セキュリティ体制
- サードパーティー管理
・Microsoft Azureを利用
・Microsoft社と機密保持契約を締結 - アクセス制御
・IPアドレス制限利用可能 [IP SETTING]
・お客様が利用するユーザーのパスワードを保持しない [NoHoldPass]
・利用者アカウントはクラウド環境に接続するためだけのもの
クラウド環境内の制御は一切できない仕様
※クラウド環境内にあるお使いの弥生製品の機能を使うことで解決
※アカウント増減は依頼時に弊社にて対応(特権管理なし)[USERS CHANGE]
・マルチテナントでのクラウド環境の提供なし(論理的に分離) - アプリケーションセキュリティ
・CERT、OWASP、SANS、IPAなどの信頼できる団体の開発ガイドラインに沿った開発
・脆弱性診断やペネトレーションテストを定期的(年1回以上)に実施 - 運用セキュリティ
・稼働監視/構成管理/変更管理/不正プログラム対策/脆弱性管理/時刻同期の実施
※脆弱性が発見された場合の重要度に応じた対策の実施
※不要なサービスの停止および不要なポートの閉鎖
・サービス継続計画はISMS(ISO27001:2013)に準拠
・ドキュメント管理はISMS(ISO27001:2013)に準拠 - データ管理
・Microsoft Azureに準拠
※クライアントからクラウドまでのすべての通信が暗号化されている
※Microsoft社による暗号鍵の維持管理
・バックアップ実施/サービス終了時のデータ完全消去 - 情報セキュリティインシデント
・管理体制および訓練はMicrosoft社/ISMS(ISO27001:2013)に準拠 - ネットワークセキュリティ
・ファイアウォール、WAF等による不正アクセス防止措置
・RDPファイルでの提供(通信の暗号化)
・外部からの不正アクセスを監視・防止 - 物理セキュリティ
・Microsoft社(Microsoft Azure)に準拠
※データセンター:災害対策/入退室制限/入退記録の管理/作業管理(監視)