AWS専業で840社を超える導入実績!Amazonクラウドの導入設計から構築、運用保守、代行まで

cloudpackセキュリティホワイトペーパー

本ページでは、cloudpackのセキュリティにおいてのアーキテクチャーやポリシーについて明文化された、ホワイトペーパーの一部を抜粋してご紹介しております。このホワイトペーパーは、パートナー企業様のレビューを受けながら、cloudpackチームによって執筆されたものです。このページおよびホワイトペーパーは定期的に更新されるため、新しいコンテンツがないか定期的にご確認ください。

1. 概要

cloudpackは、アマゾン ウェブ サービス(AWS)を基盤とした、24時間365日フルマネージドサービスを提供しており、それらのサービスを通じてお客様をサーバー構築・運用といった業務から開放することで、自社の業務へ専念して頂く事を目的としております。

本書では、ISO27001、PCI DSSをはじめとしたセキュリティ体制のご紹介、及び多拠点化等をはじめとする運用体制について、弊社ホワイトペーパー「cloudpackセキュリティホワイトペーパー」より要約してご紹介しており、cloudpackのセキュリティへの取り組み、及びユーザー様にご利用頂けるセキュリティサービスについてご理解頂く事が出来ます。

cloudpackセキュリティホワイトペーパー」の対象者は、「cloudpackをご利用中のお客様」、及び「cloudpackの導入をご検討中の方」を対象としております。

「cloudpackセキュリティホワイトペーパー 概要」では主に、以下の事項について記述しております。

  • 国際・国内セキュリティ基準への取り組み
  • ソフトウェア脆弱性情報に関する取り組み
  • 業務ネットワークのセキュリティ
  • 運用上のセキュリティ保持体制

2. 国際・国内セキュリティ基準への取り組み

cloudpackをご利用中のユーザー様の事業においても必要に応じて同様の認証を取得いただく事により、
cloudpackで稼動するユーザー様のITシステム全般について、セキュリティが高度に確保されていることを対外的に説明することが可能になります。

2.1. 各種セキュリティ認証の取得

cloudpack事業を運営するアイレット株式会社は、情報セキュリティマネジメントシステム(ISMS: Information Security Management System)の国際規格であるISO/IEC27001クレジット業界におけるグローバルセキュリティ基準であるPCIデータセキュリティスタンダード(PCI DSS: Payment Card Industry Data Security Standard)レベル1(完全準拠)に認定されました。また、個人情報を適切に取り扱うことのできる事業者として、一般財団法人日本情報経済社会推進協会(JIPDEC)よりプライバシーマークの認定を取得しました。

2.2. SOC2への取り組み

現在、cloudpack事業では、米国公認会計士協会(AICPA)が定める内部統制の有効性に関する保証報告書SOC2(Service Organization Controls 2)の報告書の受領に向けて社内体制の整備を進めています。

SOC2に準拠することにより、cloudpack事業におけるセキュリティ、可用性、処理の整合性、機密保持、およびプライバシー保護への取り組みについて、より客観的な評価に基づく透明性の確保、極めて高度なセキュリティ体制の実現をもたらします。(この度のSOC2の対象は、セキュリティおよび可用性です。)

3. ソフトウェア脆弱性情報に関する取り組み

cloudpack事業では、ソフトウェア脆弱性への対応を強化するために、cloudpack事業内にコンピュータセキュリティインシデント対応チーム(Computer Security Incident Response Team: CSIRT、シーサート)および脆弱性情報収集を行うセキュリティ運用グループを設置しています。
定常的に脆弱性情報の収集を行い、実際にソフトウェア脆弱性が発見された場合には、速やかにその影響の有無および緊急度について判断し、ユーザー様のシステムを防護するために適切な対応を行います。

4. 業務ネットワークのセキュリティ

cloudpackにおいては、事業に関連する情報資産を保護するため、当社の他事業と独立した社内ネットワークを構築しています。

更に、各種閉域ネットワークサービスを活用し、認証情報を外部から隔離された場所で一元管理することにより、極めてセキュリティ強度の高い業務ネットワークおよび認証システムを導入し、運用業務の基盤として利用しています。

5. 運用上のセキュリティ保持体制

cloudpackでは24時間365日の有人体制による運用(MSP : Managed Service Provider)において特にセキュリティを保つべき用途においては、「セキュリティルーム」という専用ルームにて運用を行っております。

セキュリティルームでは通常の有人運用に加え、以下の体制にて運用されております。

  • 情報セキュリティ管理責任者により、教育を受けた専任技術者へ、入室権限を付与。
  • セキュリティカード(ICカード)により入室管理を行い、ログを3ヶ月以上保存。
  • セキュリティルーム内は、複数の監視カメラによる撮影記録し、3ヶ月以上保存。
  • 専用の運用端末は、詳細なアカウント管理がされ、操作ログを取得する。
  • 業務ネットワークから隔離された、専用のネットワーク。
    (上記ネットワーク概要図における、セキュリティネットワーク3)
  • 外部訪問者の入室を禁止。

また、cloudpackではサービスを提供するにあたり、その運用業務に携わるスタッフについて正社員雇用契約を締結し、内部からの攻撃リスクを最小限におさえています。また、cloudpackスタッフの雇用に際しては、当社ISMSポリシー及びcloudpackにおいて定めるPCI DSS基準に従いcloudpackにおける職務を理解しその役割に適材な人物により運用業務を遂行しております。

本ホワイトペーパーをご覧になりたい方は、下記のボタンよりダウンロードの上、ご確認ください。

ページトップ