セキュリティへの取り組み
「セキュリオ」では、安心してご利用いただくため、セキュリティ方針の策定・第三者認証の取得・技術的な対策等に取り組んでいます。
技術的対策
高可用性
ネットワーク(DCを含む)、サーバー、DBなどを冗長化することでSPOF(Single Point of Failure)を回避し、高可用性を実現しております。
自動復旧
ロードバランサーによる負荷分散、自動スケーリング(サーバー)、自動リカバリー(DB)などを構成することで、高負荷や障害が発生した場合でも、サービスを自動で復旧させます。
通信暗号化とデータ保護
「セキュリオ」とお客様との通信は、すべてSSL/TLSで暗号化し、データ格納時にサーバサイドで暗号化して保存しております。なお、パスワードなどの機密性の高いデータにつきましては、アプリケーションレベルでも暗号化しております。
監視と不具合改修の効率化
サーバーやDB等のリソース(CPU、メモリ、ディスク使用率等)、CDNやロードバランサーのレスポンスタイムおよび応答コードなどを常時監視の対象としております。
なお、アプリケーションについてはコンポーネント単位の処理時間や例外処理(不具合)を自動で収集・タスク化することで、アプリケーション改修を効率化しております。
不正アクセス対策
不正アクセス対策として、DDoS保護、WAF、IDS、などを導入しております。また、管理コンソールを弊社IdPとSSO連携することで、パスワードリスト攻撃などのリスクを抑えております。
なお、アプリケーションに対しては、セキュリティ専門会社による脆弱性診断を定期的に行っております。
AWS Well-Archtected Frameworkの活用
AWS Well-Archtected Frameworkを定期的に活用し、アーキテクチャおよび運用のベストプラクティスの実践程度を診断し、改善に努めております。
セキュリティ対策
追加費用なしでSAMLによるSSO認証の利用が可能
多くのクラウドサービスでは SSO の利用に追加費用や上位プランの契約が必要となりますが、「セキュリオ」ではSSOの利用がセキュリティの向上につながると判断し、すべてのプランで利用ができるようにしております。
接続元 IPアドレスの制限
お客様テナントへのアクセスに、接続元 IPアドレスによる制限を設定することが可能です。こちらもすべてのプランで利用できます。
組織上の対策
基本理念
LRM株式会社(以下、当社)は、情報セキュリティコンサルティングを始めとする情報セキュリティサービスを提供する企業として、当社の事業の中で取り扱うお客様の貴重な情報をはじめとする情報資産は、当社の経営基盤として極めて貴重なものです。
当社は、漏えい、き損、滅失等のリスクからこれら情報資産を保護することの重要性を認識し、役員、従業員以下、すべての従業者を挙げて本基本方針を遵守し、情報資産の機密性、完全性、可用性といった情報セキュリティを維持するための活動を実践いたします。
基本方針
- 情報資産を保護するために、情報セキュリティポリシーを策定し、これに従って業務をおこなうとともに、情報セキュリティに関連する法令、規制その他の規範、及び、お客様との契約事項を遵守いたします。
- 情報資産に対して存在する漏えい、き損、滅失等のリスクを分析、評価するための基準を明確にし、体系的なリスクアセスメント方法を確立するとともに、定期的にリスクアセスメントを実施いたします。また、その結果に基づき、必要かつ適切なセキュリティ対策を実施いたします。
- 担当役員を中心とした情報セキュリティ体制を確立するとともに、情報セキュリティに関する権限いよび責任を明確にいたします。また、すべての従業員が、情報セキュリティの重要性を認識し、情報資産の適切な取り扱いを確実にするために、定期的に教育、訓練および啓発をおこないます。
- 情報セキュリティポリシーの遵守状況及び情報資産の取扱いについて、定期的に点検及び監査をおこない、発見された不備や改善項目については、速やかに是正処置または予防処置を講じます。
- 情報セキュリティ上のイベントやインシデントの発生に対する適切な予防処置を講じるとともに、万一それらが発生した場合に際して、あらかじめ、被害を最小限に留めるための対応手順を確立し、有事の際には、速やかに対応するとともに、適切な是正処置を講じます。また、特に、業務中断に関わるようなインシデントについては、その管理の枠組みを確立し、定期的に対応、復旧試験及び見直しをおこなうことにより、当社の事業継続を確実にいたします。
- 情報セキュリティのマネジメントシステムであるISMSを確立し、これを実行するとともに、継続的に見直し、改善をおこないます。
2013年11月1日制定
LRM株式会社
代表取締役 幸松 哲也
第三者認証の取得
ISO27001 情報セキュリティに関する取組み
弊社は東京・神戸オフィスにてISMSの国際規格であるISO/IEC27001の認証を取得しています。
ISO27017 クラウドセキュリティに関する取組み
弊社は「セキュリオ」の開発・運用・保守業務において、ISMSの国際規格ISO/IEC27001のアドオン認証である、ISO27017の認証を取得しています。
ISO27701 個人情報保護に関する取組み
弊社は「セキュリオ」の開発・運用・保守業務において、ISMSの国際規格ISO/IEC27001のアドオン認証である、ISO27701の認証を取得しています。
経済産業省・IPAが発行する
セキュリティ基準に準拠
経済産業省が発行する「情報システム・モデル取引・契約書」の重要事項説明書およびセキュリティチェックシートの各項目(31項目)、並びにIPA(独立行政法人情報処理推進機構)が発行する「安全なウェブサイトの作り方 第7版」に記載されている各項目(22項目)に対してぜい弱性診断が実施されており、堅牢であると評価されています。
セキュリティホワイトペーパーの公開
「セキュリオ」では、利用者に安心してサービスを利用していただくために、クラウドセキュリティの国際規格であるISO/IEC 27017に基づき、利用者への情報提供が推奨されているセキュリティ関連情報についてまとめた「セキュリオセキュリティホワイトペーパー」を公開しています。
14日間「EP スタンダード」の機能が
無料で利用可能!
「セキュリオ」に関するご質問・ご相談、または出張/オンライン訪問をご希望の方は、
お問い合わせフォームまたは、Tel03-6773-7547 (平日10:00~18:00)にてご連絡ください。