• No : 14113
  • 公開日時 : 2021/03/11 09:21
  • 更新日時 : 2024/02/21 13:05
  • 印刷

HiQZenサービスのセキュリティ規格の認証状況やサービス仕様等について、教えてください。

HiQZenサービスのセキュリティ規格の認証状況やサービス仕様等について、教えてください。
カテゴリー : 

回答

以下の通りです。
 
カテゴリ 項目 内容
規格認証 認証取得状況
以下を取得の部署で運用
・ISO27001 ISMS適合性評価制度
・ISO27017 ISMSクラウドセキュリティ認証
・ISO9001:2015 / JIS Q 9001:2015 品質マネジメントシステム
・プライバシーマーク
※以下の当社HPにも記載
https://www.soliton.co.jp/company/profile.html
データセンター 所在地 日本国内
※詳細は非公開
信頼性 ファシリティスタンダード Tier3
地震対策 ・データセンター仕様の堅牢な建物構造
・新耐震基準法の法定基準建物強度の1.25倍の耐震構造
水害対策 ・立地
 浸水ハザードマップ=無印、海から離れた立地、水害の無い地域
・建物内
 防水処理、防水堤の設置、漏水センサー敷設
火災対策 消化設備はハロン、VESDA(超高感度煙検知システム)を導入
避雷対策 ・保護レベルⅠ ※建築基準法,新JISで定められている最高水準
・外部雷保護システム(避雷針)※落雷対策
・内部雷保護システム(SPD)※誘導雷対策
電力 ・電力会社から複数系統で受電(本線と予備線を異ルート)、設備内部も完全冗長化
・自家発電機は、N+1冗長のガスタービンエンジンを導入。自家発電燃料タンクは48時間分を備蓄
・無停電電源装置には、N+1冗長のUPSシステムを設置
被災対策 遠隔地へのデータのバックアップを実施
侵入対策 ・建物周辺、建物内の各所に監視カメラを設置し、常時録画
・事前に許可された者のみ入館可能
・入館は有人対応で、ICカード、生体認証に対応。回転式ゲートによる共連れ防止、入退室記録も保管
運用 連絡体制 セキュリティ事故等が発生した場合の連絡体制、フローを定めている
セキュリティ教育 定期的にセキュリティ教育を実施
運用エリア 日本国内で実施
バックアップ 万が一に備え、定期的にフルバックアップを取得
※頻度や世代数は非公開
作業ルール ・作業の実施には手順のレビューと承認が必要
・作業時は2名以上の体制でダブルチェックを実施
・作業ログを必ず取得
アカウント管理 ・アカウントは限られた人員に対して、個人ごとに発行
・不要となったアカウントは、速やかに削除、停止を実施
・定期的なアカウントの棚卸しを実施
・パスワードの定期変更を実施(頻度は非公開)
証跡(操作ログ)管理 ・証跡へアクセス可能なアカウントを厳密に管理
・証跡の改ざんは出来ない設計
監視 24時間・365日、サーバーのリソース、死活監視を実施
メンテナンス ・メンテナンスは不定期で実施(定期メンテナンスはない)
・原則、10日前にメールにて告知(緊急時を除く)
可搬メディアの扱い USBメモリなどの可搬メディアは原則利用禁止(利用する場合は承認が必要)
物理サーバーの廃棄 物理サーバーを廃棄する際には、HDD等の記憶装置を物理的に破壊
障害通知 WEBサイト、またはメールにて通知
解約時のデータ消去
・解約時のデータ消去は、原則、ユーザ管理者にて実施いただく(ユーザーやグループ等の削除)
・解約日から45日以内に当社にて消去を実施
※データ消去の証明書は発行していない
※削除は論理削除
解約時のデータ返却 当社でデータの返却作業は実施しない
システム サーバー構成 ・マルチテナントで運用
・ネットワークやサーバーは冗長化構成
インターネット回線 ベストエフォート型、複数社による共用
Dos/DDos対策 DDoS対策システムを設置
FWの導入
・FWを設置
※不要な通信プロトコルは遮断
※別途、不正アクセス検知システムを導入(詳細は非公開)
脆弱性対策と対応 ・アプリケーションレベル
 メジャーバージョンアップ時に第3者に依頼して診断を実施
・OS/ミドルウェアレベル
 ツールによる診断を定期的に実施
・IPAのガイドライン(独立行政法人情報処理推進機構「安全なウェブサイトの作り方」)に沿った開発を実施
・脆弱性情報を元に影響があった場合は対応
暗号化 ・通信は暗号化
・アップロードされたファイルは暗号化して保存
・パスワード情報はハッシュ化の上、暗号化して保存
※暗号化の方式は「電子政府推奨暗号リスト」にあるものを採用
ウイルス対策 作業端末、サーバーともにウイルス対策システムを導入済み
利用者のセキュリティ
・ID、パスワードで認証
・2段階認証、端末認証、IPアドレス制限に対応
・SAML認証に対応(有償オプション)
・パスワードポリシー(期限、長さ、利用文字、同一文字列の連続使用不可)、アカウントロックに対応
・ログ出力に対応(保管期限なし)
契約 サービス約款 「クラウドサービス実施要領」、「HiQZenサービス実施要領別紙」を以下に掲示
https://www.soliton.co.jp/terms
申し込み方法 「クラウドサービス実施要領」に記載
利用開始の通知 「クラウドサービス実施要領」に記載
最低利用期間 「HiQZen サービス実施要領別紙」に記載
無料期間 初月の利用料は無料
例)「2021/3/12」開始の場合、「2021/3/12」~「2021/3/31」の月額利用料は無料
契約の変更方法
申請書「HiQZenサービス利用申請書」の提出が必要
中途解約 「クラウドサービス実施要領」に記載
自動継続 「クラウドサービス実施要領」に記載
解約方法 申請書「HiQZenサービス利用申請書」の提出が必要
準拠法、所轄裁判所 「クラウドサービス実施要領」に記載
サービス終了時の通知 「HiQZen サービス実施要領別紙」に記載
その他 サービスの提供時間 24 時間 365 日、但しメンテナンスと障害による停止あり
SLA SLAは定めていない。
※過去の稼働率は提示可能
立ち入り監査 不可
サービス提供開始時期 2010年よりサービス開始
※契約社数、ユーザー数は非公開
サポート体制 方法:Webフォーム
受付:24時間、365日
対応:平日 9:00-17:30(土・日・祝祭日、12/29~1/4は除く)
※追加費用はなし(サービス料金内で対応)
マニュアルの提供 管理者向け、利用者向けを提供
※サービス画面へログイン後のお知らせ内からダウンロード可能