基盤に関して、不正な通過パケットを自動的に発見、もしくは遮断する措置(IDS/IPS の導入等)を講じていますか。 | ニフクラのサービス管理のためのネットワークはユーザーのサービス利⽤のものとは分離しています。また、必要な通信のみを許可し、ウイルス対策ソフトや不正アクセス検知装置、迷惑メールフィルタ等の技術的な対策を実装しています。 | |
| 1-59 | 富士通社内での外部ネットワークを利用した情報交換において、情報を盗聴、改ざん、誤った経路での通信、破壊等から保護するため、通信の暗号化を行っていますか。 | 本社内で使用しているLAN及び本社とDCと結ぶ回線は暗号化することで盗聴による漏洩防止策が実装されています。 | |
| 1-60 | 監視 | ニフクラサービスの障害通知プロセスについて、障害発生時における連作プロセス(通知先/方法/経路)はどのようになっていますか。 | ニフクラの障害に関しては、事前に登録されたメールアドレスへ通知します。 |
| 1-61 | ニフクラサービスの障害通知時間について、異常が検出されてから、連絡先に通知するまでのリードタイムはどのくらいですか。 | ニフクラの障害に関しては、60分以内での通知を目標としています。 | |
| 1-62 | ニフクラサービスの障害監視間隔について、障害・インシデントを収集/集計する時間間隔はどのくらいですか。 | ニフクラに関しては、24/365で監視を行っています。監視の詳細ルールについては、原則非公開としています。(コンポーネント単位でさまざまな監視ルールを設定しています。) | |
| 1-63 | ニフクラサービス提供状況を報告する方法と、時間間隔について教えてください。 | 障害発生状況は以下にて案内しています。
|
|
| 1-64 | 富士通ではニフクラサービスを始めとした社内情報システムへの各種ログを保持していますか。 | 各種ログを一定期間保存しています。保存期間は非公開となります。 | |
| 1-65 | ニフクラ基盤に関してコンピューターウイルスを検知・駆除する仕組みを導入していますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運用で使用する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。インシデントが発生した場合は、定められた手順に従い、報告、調査、駆除、再発防止を実施しています。 | |
| 1-66 | ニフクラでインシデントが発生した場合の対応および管理体制を定め運用していますか。 | インシデントが発生した場合は、定められた手順に従い、報告、調査、駆除、再発防止を実施しています。ニフクラでは、サービス提供に携わる要員に対して、スキルの把握を実施し、能力と責任に応じた育成を実施しています。その中には、順守すべきセキュリティルールや最新のセキュリティ動向/対策等を反映した教育等も含まれます。また、ニフクラサービスを始めとした情報システムを利用する従業者を限定し、権限の設定を行っています。アカウント管理(発行、削除、棚卸し等)、パスワード管理及び、これに関連するルールの策定を実施しています。さらに、情報システムにアクセスした各種ログを一定期間保存し、不正防止やインシデント発生を防止しています。社内ルールに基づいた情報システムの操作、運用管理等をまとめた文書類の策定、保管、見直しを行っています。また、マニュアル類のバックアップを取得しています。 | |
| 1-67 | ニフクラ基盤はネットワーク配線経路の保護対策を講じていますか。 | 対策をしていますが、詳細方法については非公開情報となります。 | |
| 1-68 | 富士通社内で利用する端末にはウィルス対策ソフトを導入し、常に最新のパターンファイルを適用していますか。また、定期的に全件検索を行っていますか。 | 富士通グループの規定に則り実施しています。 | |
| 1-69 | 富士通では外部記憶媒体やスマートフォンを使用した情報の持ち出しを禁止していますか。また、対策(ポートの無効化、制御ソフトの導入 等)を行っていますか。 | 富士通グループの規定に則り実施しています。 | |
| 1-70 | ニフクラの稼動状況を監視・記録し、分析・改善を行っていますか。(死活監視、性能監視、障害監視 等) | ニフクラは、ニフクラサービスにおける各機器(物理サーバー、ネットワーク、ストレージ)、システムの性能・リソース・API などについて、監視を実施しています。ニフクラは、異常を迅速に検知・通知する監視機能を実装しています。 | |
| 1-71 | ニフクラにおける障害を、適時に発見するために、どのような(監視)手段を講じていますか。 | ニフクラは、何らかの異常が発生した場合に迅速に検知し、通知を行う監視の仕組みを有しています。また、障害時の影響範囲を限定させる機能を有しています。加えて、仮想マシンに障害が発生した場合に、自動的に復旧する機能を有しています。 | |
| 1-72 | ニフクラ基盤で用いるアプリケーション、プラットフォーム、サーバー・ストレージ、ネットワーク、情報セキ ュリティ対策機器、通信機器の稼働監視を実施していますか。また、 稼働停止を検知した場合は、ユーザーに速報を通知するサービスは提供していますか。 | ニフクラ基盤は適切に監視・運用を行っています。詳細方法については非公開情報となります。ユーザーへの通知時間(稼動停止検知後、ユーザーに通知するまでの時間)に関しては、ニフクラの障害情報、メンテナンス情報などはサービスアクティビティやメールを通じてお知らせします。通知時間は、当社が確認してから60分を目標としていますなお、「稼働停止」がユーザー操作による停止を指している場合、ニフクラ標準のサービスでは通知を行うことはありません。 | |
| 1-73 | ユーザーリソース利用状況の報告書を作成しユーザーへ定期的に報告するサービスは提供していますか。 | 報告書の作成、報告は行っていません。 | |
| 1-74 | ニフクラではユーザーの利用状況、例外処理及び情報セキュリティ事象の記録(ログ等)を取得していますか。また、その記録(ログ等)の保存期間を教えてください。 | ニフクラは、クラウド基盤のシステムの性能・リソース・API などについて、監視を実施していますが、取得しているログの種類や保存期間などは非公開情報となります。 | |
| 1-75 | インシデント管理 | ニフクラで使用しているデータベースシステムの種別やバージョン、セキュリティパッチの適用ポリシー、システム構成などについて、必要なセキュリティ対策を講じていますか。 | ニフクラで使用しているデータベースシステムの種類やバージョン、セキュリティパッチの適用ポリシーについては、非公開情報となります。しかしながらニフクラでは、本番システムのセキュリティを維持するため、複数段階の環境を整備しています。
|
| 1-76 | ニフクラ基盤でインシデントなどが確認された場合のクラウドサービス事業者の対応体制が明確になっていますか。 | ニフクラでは、ニフクラサービスに対する監視や、PCERT 等の外部機関からの情報提供に基づき、イベント管理を⾏っています。インシデントの発⽣時には、⼿順に基づき関係者への情報伝達を⾏い、対処にあたっています。また、ユーザーリソースに影響がある可能性があるインシデント、あるいはデータ侵害の可能性のあるインシデントの発⽣時には、メール等の⼿段により通知を⾏っています。通知はニフクラサービスにおけるサービス障害のほか、ユーザーが禁⽌事項に抵触した際の、ニフクラ側での対応結果も含まれます。 | |
| 1-77 | クラウド運用管理者の作業を記録・確認する機能はありますか。 | 運用管理者側の作業ログについてはニフクラにて保管しておりますが、ユーザーには公開していません。 | |
| 1-78 | 内部監査等の社内監査や第三者監査の実施状況および結果を開示していますか。 | 内部監査を実施するためのルールを策定しており、年に1回、ニフクラを含めた情報システムを対象に、内部監査を実施して予防・是正に取り組んでいます。 | |
| 1-79 | ニフクラではシステムリソースおよび能力所要量を適切に予測するために、どのような手続きおよび管理策が取られていますか。 | ニフクラは、システムの性能及び、キャパシティ管理のプロセスを定め、文書を策定し、それに基づいて実施しております。その中には監視対象、監視内容、監視方法が含まれ、管理表等のドキュメントを策定し、運用しています。また、監視から得られた情報や過去の動向などを基にして、コンピューティング資源の増強のためのプロセスを定め、監視により得られた情報などを基に随時増強を実施することで、ユーザーリソースのためのコンピューティング資源の枯渇を未然に防ぎ、ユーザーがオンデマンドでユーザーリソースを作成・管理できるように継続的に取り組んでいます。 | |
| 1-80 | 電子メールを使用した情報の持ち出しを禁止していますか。また、技術的な対策(添付ファイルの暗号化、外部送信制限 等)を行っていますか。 | 富士通グループの規定に則り実施しています。 | |
| 1-81 | 会社貸与及び個人所有のスマートフォンや携帯電話に対して、紛失や盗難時の漏えい対策を、会社として指示していますか。 | インシデントが発生した場合は、定められた手順に従い、報告、調査、再発防止を実施しています。 | |
| 1-82 | ニフクラではバックアップからのリカバリを確実に行えるようにするために、どのような手段を講じていますか。(定期的なテスト又は訓練等) | ニフクラは、障害発生時の回復についても手順を定めています。また、仮想マシンに障害が発生した場合に、自動的に復旧する機能を有しています。ユーザーがニフクラを利用して構築したシステムについてはユーザーの責任範囲になります。 | |
| 1-83 | ニフクラにおける事故及び障害を記録し、解決に至るまでを管理するために、どのような手段を講じていますか。 | ニフクラでは過去の障害情報を蓄積、分析することにより、障害の再発防止に継続的に努めています。また、データセンター及び本社では障害や事故、災害時に備えて責任者や役割、対応手順等を定めています。また、障害、事故、災害の事象や原因を記録し、根本原因を分析した結果を再発防止策に役立てています。定期的に事業継続訓練や防災訓練を実施しています。 | |
| 1-84 | 端末管理 | 富士通社内で使用する運用管理端末に関し以下について教えてください。
|
コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発/運⽤で使⽤する機器について、ウイルス対策、脆弱性チェックを含んだセキュリティ対策を実施しています。特に、悪意のあるコードを検知した場合の対応⼿順は明確化及び、ルール化しているため、これに従って報告、調査、駆除、再発防⽌を実施しています。さらに、本社のPC(社外持ち出しPC を含む)はハードディスクを暗号化しています。 |
| 1-85 | 富士通社内業務で使用するノートパソコン、外部記憶装置、機密情報が記載された紙データは、施錠可能な保管庫等で管理していますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発/運⽤で使⽤する機器について、ウイルス対策、脆弱性チェックを含んだセキュリティ対策を実施しています。特に、悪意のあるコードを検知した場合の対応⼿順は明確化及び、ルール化しているため、これに従って報告、調査、駆除、再発防⽌を実施しています。さらに、本社のPC(社外持ち出しPC を含む)はハードディスクを暗号化しています。 | |
| 1-86 | 富士通社内では、私物PCを使用した情報の持ち出しを禁止していますか。また、技術的な対策(Macアドレス制限等)を行っていますか。 | 富士通グループの規定に則り実施しています。 | |
| 1-87 | 供給者関係 | 富士通では外部委託先の選定基準、監査ルールおよび体制を整備していますか。 | 富士通グループ規定に則り整備しています。 |
| 1-88 | 顧客データ取扱記録保管 | ニフクラ運用者によるユーザーの機密情報の取得、入力、閲覧、複製、削除等の作業は発生しますか。 | ユーザーとの契約に関する情報など特に重要なデータについては、ニフクラを構成するシステム内に保持していません。ユーザーリソースへの機密性については、ユーザーにより適切な対策を⾏ってください。 |
| 1-89 | ユーザーの機密情報はセキュリティ対策を講じた場所に保管しているか。 | ニフクラサービス及び、それを構成する機器等からデータの漏洩が⽣じないように防⽌策が講じられています。サービスインターフェースに対しては不正アクセス等の対策を実施しています。 | |
| 1-90 | セキュリティ対策 | ニフクラコントロールパネルでは、パスワードが平文で保存されないよう対策を講じていますか。(暗号化、ハッシュ化) | 適切に運用・管理を行っています。対応方式などの詳細については非公開情報となります。 |
2.クラウドサービス構成
| No | 項目 | 評価内容 | 回答内容 |
|---|---|---|---|
| 2-1 | 機密性 | ニフクラ基盤の機密性について教えてください。 | ユーザーとの契約に関する情報など特に重要なデータについては、ニフクラを構成するシステム内に保持していません。ユーザーリソースへの機密性については、ユーザーにより適切な対策を⾏ってください。 ユーザーの、サービス利⽤中のユーザーリソースの削除、もしくはサービス利⽤解除の際には、ニフクラサービス及び、それを構成する機器等からデータの漏洩が⽣じないように防⽌策が講じられています。 サービスインターフェースに対しては不正アクセス等の対策を実施しています。 |
| 2-2 | 記録媒体を内蔵した装置の廃棄、再利用を行う際には、物理的な破壊や高度なデータ消去作業の実施など、どのような情報漏えい防止策を実施していますか。 |
|
|
| 2-3 | ユーザーのリソースが他ユーザーと論理的に分離・隔離されていない場合、他ユーザーからのアクセスが成立し、情報資産の侵害を受けることが考えらます。それを避けるためにニフクラでは論理的な分離・隔離を行っていますか。 | ニフクラではユーザーのリソースとサービス管理のための領域を、ネットワークを含め分離しています。リージョン内では、リソースプールを完全に独立したいくつかのまとまりに分割し、ゾーンとして提供することで障害時の影響範囲を限定しています。また、それぞれの利用者のリソースも、ネットワークを含め分離する機能を提供しています。 ニフクラ基盤の共用ネットワークは、ファイアウォールによるマイクロセグメンテーションを実装しており、マルチテナント間の機密性を確保が可能です。 |
|
| 2-4 | ニフクラ基盤に対するセキュリティ修正プログラムを適用する場合の判断基準および適用期限を定めていますか。 | 事業者責任側で、データセンター内の機器について修正プログラム等を適用させる場合は、定められた手順で行っております。詳細な内容については、非公開となります。 | |
| 2-5 | データの機密性・完全性を確保するためのセキュリティ対策として、ニフクラはどのような対策を行っていますか。 |
|
|
| 2-6 | ニフクラ基盤のハイパーバイザーへのアクセスは制限されていますか。制限されている場合、具体的な対策・方式を教えてください。 | ハイパーバイザーへのアクセスは制限されています。その方式については非公開です。 | |
| 2-7 | ニフクラでは情報漏えい対策の実施に関して規定されていますか。 | ユーザーとの契約に関する情報など特に重要なデータについては、ニフクラを構成するシステム内に保持していません。ユーザーリソースへの機密性については、ユーザーにより適切な対策を⾏ってください。 ユーザーの、サービス利⽤中のユーザーリソースの削除、もしくはサービス利⽤解除の際には、ニフクラサービス及び、それを構成する機器等からデータの漏洩が⽣じないように防⽌策が講じられています。 サービスインターフェースに対しては不正アクセス等の対策を実施しています。 |
|
| 2-8 | ニフクラは個人データの保護対策を実施していますか。 | ユーザーとの契約に関する情報など特に重要なデータについては、ニフクラを構成するシステム内に保持していません。ユーザーリソースへの機密性については、ユーザーにより適切な対策を⾏ってください。 | |
| 2-9 | ニフクラへの不正アクセス等の異常な通信の監視や遮断を行っていますか。(IDSやIPSを設置 等) | ニフクラでは必要な通信のみを許可し、ウイルス対策ソフトや不正アクセス検知装置、迷惑メールフィルタ等の技術的な対策を実装しています。 | |
| 2-10 | ニフクラへのDoS攻撃対策を実施していますか。(DoS対策製品を設置 等) | ニフクラでは必要な通信のみを許可し、ウイルス対策ソフトや不正アクセス検知装置、迷惑メールフィルタ等の技術的な対策を実装しています。 | |
| 2-11 | 完全性 | ニフクラ基盤の完全性について教えてください。 | ニフクラは、ユーザーリソースについてデータ保護を実施し、厳重な管理を⾏っています。ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運⽤で使⽤する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。インシデントが発⽣した場合は、定められた⼿順に従い、報告、調査、駆除、再発防⽌を実施しています。 ユーザーリソースへの完全性については、ユーザーにより適切な対策を⾏ってください。 |
| 2-12 | ニフクラは、定期的に脆弱性診断を実施していますか。 | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運⽤で使⽤する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。 | |
| 2-13 | ニフクラ基盤の物理的な損傷・盗難・妨害を避けるために、許可されていない物理的なアクセスを制限する仕組みを導入していますか。 | 認可されていない物理的なアクセスは制限します。 | |
| 2-14 | ニフクラ基盤に対しサイバー攻撃が行われていないことを定期的に点検していますか。(認証ログや操作履歴の確認 等) | ニフクラは、コンピュータウイルス等の不正プログラムによる被害を防ぐため、開発及び、運⽤で使⽤する機器について、ウイルスチェック・脆弱性チェックなどのセキュリティ対策を実施しています。インシデントが発⽣した場合は、定められた⼿順に従い、報告、調査、駆除、再発防⽌を実施しています。 | |
| 2-15 | 可用性 | ニフクラでは、災害発生時に備えてどのような対策を実施していますか。 | ニフクラは、障害が発生した場合に、ユーザーリソースを自動的に復旧する機能を有しています。 また、その他障害発生時の回復についても手順を定めています。ユーザーリソースのOS 、アプリケーション、データについてはユーザーにより適切な監視及び、インシデント管理を行ってください。データセンター、及び、本社では事故・災害時に備えて責任者や役割、対応手順等をまとめたマニュアル類を策定しています。また、大規模な事故・災害を想定した訓練も実施しています。 |
| 2-16 | システムの可用性、信頼性を確保するための対策を実施していますか。 | ニフクラではユーザーリソースとサービス管理のための領域を、ネットワークを含め分離しています。リージョン内では、リソースプールを完全に独立したいくつかのまとまりに分割し、ゾーンとして提供することで障害時の影響範囲を限定しています。また、それぞれのユーザーリソースも、ネットワークを含め分離する機能を提供しています。 ニフクラは、障害が発生した場合に、ユーザーリソースを自動的に復旧する機能を有しています。また、その他障害発生時の回復についても手順を定めています。 |
|
| 2-17 | マルチテナント環境の場合、他社・他組織のユーザーからサーバーやストレージにアクセスできないようになっていますか。 | ニフクラではユーザーリソースとサービス管理のための領域を、ネットワークを含め分離しています。また、それぞれのユーザーリソースも、ネットワークを含め分離する機能を提供しています。共通グローバルネットワーク、共通プライベートネットワークを経由した通信など他のユーザーからアクセス可能になり、アクセス制御についてはユーザー責任となります。ネットワークを含め分離する機能を用いて適切なアクセス制御を行ってください。ニフクラのファイアウォールやプライベートLAN等が利用できます。 | |
| 2-18 | ニフクラのシステム基盤に関して、アクセス可能なネットワーク通信を限定していますか。(ファイアウォールを設置、アプリケーションファイアウォール 等) | ニフクラでは目的ごとにネットワーク領域を分離し、運用しています。ネットワークセキュリティ方針に従い、ネットワークの設定は物理と仮想において整合性を保っています。ニフクラのサービス管理のためのネットワークはユーザーのサービス利用のものとは分離しています。 | |
| 2-19 | サービス運用体制 | ニフクラの点検・監査の観点、方法が明確になっていますか。 | 敷地内への不法侵入、破壊行為などの人為的災害については、柵、フェンス、監視カメラなど複数の手段によって侵入防止と監視を実施しています。サーバールームは独立した無窓の部屋であり、外部からの容易な侵入ができないようになっています。また、ニフクラとの関連が識別可能な表示は行っていません。回線設備は専用の設備にあり、専用の錠によって施錠されています。 データセンター及び、本社では、入退館、指定エリアへの入退室が可能な従業者を限定しており、厳格な本人認証の上、持ち込み品の制限、記録の取得などの入退室管理を行っています。 |
| 2-20 | - | ニフクラのネットワークの脆弱性について定期的に確認をしていますか。 | 行っていますが、頻度や具体的な日時につきましては、非公開情報となります。 |
3.ニフクラ管理
| No | 項目 | 評価内容 | 回答内容 |
|---|---|---|---|
| 3-1 | サービス運用体制 | ニフクラでは重要なデータ及びプログラムのバックアップを適時適切に取得するために、どのような手段を講じていますか。 | 社内で定めた手順等に従ってファイル操作や管理を行っています。また、重要なデータについてはバックアップを取得し保管しています。ニフクラに保存したデータの保護についてはお客様の責任範囲になります。 |
| 3-2 | 継続的な開発及び提供 | ニフクラ基盤更新に伴うニフクラ上で稼働中のサーバーの移行に際して、ユーザーが行う移行作業などは発生しますか。また、その場合の費用負担はどうなりますか。(事業者負担またはユーザー負担等) | 物理基盤及びハイパーバイザーのアップグレードは原則無停止かつ富士通にて実施します。(ユーザー業務および費用は発生しません。) |
| 3-3 | 供給者関係 | ニフクラがサービス提供にあたり、第三者の提供するサービスや業務委託を利用していますか。 | システムの開発や運用等で外部委託を行う場合は、事前に目的や範囲等を明確にしています。また、外部委託先の選定に際しては手続きを明確にし、委託業者を客観的に評価しています。委託業者の決定にあたっては、責任者の承認を得て行うのはもちろん、安全性確保のため、機密保護、安全運行等に関する項目を盛り込んだ委託契約を締結しています。 システムの開発や運用等で外部委託先を選定する場合、目的や要求事項、業務範囲等をまとめたプロセスを明確にしています。取り扱う情報や委託業務等を考慮し、外部委託先の選定を行っています。また、作業拠点の情報セキュリティ監査を実施しています。選定した外部委託先には、情報漏洩等を防ぐための安全管理処置の内容を義務づけた契約を締結しています。 |
| 3-4 | インシデント管理(過去障害) | ニフクラで過去に発生した大規模な事故内容及び類似事故の発生頻度を公開していますか。 | 「サービスアクティビティ」機能で、過去6カ月までの障害やメンテナンス情報を掲載しています。 |
4.規約・法制度など
| No | 項目 | 評価内容 | 回答内容 |
|---|---|---|---|
| 4-1 | 規約・SLA/SLO | 富士通の全従業員に対し、情報セキュリティ等の教育を定期的に行っていますか。 | 富士通グループ規定に則り整備しています。 |
| 4-2 | 富士通は定期的に認証・認可の点検を行っていますか。(人事データと連動、都度及び定期的にIDを棚卸 等) | 富士通グループの規定に則り実施しています。 | |
| 4-3 | 富士通は機密情報の自己点検、監査ルールおよび体制を整備していますか。 | 富士通グループ規定に則り整備しています。 | |
| 4-4 | ユーザーは、サービス提供事業者と秘密保持契約の締結を行うことができますか。または、契約書、利用規約、覚書、合意書等(以下、契約等という)に秘密保持の条項が盛り込まれていますか。 | 秘密保持契約の締結は可能です。契約関係に応じ、適宜締結します。 | |
| 4-5 | ニフクラ上で個人情報を取り扱う場合は、個人情報の安全管理措置等を記載した覚書等の締結を行うことができますか。または、契約書、利用規約、覚書、合意書等(以下、契約等という)に個人情報の安全管理措置等の条項が盛り込まれていますか。 | ニフクラはニフクラ基本利用規約において、準拠法を日本法とし、専属的合意管轄裁判所を東京地方裁判所としています。電気通信事業法、個人情報保護法、不正アクセス禁止法等の情報セキュリティに関する法令、規範及びガイドラインを順守し運営しています。 また、ニフクラは各リージョンが置かれた各種法令を順守し運営しています。お客様がニフクラに保管したデータについても同様に各リージョンが置かれた地域の法令等の順守が求められ、ユーザー自身での管理が必要となります。 |
|
| 4-6 | オプトアウト(個人データの第三者提供)によって、個人情報保護委員会に届出を提出したことがありますか。 | 非公開情報となります。 | |
| 4-7 | 個人情報を第三者に提供する場合、及び提供される場合、提供に関する情報を記録し、その記録を保管していますか。 | 非公開情報となります。 | |
| 4-8 | 法制度 | 法令や規則で定められている「保護が必要な記録」について、どのように保護されていますか。 | ニフクラはニフクラ基本利⽤規約において、準拠法を日本法とし、専属的合意管轄裁判所を東京地方裁判所としています。電気通信事業法、個人情報保護法、不正アクセス禁止法等の情報セキュリティに関する法令、規範及びガイドラインを順守し運営しています。 また、ニフクラは各リージョンが置かれた各種法令を順守し運営しています。お客様がニフクラに保管したデータについても同様に各リージョンが置かれた地域の法令等の順守が求められ、ユーザー自身での管理が必要となります。 ニフクラにおいては、ユーザーのデータは等しく情報として扱い、内容については検知していません。捜査当局や裁判所などの機関からの開示要求については、富士通において定められた手順により判断を行っております。 ニフクラでは、ユーザー自身の操作によるものを除き、ユーザーのデータを他のリージョンへ移転していません。また、ニフクラは処理者として GDPR に準拠するため、管理者または処理者に代わり行った顧客データの取扱い記録を保管します。 |
| 4-9 | セキュリティに関するインシデントが発生した場合の法的な準備状況はどうなっていますか。 | ニフクラは各リージョンが置かれた各種法令を順守し運営しています。お客様がニフクラに保管したデータについても同様に、各リージョンが置かれた地域の法令等の順守が求められ、ユーザー自身での管理が必要となります。 ニフクラにおいては、ユーザーのデータは等しく情報として扱い、内容については検知していません。 捜査当局や裁判所などの機関からの開示要求については、富士通において定められた手順により判断を行っています。 |
|
| 4-10 | 個人情報は関連する法令に基づいて適切に取り扱っていますか。 | ニフクラは個⼈情報保護法、GDPR、不正アクセス禁⽌法等の情報セキュリティに関する法令、規範及びガイドラインを順守し運営しています。 | |
| 4-11 | 富士通で保有する個人情報を特定し、定義していますか。 | 定義しています。 | |
| 4-12 | 富士通で定義している個人情報の中に、個人識別符号は含まれていますか。 | 非公開情報となります。 | |
| 4-13 | ユーザーが預託している情報について、個人情報の取り扱いはどうなっていますか。 | 当社は契約者の個人情報と契約者が収集した個人情報を含む可能性のあるデータを以下のように扱います。
|
|
| 4-14 | コンプライアンス | ニフクラが取得している第三者認証や、コンプライアンス体制を含めた組織体制はどうなっていますか? | ニフクラの情報セキュリティマネジメント体制を客観的に評価していただくために、取得又は受領している第三者認証は以下の通りです。
ISMS (情報セキュリティマネジメントシステム)に基づいて、内部監査を実施するためのルールを策定しています。また、年に 1 回、ニフクラを含めた情報システムを対象に、内部監査を実施して予防・是正に取り組んでいます。 以下も併せて参照してください。 |
| 4-15 | ニフクラでは立入監査・立入調査に関する体制(海外にデータやデータ保管場所があるまたはその可能性がある場合も考慮する)に関し、以下について教えてください。
|
ニフクラでは、直接の監査要求は受け入れていません。ユーザーが監査を受ける際に、ニフクラからの情報提供が必要な場合は、あらかじめ個別に相談してください。 | |
| 4-16 | ニフクラはプライバシーマークの認定を取得していますか。取得していない場合、取得の予定はありますか。 | 取得していません。取得の予定はありません。 | |
| 4-17 | 富士通のセキュリティに関連するポリシー、基準、手順、および遵守義務についてのレビューおよび評価が実施されていますか。 | 富⼠通グループとして、情報セキュリティマネジメントを適切に⾏うために必要なセキュリティポリシーを公開しています。 | |
| 4-18 | 富士通は誓約書等により、全従業員(正規社員、契約社員、アルバイトなど)との間で、機密保持および安全管理に関する契約を締結しており、退職した後も有効となっていますか。 | 富士通グループ規定に則り整備しています。 | |
| 4-19 | 富士通の就業規則等に、機密保持および安全管理に違反した場合の懲戒処分を明記していますか。 | 富士通グループ規定に則り整備しています。 | |
| 4-20 | 富士通は、就業規則(または同等のもの)や懲戒処分について、会社として定めていますか。 | 会社として、就業規則(または同等のもの)や懲戒処分について定めています。 | |
| 4-21 | 富士通は、全従業員とNDA(秘密保持契約)を結んでいますか。 | 全従業員とNDA(秘密保持契約)を結んでいます。 | |
| 4-22 | ユーザーが指名する監査人による情報セキュリティ監査を実施できますか。 | ニフクラでは、直接の監査要求は受け⼊れていません。ユーザーが監査を受ける際に、ニフクラからの情報提供が必要な場合は、あらかじめ個別に相談してください。 | |
| 4-23 | ニフクラは第三者によるシステム監査や情報セキュリティ監査を定期的に受けていますか。 | はい。 | |
| 4-24 | ニフクラは第三者によるシステム監査結果や情報セキュリティ監査結果は通知されていますか。 | はい。 | |
| 4-25 | ニフクラの点検・監査の頻度について、基準が明確になっていますか。 | 富士通グループの社員一人一人の行動規範として定められた「The FUJITSU Way」に沿ってコンプライアンス遵守の取り組みを継続して推進しています。また、内部監査を実施するためのルールを策定しており、年に1回、ニフクラを含めた情報システムを対象に、内部監査を実施して予防・是正に取り組んでいます。 | |
| 4-26 | 富士通は反社会勢力とは無関係となっていますか。 | はい。 | |
| 4-27 | 利用契約終了後の処理 | ニフクラ解約後のデータ消去の実施有無/タイミング、保管媒体の破棄の実施有無/タイミング、およびデータ移行など、ユーザーに所有権のあるデータの消去方法を教えてください。 | ニフクラ利用契約が終了した後、富士通は、サービスの利用によりユーザーによってサーバーに格納されたデータの全てを消去します。消去方法については、非公開情報となります。 |
| 4-28 | ニフクラ解約時、サーバー上にあるユーザーデータが完全な形でユーザーに返されるサービスはありますか。 | ニフクラ解約時に関わらず、ユーザーデータの管理・移行はユーザーにて実施する必要があります。 | |
| 4-29 | 一般データ保護規制 | ニフクラでは機密情報(個人情報も含む)の保護方針、運用ルールおよび体制を整備していますか。 | 富士通グループ規定に則り整備しています。 |
5.ニフクラサービス
| No | 項目 | 評価内容 | 回答内容 |
|---|---|---|---|
| 5-1 | ニフクラへのアクセス・運用管理 | ニフクラを利用する際の利用記録の保持期間と確認・提供方法はどうなっていますか。 | コントロールパネル上の操作については「アクティビティログ」機能として6カ月間保存しており、ユーザーにて確認することができます。なお、OS 上のログについてはニフクラでは保管していませんので、ユーザーにて対応を検討する必要があります。 |
| 5-2 | ニフクラIDは、ユーザー(管理者)もしくは富士通以外が登録、変更、削除を出来ないようになっていますか。 | はい。 | |
| 5-3 | サポート | ニフクラは日本語によるサポートを提供していますか。 | ニフクラの窓口は日本語によるサポート窓口になります。 |
| 5-4 | 性能・パフォーマンス | ニフクラで提供しているサーバーの1コア当たりのSPECInt値、または提供される仮想CPUの性能指標はありますか。 | 性能指標は公開しておらず、ベストエフォートでの提供となります。 |
| 5-5 | ニフクラで利用できるネットワークサービスに関する性能指標はありますか。(国内リージョン間ネットワーク平均遅延時間、国内リージョン内のゾーン間ネットワーク平均遅延時間など | 性能指標は公開しておらず、ベストエフォートでの提供となります。 | |
| 5-6 | ニフクラで提供しているストレージサービス(増設ディスク)ではIOPS値の指標はありますか。 | 性能指標は公開しておらず、ベストエフォートでの提供となります。 | |
| 5-7 | サービス利用実績 | ニフクラの利用実績件数を教えてください。 | 9,000件以上の実績を保有しています(2022年3月末時点)。 |
| 5-8 | ニフクラのサービス提供実績期間はどのくらいですか。 | ニフクラは2010年1月よりサービス提供しています。 | |
| 5-9 | ニフクラは遊技機・エンターテイメント系法人の利用実績はありますか。 | 利用実績はあり、導入事例も公開しています。 | |
| 5-10 | マニュアル・FAQ | ニフクラサービスの利用方法や技術仕様について、ユーザーが自由に閲覧可能なマニュアル、資料などは提供していますか。 | 技術仕様、操作ガイド、ユーザーガイドについてはホームページ及びFAQで提供しています。 |
| 5-11 | ニフクラに関する技術情報の資料など、公開されているドキュメントは日本語に対応されていますか。 | 技術仕様、操作ガイド、ユーザーガイドについてはホームページ及びセキュリティホワイトペーパーにて開示しています。 活用方法においてはクラウドデザインパターンにて開示しています。 これらの情報は、基本日本語にて提供します。 |
|
| 5-12 | その他 | 富士通の経営は安定していますか。 | 富士通のコーポレートサイトを確認ください。 |
6.ファシリティ管理
ファシリティ管理の項目につきましては、北米リージョン(us-east-1)は、含まれませんのでご注意ください。
| No | 項目 | 評価内容 | 回答内容 | |
|---|---|---|---|---|
| 6-1 | 耐災害性 | 雷 | データセンター施設は直撃雷対策を施されていますか。 | 避雷針による対策を実施しています。 |
| 6-2 | データセンター施設は誘導雷対策を施されていますか。 | 避雷器による対策を実施しています。 | ||
| 6-3 | 地震 | データセンター施設は建物全体で免震構造もしくは制震構造になっていますか。 | 免震もしくは耐震構造となっております。 | |
| 6-4 | 水害 | データセンター施設は台風・高波・洪水などの水害に対し対処できる構造・設備を有していますか。 | 立地によって、必要に応じて対策を実施しています。 | |
| 6-5 | 建屋 | 拠点 | データセンター施設の所在地はどこですか。 | 所在地については、非公開情報です。 |
| 6-6 | 設備 | データセンター施設はデータセンター専用の建屋ですか。 | データセンター専用の建屋となっています。 | |
| 6-7 | データ取扱機器は、他社と独立した専用区画、専用室に設置されていますか。 | データ取扱機器は専用ラックにて管理されており、他社とは独立しております。 | ||
| 6-8 | 不意のラック同士の接触で倒れることを防止する対策が施されていますか。 | 対策が施されています。 | ||
| 6-9 | 床面の耐荷重は500kg/平方メートル以上ですか。 | 床面の耐荷重は500kg/平方メートル以上となります。 | ||
| 6-10 | 受発電 | データセンター施設の受電方法は冗長化されていますか。 | 受電方法は冗長化されています。 | |
| 6-11 | データセンター施設は非常用電源(自家発電機)を有していますか。 | 非常用電源(自家発電機)を有しています。 | ||
| 6-12 | 非常用発電設備は冗長化されていますか。 | 非常用発電設備は冗長化されています。 | ||
| 6-13 | 電源 | データセンター施設の電源は瞬停(サグ)、電圧降下(ブラウンアウト)、突入電流、サージ(過圧)等の電源トラブル対策を講じられていますか。 | 対策を講じています。 | |
| 6-14 | データセンター施設の電源は冗長構成を有していますか。 | 電源は冗長構成を有しています。 | ||
| 6-15 | 法定点検や工事等の際にも止まること無く電力供給可能ですか。 | 法定点検や工事等の際にも止まること無く電力供給が可能となります。 | ||
| 6-16 | データセンター施設には無停電電源装置(UPS)が設置されていますか。 | 無停電電源装置(UPS)を設置しています。 | ||
| 6-17 | 耐火災 | データセンター施設は自動消火設備が設置されていますか。 | 自動消火設備を設置しています。 | |
| 6-18 | 消火設備はガス系(窒素等)ですか。 | ガス系消火設備となります。 | ||
| 6-19 | データセンター施設は火災検知システムが設置されていますか。 | 火災報知設備を設置しています。 | ||
| 6-20 | 火災予兆検知システムは設置されていますか。 | 超高感度煙検知システムを設置しています。 | ||
| 6-21 | 火災検知・消火設備は集中監視していますか。 | 集中監視しています。 | ||
| 6-22 | 消火訓練は建築基準法・消防法基準で定められた期間のスケジュールで実施されていますか。 | 定められた期間のスケジュールで、実施しています。 | ||
| 6-23 | セキュリティ | データセンターの重要な物理的セキュリティ境界(カード制御による出入口、有人の受付等)に対し、個⼈認証システムを用いて、従業員及び出入りを許可された外部組織等に対する入退室記録を作成し、適切な期間保存していますか。 | 従業員及び出入りを許可された外部組織等に対する入退室記録を作成し、適切な期間保存しています。 | |
| 6-24 | 入退室管理システムは、バイオメトリックス認証システム等を採用していますか。 | 生体認証等を採用しております。 | ||
| 6-25 | データセンターの重要な物理的セキュリティ境界に対して監視カメラを設置し、その稼働時間と監視範囲を定めて監視を行うこと。 また、監視カメラの映像をあらかじめ定められた期間保存していますか。 |
監視カメラを設置し、稼働時間と監視範囲を定めて監視しており、映像をあらかじめ定められた期間保存しています。 | ||
| 6-26 | データセンターの重要な物理的セキュリティ境界からの入退室等を管理するためのルールを定めていますか。 | 管理ルールを適切に定めています。 | ||
| 6-27 | データセンターの重要な物理的セキュリティ境界に警備員を常駐させていますか。 | 警備員が常駐しています。 | ||
| 6-28 | ラックは施錠ができ、サービス利用者または許可されたものから申し出がない限り開錠できないよう管理されていますか。 | ラックは施錠ができ、サービス利用者または許可されたものから申し出がない限り開錠できないよう管理されています。 | ||
| 6-29 | データセンターは24時間365日、建物防災監視体制を有していますか。 | 24時間365日、建物防災監視体制を有しています。 | ||
| 6-30 | 建物の出入り口は、不特定多数の者が利用できないようになっていますか。 | 不特定多数の者が利用できないようになっています。 | ||
| 6-31 | 空調・熱量管理 | 空調設備は24時間365日で適切な稼働可能であり、停電時においても無停止で稼働継続可能ですか。 | 停電時においても無停止で稼働継続可能です。 | |
| 6-32 | 空調設備は集中監視されていますか。 | 空調設備は集中監視されています。 | ||
| 6-33 | 空調設備は冗長構成または自家発電装置によってされており保守作業・災害においても継続運転可能ですか。 | 保守作業・災害においても継続運転が可能です。 | ||
| 6-34 | 空調設備の空調機排水周りの水漏れ検知が可能ですか。 | 水漏れ検知が可能です。 |
クラウド利用者の責任範囲
7.クラウド利用者の責任範囲
| No | 項目 | 評価内容 | 回答内容 |
|---|---|---|---|
| 7-1 | サーバー | ニフクラ上で稼働するサーバーのバージョンアップ/変更管理/パッチ管理の方針などはありますか。 | OS以上はユーザーの保守範囲となるため、ユーザーにてOS以上のアップデート等の対応が必要です。(ニフクラ基盤については富士通にて保守します。) |
| 7-2 | ニフクラが提供するサービスに使用されるサーバ等のOSには、セキュリティ修正プログラムの適用を適宜実施していますか。 | サーバー作成後のOS以上のセキュリティパッチ等の修正プログラム適用につきましては、ユーザー責任で行ってください。 | |
| 7-3 | バックアップ | ユーザーが保持するデータ漏洩・破壊時の補償/保険の有無について確認させてください。 | 理由の如何を問わず一切の責任を負うものではありません。 |
| 7-4 | セキュリティ | ニフクラ上で構築されるシステムでは、パスワードが平文で保存されないよう対策を講じていますか。(暗号化、ハッシュ化) | ユーザーの責任範囲となります。 |
| 7-5 | パスワードの有効期限を定めていますか。(最長有効期限は90日とする)
|
ユーザーの責任範囲となります。 | |
| 7-6 | パスワードは直近の3世代(直近3回の変更時に使用したもの)は再利用不可とする機能を有していますか。
|
ユーザーの責任範囲となります。 | |
| 7-7 | 連続したログイン失敗時にログインを一時停止する機能を有していますか。
|
ユーザーの責任範囲となります。 | |
| 7-8 | ファイアウォール・IDS(侵入検知システム)・IPS(侵入防止システム)の設置等、外部からの盗聴・不正アクセス対策等の攻撃に対する検知、防御等の対策を実施していますか。 | ニフクラ基盤に関しては、ウイルス対策ソフトや不正アクセス検知装置、迷惑メールフィルタ等の技術的な対策を実装しています。また、最新のセキュリティ動向や対策等を反映した教育を定期的に実施しています。さらに、インシデント発生時には、報告するフロー等を定めています。ユーザーがニフクラを利用して構築したシステムについてはユーザーの責任範囲になります。ユーザー責任の範囲につきましては、ファイアウォール、IDSの機能を提供しています。 | |
| 7-9 | 監視 | ニフクラでユーザーが構築したシステムに関して監視を実施していますか。 | ユーザーの責任範囲となります。 |
| 7-10 | 移行 | ユーザーがサービスの乗り換えや利用終了・サービス終了に伴い、データを移行できますか。 | 富士通はユーザーが作成したOS以上のデータの取り扱いには関知しておらず、またその持ち出し制限なども行っていません。ユーザー側で自由にデータ移行は可能です。 |
免責事項
- ・本ページは、富士通株式会社(以下、「富士通」といいます)が情報提供のみを目的として作成したものとなります。
- ・本ページの内容は、作成時点における富士通の見解を反映したものです。また、事前の予告なく変更されることがあります。
- ・富士通とニフクラのユーザーとの間の契約条件は、「ニフクラサービス利用規約」などに定めるとおりであり、本ページはその一部とはなりません。また、本ページの内容によって当該契約条件が変更されることもありません。
- ・本ページの内容の全部、または一部を無断転載することを禁じます。
- ・本ページに掲載されている会社名、製品名などは、それぞれ各社の商標、登録商標、製品名です。
