当社が提供するサービスにおいては、ユーザー様及びその顧問先様に関する様々な情報をお預かりしており、安定したサービス提供をおこなうため、適切な情報管理が当社の最重要課題であるとの認識のもと、情報セキュリティ方針を反映した各種規程に基づいて、情報セキュリティの維持・向上に努めています。
当社では、ユーザー様及び当社の情報資産の保護を図るため、 「情報セキュリティ基本方針」及び「個人情報保護方針」を制定し、情報を不正に取得することを目的とした悪意のある第三者からシステムへの不正アクセス等による漏えいリスクなどに対し、適切な防御措置を講じています。
また、情報セキュリティ管理に関する運用ルールや個人情報保護に関する社内規程を定め、役員及び従業員を対象とした社内研修を実施することで、遵守すべきルールの理解と浸透に努めています。
本ページでは、当社が取り組んでいるセキュリティ対策についてご説明いたします。
■技術的対策
セルズでは、クラウド環境に保存したお客様のデータを守るため、下記の対策を実施しています。
セキュリティ体制が整っている大手クラウドサービスを利用
管理サービスは、「MicrosoftAzure」や「AWS」といった、大手クラウドサービスを利用しています。
各提供元により、下記の通り万全のセキュリティ体制が構築されています。
◆Microsoft Azure
日本マイクロソフト社が提供するサーバーです。
ソフトウェア修正プログラムの自動適用、ネットワーク負荷分散、およびサービス提供ができなくなる事態を防ぐ機能などが組み込まれています。
また、サービスの正常性を絶えず監視するエンジニアによって、24 時間 365 日体制でテクニカル サポートを提供しています。
◆AWS(Amazon Web Services)
Amazonが提供しているクラウドコンピューティングサービスです。
なお、AWSのウェブサイトでは、下記の通り記載がされています。
「AWS では、お客様のプライバシーに絶えず注意を払っています。AWS により、暗号化、移動、保管管理機能を含め、常にデータを保有しているという認識を持って、最も安全なグローバルインフラストラクチャを構築できます。 データセンターとリージョンを相互接続する AWS グローバルネットワークを流れるすべてのデータは、安全性が保証された施設を離れる前に物理レイヤーで自動的に暗号化されます。」
詳細についてはこちらのAWS webページをご覧ください。
また、AWSではコンプライアンスプログラムとしてISO 9001やISO 22301などさまざまな認証を受けています。
ご参考:対象サービスと利用クラウドサービス
サービス内容 | 利用クラウドサービス |
台帳のうち Cellsドライブ機能 |
Microsoft Azure |
Cells給与のうち データ共有機能/WEB明細 |
|
FORROU | |
最適給与クラウド | AWS |
不正アクセスの予防・検知体制の構築
- 外部からのサイバー攻撃をいち早く検知し、防御できるよう、Webアプリケーションファイアウォール(WAF)(※)を設置しています。
- WAFでは、最新の脅威情報に基づいてルールを更新し、不正アクセスへの対策をアップデートしています。
- 特に、Microsoft Azureを利用しているサービスについては、世界中のWebに対する攻撃パターンをAIにより学習するWafCharmを導入し運用しています。
(※)WAFとは
「Webアプリケーションの脆弱性を突いた攻撃」からWebサイトを保護するセキュリティ対策のひとつです。Webサイトへの通信を解析・検査し、攻撃と判断した通信を遮断することで保護します。
通信の暗号化
セルズの保有するデータへのアクセスはTLS/SSL通信により常に暗号化しています。
暗号化により、悪意ある第三者によるデータの「盗聴」「改ざん」「なりすまし」の防止を図っています。
データバックアップ体制の構築
万が一に備え、バックアップを常に複数準備。直近のバックアップデータ(※)を利用して早急にサービス提供を再開できる体制構築に努めています。
※一部システムログ、契約解除したお客様情報などは除きます。
マイナンバーの保護
マイナンバーのデータは個人情報と別の場所で暗号化して保管。データ漏洩のリスクを低減しています。
■情報セキュリティ・個人情報保護に関する取り組み
情報セキュリティ委員会を社内で組織し、情報セキュリティ向上に向けた取り組みを下記の通り責任をもって行っています。
定期的なセキュリティ監査の実施
外部の認定機関による定期監査をおこない、継続的にセキュリティ体制を検証・改善しています。
従業員に対するセキュリティ研修の実施
入社時にセキュリティ研修を実施するほか、全従業員に対し、定期的にセキュリティ研修を実施しセキュリティ意識の向上を図っています。
インシデント対応プロセスの策定
万が一の事態にも迅速に対応できるように対応プロセスを定めています。
これにより、不正アクセス等が発生した場合でも迅速かつ適切に対処ができる体制の構築を図っています。
自然災害等が発生した場合の業務継続計画の策定
自然災害や大規模なシステム障害等の緊急事態発生時にもサービス提供を迅速に再開できるよう、ビジネス継続計画(BCP)を策定しています。
ISO27001/ISO27017の取得
当社は情報セキュリティ管理システム (ISMS) の国際基準であるISO27001(※1)及びクラウドサービスのセキュリティを強化するための国際基準ISO27017(※2)の認証を取得し、情報セキュリティ体制の強化・改善に取り組んでいます。
情報セキュリティに関する基本方針・認証実績の詳細はこちら
(※1):ISO27001
情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。
(※2):ISO27017
クラウドサービスに関する情報セキュリティ管理策のガイドライン規格です。