当社では、お客様の大切なデータを安全に保護するため、ISMS(ISO27001)および個人情報の取り扱いについてISO27018認証を取得しています。
Forrardy クラウドサーバーにおけるクラウドセキュリティの取り組みの詳細は、以下のセキュリティホワイトペーパーをご参照ください。
| 大項目 | 中項目 | 項目番号 | 項目名 | 詳細内容 |
|---|---|---|---|---|
| 概要 | 目的・範囲 | 1.1 | 本書の目的と位置づけ | 本書は、ISO/IEC 27017(クラウドセキュリティ)の要求事項に対し、NHNテコラス株式会社が提供するホスティングサービス「Forwardy クラウドサーバー」における情報セキュリティ管理策の実装状況をご説明することを目的としています。 |
| 概要 | 適用対象 | 1.2 | 適用サービスの範囲 | 本書は、当社が運営するホスティングサービス「Forwardy クラウドサーバー」を対象範囲とします。 |
| サービス詳細 | サービス概要 | 2.1 | Forwardy クラウドサーバーの特徴 | 世界シェアNo.1と信頼性が高いAWS環境を当社が24/365の体制でインフラやOS、ミドルウェアの運用管理を行うホスティングサービスです。ビジネスに欠かせないメールやウェブ、WordPressなどの機能をレンタルサーバーの使いやすさはそのままに、AWS環境で提供します。 当サービスでは、WHMCS(顧客・請求管理システム)とPlesk(Webホスティング管理パネル)を連携させたホスティングサービスを提供しています。 |
| サービス詳細 | 責任範囲 | 2.2 | セキュリティ責任の分担 | Forwardy クラウドサーバーに関する責任分界点は、以下になります。 ■お客様責任範囲:ホスティング上で動作するアプリケーション及びコンテンツ、アカウント情報管理、サイト上で取得したデータの保守/管理 ■当社責任範囲:OS・ミドルウェア(共用)、サーバ管理ツール(Plesk)、AWS基盤(EC2/EBS/S3/VPC/Route53/Direct Connect等)、各種バージョン管理、セキュリティパッチ管理、権限管理、アクセス制御、物理セキュリティ管理 |
| ISO27017対応 | 管理策概要 | 3.1 | 管理策の解釈と実装方針 | ISO/IEC 27017:2015の要求事項に対する当社の管理策実装について、項番順に解説します。ISO/IEC27002と共通する管理策は同一項番を、クラウド特有の拡張管理策は「CLD」で始まる項番を使用しています。 |
| ISO27017対応 | 実装アプローチ | 3.2 | クラウドサービスプロバイダとしての取組み | 当社は、クラウドサービス特有のセキュリティ要件に対応しています。本書では、CSP(クラウドサービスプロバイダ)として実装している具体的な管理策について詳述します。 |
| 情報セキュリティ方針 | 基本方針 | 5.1.1 | 情報セキュリティ方針の適用 | 「Forwardy クラウドサーバー」は、現在ISO27001:2022、ISO27018の認証を保持しており、これらの認証基準に基づく情報セキュリティ基本方針の下で運営されています。また、AWSセキュリティコンピテンシーとAWSレベル1 MSSPコンピテンシーの認定を受けたAWSプレミアティアサービスパートナーとして、AWSの推奨するセキュリティ対策に基づき環境を構築しています。 |
| 組織体制 | 役割定義 | 6.1.1 | セキュリティ役割と責任の明確化 | 前述の「2.2 セキュリティ責任の分担」において、お客様と当社の責任範囲を明確に定義しています。 |
| 組織体制 | 外部対応 | 6.1.3 | 当局との連絡体制 | 当社所在地:東京都内(詳細は https://nhn-techorus.com/ をご参照ください)。当サービスで管理されるデータは、日本国内のデータセンター(AWS)に保存されます。 |
| 組織体制 | クラウド特有 | CLD.6.3.1 | クラウド環境における責任共有モデル | 「2.2 セキュリティ責任の分担」に記載の通り、クラウド環境特有の責任共有モデルを採用しています。サービス利用規約において詳細な責任範囲を定めています。 |
| 人的セキュリティ | 教育体制 | 7.2.2 | セキュリティ教育・訓練の実施 | 当社では年数回のオンライン形式による情報セキュリティ教育を全従業員に実施しています。新入社員に対しては入社時に専用の情報セキュリティ研修を実施し、継続的なセキュリティ意識の向上を図っています。 |
| 資産管理 | 資産分離 | 8.1.1 | 情報資産の分離管理 | お客様の情報資産と当社運営に必要な情報は、技術的・論理的に完全分離して管理しています。 |
| 資産管理 | クラウド特有 | CLD.8.1.5 | 顧客資産の安全な削除 | サービス終了時、お客様が作成・保存された情報資産は、契約終了30日後に破棄します。バックアップデータも同様に削除されます。ただし、サービス共通ログ(お客様情報を含まない)は対象外とします。 |
| 資産管理 | 情報分類 | 8.2.2 | 情報の分類とラベル付け | 当社では情報資産を機密性・完全性・可用性の観点から分類し、リスクアセスメントに基づいて適切な保護レベルを設定しています。情報資産は定期的に見直しを行い、事業継続性を確保するための適切な管理策を実装しています。 |
| アクセス制御 | ユーザー管理 | 9.2.1 | ユーザーアカウント管理 | 本サービス開始時に利用者IDを提供します。提供した利用者IDにて運営時に必要となる利用者の登録・更新・削除の機能がご利用いただけます。WHMCSとPleskの2つの管理システムで権限管理を行います。サービス解約時には、WHMCSとPlesk間の連携により、関連するアカウント・データの適切な削除・無効化が自動実行されます。 |
| アクセス制御 | アクセス権限 | 9.2.2 | アクセス権限の適切な付与 | 当サービスの利用者アクセス提供において、標準化されたプロビジョニングプロセスを実装しています。WHMCSによる自動プロビジョニング機能により、契約完了後にPleskアカウントが自動作成され、顧客には必要最小限の権限のみが付与されます。アカウント作成時には一意のユーザーID及び初期パスワードが生成されます。 |
| アクセス制御 | 特権管理 | 9.2.3 | 特権アクセスの制御 | WHMCS及びPleskの管理者権限は職務に応じて階層化し、最小権限の原則に基づいてアクセス権を付与しています。 |
| アクセス制御 | 認証情報管理 | 9.2.4 | 認証情報の安全な管理 | 本サービス開始時にWHMCS及びPleskの利用者IDを提供します。パスワードポリシーにより複雑性要件を設定しています。 |
| アクセス制御 | 情報アクセス | 9.4.1 | 情報へのアクセス制限 | WHMCS及びPleskを使用し理者権限を有するサービス利用者様によって機能制限を行うことができます。 |
| アクセス制御 | 特権プログラム | 9.4.4 | 特権ユーティリティの制御 | お客様向けには、通常のセキュリティ手順を回避可能なユーティリティプログラムは提供していません。当社内部で使用する特権プログラムは、厳格な利用者制限の下で管理しています。 |
| アクセス制御 | クラウド特有 | CLD.9.5.1 | 仮想環境における論理分離 | 仮想化技術やネットワークセキュリティ技術を利用し、サーバやネットワーク、ストレージは論理的に分離し、制御しています。 |
| アクセス制御 | クラウド特有 | CLD.9.5.2 | 仮想マシンのセキュリティ強化 | 仮想マシンのセキュリティ強化として、IP・プロトコル・ポートレベルでのアクセス制限を実装しています。 |
| 暗号化 | 暗号化方針 | 10.1.1 | 暗号化技術の適用方針 | 本サービス利用におけるデータをやり取りする通信は、SSL/TLS通信を標準で提供しています。無料の独自SSL証明書としてLet's Encryptを提供し、管理パネルを通じて自動更新されます。 |
| 物理的環境セキュリティ | 機器処分 | 11.2.7 | 機器の安全な処分・再利用 | 当社が利用するクラウドベンダーのシステム環境におけるストレージデバイス等の処分に関しては、各クラウドベンダーの廃棄プロセスに基づき適切に処理されることを確認しています。 |
| 運用セキュリティ | 変更管理 | 12.1.2 | システム変更の管理 | 本サービスの利用者様に影響のある変更およびメンテナンスを実施する場合には、事前に通知を行います。サーバー管理パネルPleskとそのコンポーネントの自動アップデート機能により、常に最新のセキュリティパッチが適用されます。 |
| 運用セキュリティ | 容量管理 | 12.1.3 | リソース容量の監視・管理 | 当社にて日々のプロセスの中で稼働監視を行っています。また、本サービスの管理者向けに利用状況を確認する機能を提供しています。 |
| 運用セキュリティ | クラウド特有 | CLD.12.1.5 | 運用管理者向けセキュリティ | 本サービスでは、サービスの利用に必要な操作手順を、オンラインマニュアルなどのドキュメントとして提供しています。 |
| 運用セキュリティ | バックアップ | 12.3.1 | データバックアップ | 本サービスでは、Pleskの顧客データ領域について契約領域外(Amazon S3)へのバックアップと契約領域内へのセルフバックアップ機能の2種類を提供しています。S3はデータの99.9999999%(イレブンナイン)の耐久性を誇ります。また、顧客データ領域外のデータについてもバックアップを取得しております。 |
| 運用セキュリティ | ログ管理 | 12.4.1 | イベントログの取得・管理 | 当社の責任範囲において、本サービスの維持管理に必要となる適切なログを取得しています。また、サービス利用者様向けにアクセスログ/エラーログを提供しています。 |
| 運用セキュリティ | 時刻同期 | 12.4.4 | システム時刻の同期 | 全システムでNTPサーバーを利用した時刻同期を実装し、ログの整合性とトレーサビリティを確保しています。 |
| 運用セキュリティ | クラウド特有 | CLD.12.4.5 | クラウドサービス監視 | クラウド環境、OS、ミドルウェアなどを24/365体制で運用管理しており、監視を実施しています。 |
| 運用セキュリティ | 脆弱性管理 | 12.6.1 | 技術的脆弱性の管理 | Pleskについては、ミドルウェアの自動アップデートを実施しております。 WHMCSについては定期的に脆弱性情報の収集を行い、お客様に影響を及ぼす、またはプロダクトのメンテナンスを必要とする情報については、当社にて対応いたします。 |
| 通信セキュリティ | ネットワーク分離 | 13.1.3 | ネットワークの論理分離 | ネットワークの仮想化技術を利用し、他のサービス利用者様とのネットワークの分離を適切に行っています。また、当社の社内ネットワークと本サービス側のネットワークとは、物理的に分離されています。AWS Direct Connectにより専用ネットワークに接続しています。 |
| 通信セキュリティ | クラウド特有 | CLD.13.1.4 | 物理・仮想ネットワークの整合性 | 物理ネットワークと論理ネットワークの整合性がとれるように設計、構築、管理を徹底しています。 |
| システムの取得、開発及び保守 | セキュリティ要件 | 14.1.1 | セキュリティ要件の実装 | 本サービスにおけるPlesk(顧客提供領域)の主なセキュリティ機能は以下となります。 ・WAF(Web Application Firewall) ・スパムメール対策機能 ・ウィルス対策/マルウェアスキャン ・DoS対策 ・SSL証明書(Let's Encrypt) ・24/365体制の監視体制 ・二段階認証 ・自動アップデート機能 |
| システムの取得、開発及び保守 | 開発方針 | 14.2.1 | セキュアな開発方針 | システム開発においては、セキュリティ・バイ・デザインの原則に基づき、設計段階からセキュリティ要件を組み込んだ開発プロセスを採用しています。 |
| 供給者関係 | セキュリティ合意 | 15.1.2 | 供給者とのセキュリティ取決め | 「2.2 セキュリティ責任の分担」に記載の責任範囲において、必要なセキュリティ対策を実装しています。 |
| 供給者関係 | サプライチェーン | 15.1.3 | ICTサプライチェーンの管理 | 本サービスの提供に必要となる構成要素(AWS各サービス等)の供給については、当社セキュリティ方針を満たすようリスク管理を実施しています。 |
| 情報セキュリティインシデント管理 | 対応体制 | 16.1.1 | インシデント対応の責任・手順 | 当社で確認したセキュリティインシデントは、情報セキュリティ基本方針に基づき適切に対応します。お客様に重大な影響を及ぼす可能性がある場合は、サポート窓口より速やかに通知します。 |
| 情報セキュリティインシデント管理 | 報告体制 | 16.1.2 | セキュリティ事象の報告 | 情報セキュリティ事故が発生した場合には、メール等で速やかに報告いたします。また、サポートチケット、オンラインフォーム、電話サポート(10-17時)を全プラン無料でご利用いただけます。 |
| 情報セキュリティインシデント管理 | 証拠保全 | 16.1.7 | デジタル証拠の収集 | 法令または裁判所命令による開示義務が生じた場合、利用規約に基づきお客様への事前通知・同意なく開示する場合があります。 |
| コンプライアンス | 法的要件 | 18.1.1 | 適用法令・契約要件の特定 | 本サービスの利用に関して、適用される「準拠法」は「日本法」となります。 |
| コンプライアンス | 知的財産権 | 18.1.2 | 知的財産権の保護 | 知的財産権に関わるお問い合わせは、当社サポート窓口へお問い合わせください。 |
| コンプライアンス | 記録保護 | 18.1.3 | 記録の適切な保護 | 当社の責任範囲において、保存期間を定めログを取得しています。必要な場合は、当社サポート窓口へお問い合わせください。過去45日間のMailログはユーザが参照可能です。 |
| コンプライアンス | 暗号化規制 | 18.1.5 | 暗号化機能の規制対応 | 本サービスへのWebアクセスにおいては、SSL/TLS通信を標準で提供しています。なお、輸出規制の対象となる暗号化の利用はありません。 |
| コンプライアンス | 監査 | 18.2.1 | 独立したセキュリティレビュー | 当社は、情報セキュリティマネジメントに関する国際規格 ISO/IEC 27001 の認証を取得し、継続的に維持しています。 |
