CONTACT
お問い合わせ
| 種別 | サービスレベル項目例 | 規程内容 | 測定単位 | 回答 |
|---|---|---|---|---|
| 可用性 | サービス時間 | サービスを提供する時間帯(設備やネットワーク等の点検/保守のための計画停止時間の記述を含む) | 時間帯 | 基本的に定期メンテナンスを除き常時稼働。合理的な理由のある場合この限りではない。 毎月第4週目の日曜日の0:00 JSTから最大5時間メンテナンスを実施 |
| 計画停止予定通知 | 定期的な保守停止に関する事前連絡確認(事前通知のタイミング/方法の記述含む) | 有無 | メールにより 1ヶ月以上前に事前通知。ただし合理的な理由があると弊社の基準により判断できる状況の場合にはこの限りではない | |
| サービス提供終了時の事前通知 | サービス提供を終了する場合の事前連絡確認(事前通知のタイミング/方法の記述含む) | 有無 | メールにより 6ヶ月以上前に事前通知 | |
| 突然のサービス提供停止に対する対処 | プログラムの預託等の措置の有無 | 有無 | ソフトウェアエスクロウ契約可能 | |
| サービス稼働率 | サービスを利用できる確率((計画サービス時間-停止時間)÷計画サービス時間) | 稼働率(%) | 99.90% | |
| ディザスタリカバリ | 災害発生時のシステム復旧/サポート体制 | 有無 | ベストエフォート | |
| 重大障害時の代替手段 | 早期復旧が不可能な場合の代替措置 | 有無 | 高可用性の構成にしているため、無し | |
| 代替措置で提供するデータ形式 | 代替措置で提供されるデータ形式の定義を記述 | 有無(ファイル形式) | 無し | |
| アップグレード方針 | バージョンアップ/変更管理/パッチ管理の方針 | 有無 | バージョン管理ツールを使用し、多段階の承認を経て更新 | |
| アップグレード方針 | バージョンアップ時の通告 | 内容 | メールにて事前通知 | |
| メンテナンス方針 | サービス停止を必要とする定期メンテナンス | 内容 | 基本1週間前までに事前通知。(緊急の場合を除く) | |
| サービス稼働 | 別顧客のアクセス負荷等があった場合でも、顧客ごとに最低限の動作(帯域やCPU値など)は保障されているか | 内容 | 冗長化により最低限の動作を維持 | |
| 信頼性 | 平均復旧時間(RTO) | 障害発生から修理完了までの平均時間(修理時間の和÷故障回数) | 時間 | 平均30分で完了 |
| 障害発生件数 | 1年間に発生した障害件数/1年間に発生した対応に長時間(1日以上)要した障害件数 | 回 | 長時間要した障害は現状無し | |
| システム監視基準 | システム監視基準(監視内容/監視・通知基準)の設定に基づく監視 | 有無 | 有 ・監視内容:Web アプリケーションの死活、負荷、状態監視 ・通知基準:問題を検知した場合、メール、SNS、電話にて一次担当者へ発報 |
|
| 障害通知プロセス | 障害発生時の連絡プロセス(通知先/方法/経路) | 有無 | 24時間365日死活監視を行い、障害発生時は担当者からIT部門管理者および障害発生箇所に応じて各企業窓口へ連絡 連絡は電話及びメールにて担当窓口へ連絡。 |
|
| 障害通知時間 | 異常検出後に指定された連絡先に通知するまでの時間 | 時間 | 直ちに通知 | |
| 障害監視間隔 | 障害インシデントを収集/集計する時間間隔 | 時間(分) | 障害報告を常時受け付け、逐次通知 | |
| サービス提供状況の報告方法/間隔 | サービス提供状況を報告する方法時間間隔 | 時間 | メールにて逐次報告 | |
| ログの取得 | 利用者に提供可能なログの種類(アクセスログ、操作ログ、エラーログ等)また保存期間 | 有無 | 操作ログは管理画面上より確認可能 保存期間の制限なし |
|
| 性能 | 応答時間 | 処理の応答時間 | 時間(秒) | 平均約 0.5 秒 |
| 遅延 | 処理の応答時間の遅延継続時間 | 時間(分) | 1分 | |
| バッチ処理時間 | バッチ処理(一括処理)の応答時間 | 時間(分) | 平均約5秒 | |
| 拡張性 | カスタマイズ性 | カスタマイズ(変更)が可能な事項/範囲/仕様等の条件とカスタマイズに必要な情報 | 有無 | 契約によりあらゆるカスタマイズが可能 |
| 外部接続性 | 既存システムや他のクラウド・コンピューティング・サービス等の外部のシステムとの接続仕様(API、開発言語等) | 有無 | 各種apiと接続可能。 | |
| 同時接続利用者数 | オンラインの利用者が同時に接続してサービスを利用可能なユーザ数 | 有無(制約条件) | 契約に準ずる | |
| 提供リソースの上限 | ディスク容量の上限 | 処理能力 | 契約に準ずる |
| 種別 | サービスレベル項目例 | 規程内容 | 測定単位 | 回答 |
|---|---|---|---|---|
| サポート | サービス提供時間帯(障害対応) | 障害対応時の問合せ受付業務を実施する時間帯 | 時間帯 | 土日祝日を除く平日の10:00-18:00に随時対応 |
| サービス提供時間帯(一般問合せ) | 一般問合せ時の問合せ受付業務を実施する時間帯 | 時間帯 | 土日祝日を除く平日の10:00-18:00に随時対応 |
| 種別 | サービスレベル項目例 | 規程内容 | 測定単位 | 回答 |
|---|---|---|---|---|
| データ管理 | バックアップの方法 | バックアップ内容(回数、復旧方法など)、データ保管場所/形式、利用者のデータへのアクセス権など、利用者に所有権のあるデータの取扱方法 | 有無/内容 |
1日 1 回 4:00 am JST にバックアップ データベース情報: 日次にて取得(14世代保管) |
| データ消去の要件 | サービス解約後の、データ消去の実施有無/タイミング、保管媒体の破棄の実施有無/タイミング、およびデータ移行など、利用者に所有権のあるデータの消去方法 | 有無 | 解約時に全てのデータを消去 | |
| バックアップ世代数 | 保証する世代数 | 世代数 | 14世代 | |
| データ保護のための暗号化要件 | データを保護するにあたり、暗号化要件の有無 | 有無 | データを暗号化 (AES-256) | |
| マルチテナントストレージにおけるキー管理要件 | マルチテナントストレージのキー管理要件の有無、内容 | 有無/内容 | 必要最低限の範囲でキーを共有 | |
| データ漏洩・破損時の補償/保険 | データ漏洩・破損時の補償/保険 | 有無 | 当社に過失が認められ、損害賠償責任が発生した場合、月に係る利用料の1ヶ月分相当額を上限として保証 | |
| 解約時のデータポータビリティ | 解約時、元データが完全な形で迅速に返却される、もしくは責任を持ってデータを消去する体制を整えており、外部への漏洩の懸念のない状態が構築できていること | 有無/内容 | 解約時に全てのデータを消去 | |
| 預託データの整合性検証作業 | データの整合性を検証する手法が実装され、検証報告の確認作業が行われていること | 有無 | トランザクションやロールバック処理、あるいはロードバランサー等のセッション機能により担保 | |
| 入力データ形式の制限機能 | 入力データ形式の制限機能の有無 | 有無 | 各種バリデーションアルゴリズムにより、許容範囲外のデータ入力形式を明確化し、排他制御する機能を組み込み | |
| バックアップサイト | データを格納するシステムが稼働しているデータセンターのバックアップサイトがある | 有無 | 有 | |
| 保存したデータやアプリケーションが存在するデータセンター、バックアップサイトの場所 | 内容 | 東京 |
| 種別 | サービスレベル項目例 | 規程内容 | 測定単位 | 回答 |
|---|---|---|---|---|
| ログイン時に認証機能 | ログイン時に認証機能がある | 有無 | 有 | |
| セキュリティ | 公的認証取得の要件 | JIPDECやJQA等で認定している情報処理管理に関する公的認証(ISMS、プライバシーマーク等)が取得されていること | 有無 | 有、ISMS認証を取得済み |
| アプリケーションに関する第三者評価 | 不正な侵入、操作、データ取得等への対策について、第三者の客観的な評価を得ていること | 有無/実施状況 | 実施を予定 | |
| 情報取扱環境 | 提供者側でのデータ取扱環境が適切に確保されていること | 有無 | 十分に配慮し確保 | |
| 通信の暗号化レベル | システムとやりとりされる通信の暗号化強度 | 有無 | AES256 または AES128を使用 | |
| システム監査への資料提供 | システム監査時に、担当者へ以下の資料を提供する旨明示「SAS 70 認定の取得有無」「18 号監査報告書の提示可否」 | 有無 | 無 | |
| マルチテナント下でのセキュリティ対策 | 異なる利用企業間の情報隔離、障害等の影響の局所化 | 有無 | ネットワーク分離は、ご要望の場合に限り別途カスタマイズ費用により実施 リソース分離は、アカウント単位によりアクセスコントロール。それ以上にご要望の場合に限りカスタマイズ費用により実施 |
|
| 情報取扱者の制限 | 利用者のデータにアクセスできる利用者が限定されていること 利用者組織にて規定しているアクセス制限と同様な制約が実現できていること |
有無/設定状況 | 有 | |
| セキュリティインシデント発生時のトレーサビリティ | IDの付与単位、IDをログ検索に利用できるか否か | 設定状況 | 可能 | |
| ウィルススキャン | ウィルススキャンの頻度 | 頻度 | アンチウィルスサービスを利用し、1 日 1 回スキャンを実施 | |
| 二次記憶媒体の安全性対策 | バックアップメディア等では、常に暗号化した状態で保管している 廃棄の際にはデータの完全な抹消を実施し、また検証していること USBポートを無効化しデータの吸い出しの制限等の対策を講じている |
有無 | データバックアップ時は常時暗号化された状態で保管。データ破棄時は完全消去を実現。また、USB ポートや物理ポートは使用せず、ネットワークポートのみを使用し、データのアクセスコントロールやネットワーク I/O を管理 | |
| 管理者アカウントの運用要件 | アカウント(ID/パスワード等)を個人単位に発行する。 | 有無 | 有 | |
| パスワード変更機能を有効にする。(変更期間は30日に1回以上) システムで制限されていない場合は手動運用にて対応する。 ※2-3、2-6の要件がシステム上制限されている場合不要 |
有無 | 有 | ||
| 管理者が利用者のパスワードを強制リセット・変更可能である。 ※上記管理者はASPサービス提供者およびSB側の管理者 |
有無 | 有 | ||
| パスワードは推測されやすい、PWを設定されない制限を設ける | 有無 (制限内容) | 有、半角英数字8文字以上 | ||
| 管理者のアクセス元を制限する。 (IPアドレス、クライアント証明書、多段階認証等) |
有無 | 有 | ||
| 利用者アカウントの運用要件 | アカウント(ID/パスワード等)を個人単位に発行する。 | 有無 | 有 | |
| アカウント(ID/パスワード等)の権限は、必要最低限の権限にする。 ※DL可能なアカウントの権限は原則付与しない ※利用者に付与したアカウントの権限は、アカウント管理台帳に、アカウントの権限でできることとともに記載する |
有無 | 有 | ||
| パスワード変更機能を有効にする。(変更期間は90日に1回以上) システムで制限されていない場合は手動運用にて対応する。 ※2-10、2-12の要件がシステム上制限されている場合不要 |
有無 | 有 | ||
| パスワードは推測されやすい、PWを設定されない制限を設ける | 有無 (制限内容) | 有、半角英数字8文字以上 | ||
| 利用者のアクセス元を制限する。 (IPアドレス、クライアント証明書、多段階認証等) |
有無 | 有 | ||
| クライアントからの通信要件 | クライアントからアクセスする場合はWEBポート(80/443)のみにしている | 有無 | 有 | |
| 情報の暗号化 | 情報を格納しているサーバは暗号化している。 | 有無 | 有 | |
| マルウェア・サーバー侵入等対策 | サーバはマルウェア対策ソフトを導入し、最新のパターンファイルを適用している。 | 有無 | 有 | |
| OS やアプリケーションのアップデート、セキュリティ修正パッチやサービスパックの適時、適用している。 | 有無 | 有 | ||
| システムへのアクセス権限(管理者特権など)の管理を適切に行っている。また、利用者が利用するデータ領域には合意がない限りアクセスしない。 | 有無 | 有 | ||
| 接続した管理者/利用者のログを、サービス形態に応じて、記録出来ている。 | 有無 | OS,AP,DB,Webサーバーログの全てを記録 | ||
| 不正パケット・非権限者による不正なサーバ侵入に対する検知をしている。 | 有無 | Amazon GuardDutyによる検知 | ||
| セキュリティに関する体制・実施状況を監査等で確認し、定期的に改善・是正をしている。 | 有無 | 有 | ||
| リスト型攻撃等の不正ログイン対策は実施されていますか。 | 有無 | 2段階認証をオプションで選択可能 | ||
| サービスの停止攻撃(DoS、DDoS)、利用者への課金攻撃(EDoS)の対策を実施していますか。 | 有無 | AWS Shield による対策 | ||
| 不正アクセスへの対策およびモニタリングの実施状況 (IDS/IPS、WAF等) |
有無 | 有 | ||
| リスク検知 | 法制度の改正や、リスク情報(新たなセキュリティ上の脅威等)の収集の仕組み、及びサービスへの反映の仕組み(体制等) | 有無 | 有 | |
| 秘密保持契約 | 秘密保持契約の締結可否 | 可否 | 有 | |
| データ消去 | 契約書に、「契約終了後に保存したデータの取り扱い」を定めている。 ※データ消去をASP事業者側で行う場合は消去証明書等を取得すること ※利用が終了し、データが返却された後で、クラウドのシステム上に残るデータは確実に消去され、第三者による再利用や悪用が起こらないよう対策されている |
内容 | 有 | |
| サービス利用中に削除したデータの物理削除されるタイミング | 内容 | 削除タイミング:即時 | ||
| 利用終了後に保存したデータを消去するルールの整備 | 有無 | 有 | ||
| 保存したデータを一括で出力する際のルールの整備 | 有無 | 有 | ||
| ネットワーク分離 | 他契約者とのネットワーク分離、リソース分離を行う施策の実施状況 | 内容 | バックエンドサービスにて管理。 標準のセキュリティルールによってデータベースへのアクセスを分離 |
|
| 報告 | クラウドサービスに関わる情報セキュリティインシデント(他の利用者の報告を含む)の報告可否 | 内容 | 可能 | |
| 認証方法 | クラウドサービス接続時に利用できる認証方法 | 内容 | パスワード認証、二要素認証、クライアント証明書 | |
| データ管理 | モバイルPC やUSB メモリなどの記憶媒体やデータを外部に持ち出す場合、盗難、紛失などに備えて、実施している施策 | 内容 | データはクラウド上で管理し、媒体による持ち出しは許可しない | |
| ソースコード | ソースコードレビューやソースコードの脆弱性検査の実施 | 有無 | 有 | |
| 故意・過失によるソースコードの改変・削除等を防止するためのソースコードの管理方法 | バージョン管理システムで管理者に承認されたコードのみ反映 | |||
| DoS攻撃 | 利用頻度やインスタンス毎の課金システムの場合、EDoS攻撃(Economic Denial Of Service。従量課金サービスに対する経済損失を狙った攻撃)によって予期せぬ過大請求が発生する可能性はあるか | アカウントによる管理を行っている為、可能性は低い | ||
| 外部からのクラッキングやDDoS/EDoS攻撃に対する対策の実施状況 | AWS Shield による対策 | |||
| 二要素認証 | 二要素認証の可否 | メールアドレスに対するワンタイムパスワードで二要素認証が可能 |
| 種別 | サービスレベル項目例 | 規程内容 | 測定単位 | 回答 |
|---|---|---|---|---|
| サービス全般 | 一般 | 利用者向けの運用マニュアルや操作マニュアルの提供可否を記入してください。提供可能な場合、その種類と、マニュアルの内容に対する問合せ先の有無(ある場合は問い合わせ先情報)を記入してください。 | 内容 | web上にヘルプページを用意 |
| 一般 | クラウドサービスを利用することができるオペレーティングシステムやウェブブラウザの種類とバージョンを記入してください。 | 内容 | ヘルプページに記載 | |
| 一般 | 利用者が利用できるデータ保存容量や性能を記入してください。 | 内容 | ご利用のプランに応じて使用可能なストレージ領域が異なる | |
| 事故対応 | セキュリティ事件・事故発生時に利用者への連絡手順がある。 | 有無 | 有 | |
| 事故発生時に当社利用範囲の使用状況、例外処理及びセキュリティ事象の記録(操作ログ(特にデータ抽出ログ))を利用者に提供可能である。 | 有無 | 有 | ||
| 事故発生時に調査協力可能である。 | 有無 | 有 | ||
| サーバーの運用拠点 | 国内・海外等 | 内容 | 国内のみ |
10:00~18:00
(土日祝除く)
