セキュリティチェックリスト
セキュリティチェックリストは以下よりダウンロードすることも可能です。
情報セキュリティ管理
| 1 | 組織内外に向けて、情報セキュリティおよび個人情報保護に関する方針を策定し、これを周知しているか。 | ○ | |
| 2 | 第三者による認証を取得して、情報セキュリティおよび個人情報保護の取り組みが適切に行われているかどうか確認しているか。 | ○ |
・プライバシーマーク:2022年5月11日取得 認証番号:21004848-02 ・ISMS(ISO/IEC 27001):2021年12月19日取得 認証番号:IS 756913 ISMS |
| 3 | セキュリティ対策が適切に実装・運用され、関連法令や規制、契約上の要件に準拠していることを、定期的に社外監査などで評価しているか。 | ○ | 社外監査を行なっております。 |
| 4 | 情報セキュリティに関する責任者を任命し、その職務範囲、権限、責任を明確にしているか。 | ○ | |
| 5 | セキュリティ事故に備えた情報セキュリティ体制が整備されており、万が一事故が発生した場合に備えた対応策が明確に策定されているか。 | ○ | |
| 6 | 情報セキュリティに関する業務や関係部署について明確に定め、適切な役割分担を行っているか。 | ○ | |
| 7 | 組織内で意図しない変更や不正利用が行われるリスクを低減するために、情報資産へのアクセスや閲覧、修正などの権限を、組織の役割と責任に応じて分離しているか。 | ○ | |
| 8 | 情報資産の管理について、組織内において情報資産の重要度の基準を策定し、情報資産の特定、評価を実施し、資産一覧を作成しているか。 | ○ | |
| 9 | 情報資産を廃棄する際に、記録されたデータを回復できないように、適切に消去または破棄しているか。 | ○ | |
| 10 | サービス利用終了時におけるデータの取り扱いに関して、契約や規約等で明確な規定が定められているか。 | ○ | |
| 11 | サービス利用期間満了時、サービス利用者が作成したデータを削除できるか。 | ○ | サービス利用者の指示指定により消去します。 |
| 12 | データ漏えいまたは破壊が発生した場合の補償や保険に関する規定が明確であるか。 | ○ | 当社の約款には損害賠償の条項はありますが、保険に関する条項はございません。必要に応じて個別契約を締結します。 |
従業員関連
| 13 | 従業員が情報セキュリティおよび重要情報の取扱いについて正しく理解し、適切に行動するために、定期的に適切な教育や訓練を実施しているか。 | ○ | |
| 14 | 従業員と機密保持条項を盛り込んだ契約を締結しているか。 | ○ | |
| 15 | 従業員や契約相手の退職、解雇、契約期間満了などの場合に、適切な手続きを実施し、アクセス権の変更や削除、貸与品の回収などを行っているか。 | ○ |
物理的セキュリティ
| 16 | セキュリティエリアへのアクセスは、ICカード認証などによるアクセス制御を実施しているか。 | ○ | |
| 17 | 入退室ログを収集し、定期的に監視して不正アクセスの検知を行っているか。 | ○ | |
| 18 | サーバー等の設置場所は国内のリージョンやデータセンターを利用しているか。 | ○ | 当社が利用しているクラウドサービスにて、一部国外リージョンを利用しております。 各国のデータ取扱い及び利用に関する制約条件を把握し運用しております。 |
ネットワーク
| 19 | リモートアクセスを行う場合、システム管理者が承認したユーザーのみがアクセスを許可されているか。 | ○ | |
| 20 | ネットワークセキュリティを確保するために、ファイアウォールを導入しているか。 | ○ | |
| 21 | 不正アクセスが検知された場合に、システム管理者やサービス利用者に適切なタイミングで迅速に通知するための手順を策定しているか。 | ○ | |
| 22 | サービス利用企業がシステムにアクセスする場合、接続元IPアドレスによって接続経路を制限できる仕組みがあるか。 | × | 接続元IPアドレスによる制限は実施しておりません。以下による制限を行っております。
・ID+パスワード認証(必須) |
| 23 | システムの開発、保守、運用において管理画面へのアクセスを制限するために、接続元IPアドレスに基づいたアクセス制御を行うことができるか。 | × | 多要素認証による制限を行っております。 |
| 24 | システム内において、各サーバが持つべき権限を明確にし、適切なアクセス制御を行うことで、サーバ間の境界を論理的に分離しているか。 | ○ | |
| 25 | WebサーバとDBサーバが論理的に分離された構成になっており、WebサーバからDBサーバへの通信経路を最小限に制限し、アクセスを厳密に制御しているか。 | ○ | |
| 26 | DBサーバーに対する不正な外部アクセスを防ぐために、適切なアクセス制御措置が講じられているか。 | ○ | |
| 27 | システム内で情報を授受する際、伝送経路において機密性や完全性を確保するために、暗号化を用いているか。 | ○ | |
| 28 | サービス提供に影響を及ぼす可能性のあるDDoS等の攻撃に対して、適切な防御策を採用しているか。 | ○ |
システム開発・保守・運用
| 29 | システムの開発、保守、運用に際し、セキュリティ対策に関する要件を定義し、明確化しているか。 | ○ | |
| 30 | システム開発、保守、運用において、機能要件、非機能要件、セキュリティ要件を特定し、各工程においてレビューを実施して品質とセキュリティを確保しているか。 | ○ | |
| 31 | システムの開発、保守、運用において、セキュリティや品質に対する要件を考慮したプロセスを定義しているか。 | ○ | |
| 32 | システムの開発や保守、運用において、データの漏洩を防ぐため、本番環境と開発環境を厳密に分離しているか。 | ○ | |
| 33 | システムの本番環境のデータを保護し、漏洩を防止するために、データの複製や本番環境以外での利用(テスト利用など)を禁止しているか。 | ○ | |
| 34 | アプリケーションに変更を加える際には、事前に影響や不具合を回避するためのテストを実施し、確認しているか。 | ○ | |
| 35 | ソースコードの変更履歴が追跡可能であり、バージョン管理システムを利用しているか。 | ○ | サービスのソースコードレベルの変更管理はGitを利用して行なっています。 |
| 36 | システムの処理において、所定の目標応答時間を設定しているか。 | × | ページやファイルサイズによって左右されます。例えば、PLSの1クラスの参加人数や、ご視聴いただく科目などによって応答時間が変わります。 |
| 37 | 処理の応答時間について、遅延継続時間は定義されているか。 | ○ | 処理が遅延した場合、30秒でタイムアウトとなり切断されます。 |
| 38 | 同時に接続できるオンライン利用者数に上限が設定されているか。 | × | 接続上限に達した場合、想定内のユーザー数であればスケールアウトで対応を行うため基本的に制限はございません。 |
| 39 | カスタマイズを行う場合の条件や必要な情報が明確に定義されているか。 | – | サービス自体のカスタマイズには未対応となっております。 |
| 40 | 不完全なデータが取り込まれないよう、入力データの制限は考慮され、実装されているか。 | ○ | 各種データ入力時に必要なバリデーションを行っています。 |
アクセス制御
| 41 | 外部記憶媒体の保管、移動、廃棄、取扱いの範囲等について、規定を定め、その規定に基づいて外部記憶媒体を管理しているか。 | – | 外部記憶媒体に保管は行なっておりません。 |
| 42 | サービス利用者のデータへのアクセス権限が制限され、限定されたユーザーのみがアクセスできるようになっているか。 | ○ | |
| 43 | システム開発、保守、運用に必要なソフトウェア、ハードウェア、およびネットワーク上で扱われるデータについて、アクセス制御の方針を策定し、実施しているか。 | ○ | |
| 44 | システム内において、異動や退職、役割変更などにより不要となったアカウントを一定期間使用していない場合、無効化または削除する方針を策定し、実施しているか。 | ○ | |
| 45 | 発行済みのIDが重複して払出されないよう、適切な仕様を設けているか。 | ○ | |
| 46 | 必要に応じて接続元IPアドレスによる接続経路制限を行っているか。 | × | 接続元IPアドレスによる制限は実施しておりません。以下による制限を行っております。
・ID+パスワード認証(必須) |
| 47 | 多要素認証、シングルサインオン、2段階認証などの適切な認証機構を導入し、運用しているか。 | ○ | 当社従業員がシステムにアクセスする場合は、2段階認証を利用しております。 |
| 48 | 一定回数の認証失敗が続いた場合、アカウントをロックしているか。 | ○ | |
| 49 | 認証情報の送信および受信には、適切な通信暗号化手段を導入しているか。 | ○ | |
| 50 | ログイン後、一定時間操作が行われなかった場合に、自動的にセッションを切断し、再度ログインを要求する仕組みを実装しているか。 | ○ | |
| 51 | パスワードが十分に強力であることを確保するため、英字の大文字と小文字を区別し、数字や特殊文字を組み合わせ、規定の文字数を設けるなど、強力なパスワードポリシーを実施しているか。 | ○ | パスワードポリシーは次のものを採用しております。
8文字以上の英数字、特殊文字!#%&:@~ |
| 52 | パスワードの入力時には、画面上に表示されないようにしているか。 | ○ | |
| 53 | パスワードの保存および伝送においては、暗号化された形式でのみ行っているか。 | ○ | |
| 54 | システムのサーバやコンポーネントにおいて、初期設定状態で使用されているパスワードが存在しないか。 | ○ | |
| 55 | サービス利用者が自分のパスワードを変更できるようにしているか。 | ○ | |
| 56 | システムの開発、保守、運用において、特権アカウントを割り当てる場合は、承認を必要とし、必要最小限に制限しているか。 | ○ | |
| 57 | プログラムソースやデータベースにアクセスできる人を制限しているか。 | ○ | 当社エンジニアのみへアクセス可能なアカウントを割り当てています。 |
| 58 | システムに対する変更に関して、特定の人のみがリリースやローンチを行えるよう、アクセスを制御しているか。 | ○ | |
| 59 | 複数のサービス利用企業によるシステム利用において、各企業の情報が適切に分離されているか。 | × | データベースやサーバーのテナントごとの分離は行っておりませんが、アプリケーションレベルでアクセス制御を行っております。 |
| 60 | 特権アカウントを使用して情報資産にアクセスする際には、アクセスログを記録しているか。 | ○ |
暗号化
| 61 | 情報の重要度や用途に応じて、適切な暗号化の方針が定められているか。 | ○ | |
| 62 | 暗号化用のキーやパスワードは、限定されたシステム管理者のみアクセスできるよう制御しているか。 | ○ | |
| 63 | データベースへのアクセスを制御し、アクセス履歴を記録しているか。 | ○ | |
| 64 | バックアップデータは、データの保護を確保するために暗号化されていて、復号化せずにデータを認識することができないようにしているか。 | ○ | |
| 65 | Webサイトにアクセスする際に、通信内容が第三者に読み取られないように暗号化されているか。 | ○ | TLS1.2以上を利用しております。 |
| 66 | サービスに保存されるデータは、ファイルシステム内で暗号化またはマスク処理されているか。 | ○ |
バックアップ
| 67 | システムとデータが予め設定された目標時間やポイントに復元できるよう、バックアップが取られているか。 | ○ | クラウド上にてデータを日次でバックアップしており、その時点までは保証しております。 |
| 68 | システムがバックアップから復旧する時は、リストアテストを行っているか。 | ○ | |
| 69 | システムのバックアップが実際に取得されていることを確認しているか。 | ○ | |
| 70 | システムのバックアップデータは、システムが設置してある場所とは物理的に離れた別拠点で保管しているか。 | ○ | |
| 71 | データをバックアップした媒体を保管する期間について規定しているか。 | ○ | バックアップはクラウド上に保持しており、外部媒体へは保管しておりません。保存期限は以下の通りです。
• 日次バックアップ/直近7日間+週次バックアップ/4週間 |
ログの取得
| 72 | システム障害や例外処理、および誤操作によるエラーに関するログを取得しているか。 | ○ | |
| 73 | サービス利用者やシステム管理者がログイン、ログアウトした際のログを取得しているか。 | ○ | |
| 74 | サービス利用者とシステム管理者が実行した操作を特定できるような操作ログを、それぞれ取得しているか。 | ○ | |
| 75 | 関連法令や規制に準拠して、ログの保管期間と管理要件を定めてルールに従い実施しているか。 | ○ | 保管期間は1年分となります。 |
| 76 | サービス利用者が依頼した場合に提供可能なログの種類(アクセスログ、操作ログ、エラーログなど)があるか。 | × | ご依頼に応じてできる限りの対応をさせていただいております。 |
| 77 | 収集されたログやバックアップデータが不正アクセスや改ざんを受けないよう、アクセス制御や暗号化などによって保護しているか。 | ○ |
脆弱性
| 78 | 脆弱性診断を実施しているか。 | ○ | 定期的に第三者もしくは自社内による Web アプリケーションの脆弱性診断を実施しています。 |
| 79 | システムの脆弱性やEOSLに関する情報を定期的に収集し、必要に応じてパッチ適用やソフトウェアのアップデートを行っているか。 | ○ | JVNやAWS Security Hub CSPMにて常時脆弱性情報を収集し、必要に応じてセキュリティパッチを当てるメンテナンスを実施しています。 |
| 80 | 不正アクセスやデータの不正取得などに対する対策について、独立した第三者機関からの客観的な評価を受けているか。 | ○ |
セキュリティインシデント、システム障害
| 81 | セキュリティインシデントやシステム障害に対する対応策を整備しているか。 | ○ | |
| 82 | システムやネットワークのパフォーマンス監視を通じて、セキュリティインシデントやシステム障害の検知を行っているか。 | ○ | |
| 83 | システムの状況を監視し、セキュリティインシデントやシステム障害を早期に検知するための対策を講じているかどうか。 | ○ | システムに重大なインシデントが発生した際は、当社関係者へ通知がされるように設定しております。 |
| 84 | 不正アクセスや不正利用に対する監視を行い、セキュリティインシデントやシステム障害の早期検知に取り組んでいるか。 | ○ | |
| 85 | ネットワーク上で不審なトラフィックや通信パターンの変化を検知するために、トラフィック監視を実施しているか。 | ○ | |
| 86 | セキュリティインシデントやシステム障害に対処するための責任や役割を明確にしているか。 | ○ | |
| 87 | システム障害が回復不能な場合には、代替措置を確立しているか。 | ○ | Precena Learning System:可能な限り講師がオンラインミーティングツールを活用することで、代替講義を行います。 Precena Nest:システム上の作業を可能な限りExcelファイルやメールでのやりとりに代替して対応します。 |
| 88 | 障害発生後のサービス提供再開に向けた目標時間の設定をしているか。 | × | 定義しておりません。ベストエフォートで復旧を行っています。 |
| 89 | 障害時における問い合わせ受付に対応しているか。 | ○ | 基本的には一般問い合わせと変わらず平日10:00-18:00(お問い合わせフォームにて受付)です。 サービスサイト上で状況は随時更新いたします。 |
サービスの運用におけるセキュリティ
| 90 | システムの変更に関して、サービス利用者向けにドキュメント化しているか。 | ○ | 変更についてはリリースノートを提示しております。 Precena Learning System Precena Nest |
| 91 | システムの変更は、承認済みの変更のみが提供されているか。 | ○ | |
| 92 | システムの変更に関して、サービス利用者に対して特定された欠陥や問題が報告されているか。 | ○ | サービスサイト上もしくはメールにて通知しております。 |
| 93 | 重要なサービス変更や終了に関して、サービス利用者に対して適切に告知しているか。 | ○ | サービスサイト上もしくはメールにて通知しております。 |
| 94 | システムにおいて、サービス提供に支障が生じた場合について、速やかに通知し、追加情報を提供するためのルールを定め、実施しているか。 | ○ | サービスサイト上もしくはメールにて通知しております。 |
| 95 | システムメンテナンス等でサービス提供に影響がある場合には、事前にサービス利用者に通知するルールを設けているか。 | ○ | サービスサイト上もしくはメールにて通知しております。 |
| 96 | データの取り扱いに関する規約や個人情報保護方針などをサービス利用者に明示しているか。 | ○ | |
| 97 | システムの本番環境で発生する不具合を事前に防ぐために、本番環境と同等の構成で構築された開発環境でテストを行い、不具合を事前に解決しているか。 | ○ | |
| 98 | コンピューターウイルスや悪意のあるソフトウェアに対する防御策として、マルウェア対策ソフトを導入し、定期的に最新のパターンファイルを取得・更新しているか。 | ○ | 定期的に最新のセキュリティ対策が適用されております。 |
| 99 | 定期的にウイルススキャンを実行しているか。 | ○ | サーバー側はアプリケーションのデプロイ時にスキャンを行い、その後もウィルスが混入しない対策を適用しています。当社従業員が利用するPCについては、ファイルの書き込み、読み取りを行った際に随時ウイルススキャンを行います。 |
| 100 | サービス提供時間に関する規定(計画的な停止時間に関する記述を含む)を設けているか。 | ○ | 24時間365日(計画停止/定期保守を除く)となります。 |
| 101 | 問い合わせ窓口を設け、サービス利用者からの問い合わせに対応しているか。 | ○ | 平日10:00-18:00(お問い合わせフォーム)にて受付後、4営業日以内に対応しています。 |
個人情報保護
| 102 | サービス利用者に対して、個人情報保護方針を公開しているか。 | ○ | |
| 103 | 個人情報保護に関する法規や規則が適用される場合、要求に沿って対処できるか。 | ○ | |
| 104 | 当該サービスにおいて、個人情報を収集しているか。 | ○ | |
| 105 | 当該サービス利用者の個人情報を、第三者に渡しているか。 | × | |
| 106 | 外部サービスの使用や外部委託によって、データが海外に移転する可能性があるか。 | × |
免責事項
| 107 | サービスレベルに関する規定はあるか。 | × | SLAまたはSLOは定義していません。 参考値として、2021年度の当社Webサービスの正常稼働率は99.9%を超える稼働を実現しています。 |
| 108 | サービス利用における条件や免責事項などが、規約等で定められているかどうか。 | ○ | 各サービスの約款にて定めております。 |
第三者委託(再委託)管理
| 109 | データを扱う委託先が存在するか。 | – | 当社は研修サービス、ウェブラーニングサービスなど全ての提供サービスにおいて、関連当事者の許可なく業務の再委託を行うことはありません。 |
| 110 | 委託先が自社と同等の情報セキュリティ基準を満たしていることを確認しているか。 | – | |
| 111 | 定期的に委託先の評価を実施しているか。 | – |