セキュリティホワイトペーパー

Scurity Whitepaper

目的

本ホワイトペーパーは、国際規格ISO/IEC 27017で求められる要求事項に対し、クラウドサービス提供者(CSP)として当社が講じている情報セキュリティ管理策を明確にお伝えすることを目的としています。

適用範囲について

本ホワイトペーパーの適用範囲は以下のクラウドサービスです。

  • TOKIUM経費精算
  • TOKIUMインボイス
  • TOKIUM電子帳簿保存

JIS Q 27017 : 2016 (ISO/IEC 27017 : 2015) への対応

ISO/IEC27001:2022に基づく項番とJIS Q 27017 :2016が要求する管理策(ISO/IEC 27001:2013)の項番も併記しています。

5.1 情報セキュリティのための方針群 ([ISO/IEC 27001:2013] A.5.1.1, A.5.1.2)

当社は、クラウドサービス提供者(CSP)として、以下の通りに情報セキュリティに関する方針を下記の通り定めています。

  • 情報セキュリティポリシー
  • クラウドサービス情報セキュリティポリシー

5.2 情報セキュリティの役割及び責任 ([ISO/IEC 27001:2013] A.6.1.1)

当社とお客様の責任範囲は下記の通り定めています。

  • お客様のご責任範囲

    ご契約いただいたサービスにおけるアカウントの管理、提供される機能の設定、およびデータの登録・削除といった操作は、お客様の管理下で行っていただくものとなります。

  • 当社の責任範囲

    当社は、クラウドサービスのソフトウェア開発、サーバおよびネットワークの設定、設備機器の管理、監視・保守、ならびに障害発生時の対応を含む運用全般を担当しています。

これら責任範囲については当社サービスの利用規約にて定めております。

5.5 関係当局との連絡 ([ISO/IEC 27001:2013] A.6.1.3)

当社所在地はウェブサイトにてご確認下さい。
https://corp.tokium.jp/company/about/

サービス内のデータは、日本国内のデータセンターに保管しています。

5.8 プロジェクトマネジメントにおける情報セキュリティ ([ISO/IEC 27001:2013] A.6.1.5)

当社は本書適用サービスのクラウドサービスに対する情報セキュリティ管理をプロジェクトマネジメントの一環として取り組んでおり、その取り組みを本書にて公開します。

5.13 情報のラベル付け ([ISO/IEC 27001:2013] A.8.2.2)

本サービスは、情報資産の分類に利用可能なラベル機能を有しています。

5.16 識別情報の管理 ([ISO/IEC 27001:2013] A.9.2.1, A.9.2.4, A.9.4.3)

管理者によるユーザー追加ならびにユーザー凍結の機能を有しています。

5.17 認証情報 ([ISO/IEC 27001:2013] A.9.2.4, A.9.3.1, A.9.4.2)

ユーザー自身によるパスワードリセット機能を有しています。

5.18 アクセス権 ([ISO/IEC 27001:2013] A.9.1.2, A.9.2.2)

申込書へ記載されたメールアドレスに対し、管理者権限を持つユーザーを発行します。
また、管理者権限、承認者権限を利用ユーザごとに設定できる機能を提供しています。

5.20 供給者との合意における情報セキュリティの取扱い ([ISO/IEC 27001:2013] A.15.1.2)

本サービスにおける責任範囲は利用規約によって定めています。
本書「5.2 情報セキュリティの役割及び責任 ([ISO/IEC 27001:2013] A.6.1.1)」を確認ください。

5.24 情報セキュリティインシデント管理の計画策定及び準備 ([ISO/IEC 27001:2013] A.16.1.1)

情報セキュリティ事象やインシデントに関する問合せは、ヘルプセンターにて対応を行います。
セキュリティインシデントがお客様に重大な影響を及ぼす場合、利用者へメールにて通知を行います。

5.28 証拠の収集 ([ISO/IEC 27001:2013] A.16.1.7)

当社では、原則として、サービスの利用状況に関する調査は、お客様ご自身でアクセスログをご確認いただくことで対応いただいております。
ただし、調査対象の事象が重大であると当社が判断した場合には、必要に応じてアプリケーションのエラーログやサーバーサイドのログなどをお客様に提供することを検討いたします。
なお、法令に基づき、権限を有する公的機関から正当な手続きにより情報の開示または提供を求められた場合には、当社はお客様への通知や同意を経ることなく、当該機関に対して必要な情報を開示することがあります。

5.31 法令、規制及び契約上の要求事項 ([ISO/IEC 27001:2013] A.18.1.1)

本サービスの利用に関して適用される準拠法は日本国の法令です。
また、通信はSSL/TLSによって暗号化され、サービスの利用において保存されるデータはAES256によって暗号化されます。輸出規制の対象となる暗号化は行っておりません。

5.32 知的財産権 ([ISO/IEC 27001:2013] A.18.1.2)

本サービスの利用における知的財産権に関わる相談はヘルプセンターにて対応を行います。

5.33 記録の保護 ([ISO/IEC 27001:2013] A.18.1.3)

お客様のアクセスログ、サービス運用に関するログを最低2年間保存します。

5.35 情報セキュリティの独立したレビュー ([ISO/IEC 27001:2013] A.18.2.1)

当社では、外部機関によるセキュリティ脆弱性診断に加え、ISO/IEC 27001およびISO/IEC 27017に基づく第三者認証審査を定期的に受けることで、安全性と信頼性の高いクラウドサービスの提供に努めています。

6.8 情報セキュリティ事象の報告 ([ISO/IEC 27001:2013] A.16.1.2)

情報セキュリティ事象発生時は「5.24 情報セキュリティインシデント管理の計画策定及び準備 ([ISO/IEC 27001:2013] A.16.1.1)」と同様の方法で通知いたします。
またお問い合わせはヘルプセンターにて受け付けます。

8.2 特権的アクセス権 ([ISO/IEC 27001:2013] A.9.1.2, A.9.2.3, A.9.2.5, A.9.4.1)

本サービスではメールアドレスとパスワードによる認証、SAMLによる認証を提供しています。

8.8 技術的ぜい弱性の管理 ([ISO/IEC 27001:2013] A.12.6.1, A.18.2.3)

当社はサービスに影響するぜい弱性情報を収集・対応しています。

外部機関によるぜい弱性診断も実施しセキュリティを維持向上するための対策をとっています。

8.13 情報のバックアップ ([ISO/IEC 27001:2013] A.12.3.1)

DBのバックアップデータは日次で取得、7世代分を保持しており、バックアップ手順を定めています。

8.15 ログ取得 ([ISO/IEC 27001:2013] A.12.4.1, A.12.4.2, A.12.4.3, A.12.7.1)

管理者権限を有する利用者にて、操作ログを確認する機能を提供しています。

8.17 クロックの同期 ([ISO/IEC 27001:2013] A.12.4.4)

本サービスでは、サービス提供に必要なシステムのクロック同期をNTPで行っています。

8.24 暗号の利用 ([ISO/IEC 27001:2013] A.10.1.1, A.10.1.2, A.18.1.5)

通信はSSL/TLSによって暗号化され、サービスの利用において保存されるデータはAES256によって暗号化されます。輸出規制の対象となる暗号化は行っておりません。

8.25 セキュリティに配慮した開発のライフサイクル ([ISO/IEC 27001:2013] A.14.1.1, A.14.2.1, A.14.2.5, A.14.3.1)

当社で規定したコーディング規則に則ったシステム開発を実施しており、自動テストツールや整形ツールによってセキュリティに配慮した開発を行っています。
また、第三者による定期的なセキュリティ診断と実施することで、コーディングのみならずインフラを含む環境を複合的に検査しております。

8.32 変更管理 ([ISO/IEC 27001:2013] A.12.1.2, A.14.2.2, A.14.2.3, A.14.2.4)

クラウドサービスプロバイダによるサービス変更に伴い、利用者に影響が発生する場合は以下の方針に基づき事前に通知を行います。

  • 利用者に影響を及ぼす仕様変更については、原則として1週間前までに通知いたします。
  • UIの大幅な変更など、全利用者に大きな影響が予想される場合は、原則として1か月前までに通知いたします。
  • 深刻なセキュリティ脅威への対応など、緊急性の高い場合には変更実施後速やかに通知いたします。

CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担

当社と利用者の役割及び責任範囲については当社サービスの利用規約にて定めております。
あわせて「5.2 情報セキュリティの役割及び責任 ([ISO/IEC 27001:2013] A.6.1.1)」もご確認ください。

CLD.8.1.5 クラウドサービスカスタマの資産の除去

クラウドサービスプロバイダの利用契約が終了した場合、サービス内に保管されているデータは、速やかにアクセス不能な状態へと変更します。

CLD.9.5.1 仮想コンピューティング環境における分離

クラウドサービスプロバイダの本番環境は、開発環境やテスト環境と分けて構築しています。また利用者ごとのテナントは論理的に分離して構築しています。