セキュリティ
『顧客接点強化』と『業務効率化』に必要な業務アプリを構築・運用できる
ローコード開発プラットフォーム「SPIRAL® ver.1」のセキュリティをご紹介します。
さらに詳しい内容は
お問い合わせください
お問い合わせ
セキュリティで選ぶなら
SPIRAL® ver.1
クラウドサービスとして20年に渡り、サービスを提供してきたSPIRAL® ver.1は、時代とともに高まる安全と安心に関するご要望に
お応えするために継続的な対策を実施し、セキュリティに厳格な延べ200以上の金融機関のお客様にご導入いただいております。
引き続き、ご安心いただけるサービスを提供できるよう継続的にセキュリティ対策を強化しています。
セキュリティ対策の詳しい説明が聞きたい、個別のセキュリティチェックシートに対応して欲しいなどのご要望にもお応えします。
お気軽にお問い合わせください。
SPIRAL® ver.1の
セキュリティ対策
1. インフラの対策
不正アクセス対策を考慮した
システム構成
ファイアウォールによる保護。IDS/IPS、WAFの導入。顧客データが格納されるDBサーバーは、インターネットから直接アクセスできない内部セグメントに配置。
データセンター選定
耐震・免震、有人監視のほか、厳しい選定基準を設けております。
365日24時間監視体制
「SPIRAL® ver.1」のサーバーおよびネットワークを365日24時間監視しております。
障害発生時の対応
偶発事故や災害時には、即座に専任スタッフに連絡が入ります。状況を把握、対処し、復旧ののちにユーザー様に障害原因などの報告を行っております。
- SSL暗号化標準装備
- 電子署名付きメール対応
- ログイン/ログアウト履歴
- S/MIME通知メール標準対応
- 自動ログアウト
- ユーザー認証
2.アプリケーションの対策(SPIRAL® ver.1のセキュリティ強化機能)
個別開発用アプリケーションの対策
(一部)
標準対応
メール対応
ログアウト履歴
スクリプティング対策
ジャッキング対策
ローコード開発用アプリケーションの
対策
IPアドレス制限
特定のIPアドレスからのみ管理画面にアクセスできるようにするものです。社内IPアドレスからのアクセスのみ許可すれば、社外からのアクセスや社外への情報持ち出しを防ぐことができます。
SSLクライアント認証
証明書のある端末からのみ管理画面にアクセスできるようにするものです。お客様固有のID、パスワードに加えて利用することでさらに強固なセキュリティを築くことができます。
運用・監視
不正ソフトウェアから保護するため、セキュリティ関連情報の収集および分析、必要なセキュリティパッチの適用などの対策を講じ、サービスの提供に致命的な支障がある場合または支障を来す恐れがある場合、速やかにシステムの更新を実施。
第三者によるセキュリティ診断
第三者機関によるセキュリティ診断を定期的に実施。
SPIRAL® ver.1のシステム(※)に対し、株式会社ブロードバンドセキュリティによるWebアプリケーション診断を実施した結果、SQLインジェクションやクロスサイトスクリプティング、認証回避といった攻撃に対する脆弱性など、情報漏洩や改竄に繋がる危険度の高い脆弱性は検出されず、最高レベルの「A」の評価をいただきました。(2023年12月現在)
- SPIRAL® ver.1で発行したWebフォーム
組織的な対策
1. 体制
社外からセキュリティ専門家を技術顧問に迎え、セキュリティ対策会議を常設し、継続的にセキュリティを強化しています。
社外技術顧問には、当社のセキュリティ強化に関する戦略および強化施策の策定、開発・運用に関するセキュリティ管理体制の構築と育成、施策検討などを担っていただいています。
社外技術顧問 紹介
徳丸浩 氏
イー・ガーディアングループ EGセキュアソリューションズ株式会社 取締役CTO
独立行政法人情報処理推進機構(IPA)非常勤研究員
技術士(情報工学部門)
OWASP Japanアドバイザリーボードメンバー
略歴
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社を設立。
脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行っている。2015年よりイー・ガーディアングループに参画。
岡田良太郎 氏
株式会社アスタリスク・リサーチ エグゼクティブ・リサーチャ
CISA、MBA
略歴
神戸市立工業高等専門学校電気工業科卒業後、ソフトウェアエンジニアとしてソフトハウス、メーカー系研究所、コンサルティングファーム、ベンチャーでの勤務を経て、2006年、アスタリスク・リサーチ社を創業。コンセプト“Enabling Security”を掲げ、セキュリティを実装する技術とビジネス環境整備の視点からセキュリティリサーチ・コンサルティングを推進している。
オープンな活動として、WASForum Hardening Projectオーガナイザ、OWASP Japan Chapterリーダーとしてセキュリティ実装を推進しており、2014年にThe OWASP Foundationより“Best Chapter Leader”を受賞した。また、ビジネス・ブレークスルー大学(学長:大前研一)「教養としてのサイバーセキュリティ」講座を担当、総務省実践的サイバー防御演習CYDER委員などを通じ、広くセキュリティ実践を推進している。
2. マネジメントシステム
各種認証を取得するとともにマネジメントシステムの強化に努めております。
<認証登録範囲>
- ISO27001情報資産プラットフォーム事業における企画、開発、保守、サポートおよび販売業務
- ISO27017情報資産プラットフォーム SPIRAL® ver.1 および SPIRAL® ver.2 の提供に係るクラウドサービスプロバイダとしてシステム開発・保守におけるISMSクラウドセキュリティマネジメントシステム
- ISO20000SPIRAL®事業関連部門における顧客向けプラットフォームサービスの提供をサポートするITサービスマネジメントシステム
- ISO9001情報資産プラットフォーム事業における企画、開発、保守、サポートおよび販売業務
3. 【総務省推進制度】ASP・SaaS安全・信頼性に係る情報開示認定、 IaaS・PaaS安全・信頼性に係る情報開示認定
SPIRAL® ver.1は、総務省が推進する「ASP・SaaSの安全・信頼性に係る情報開示指針」(2007年11月)に基づく 「ASP・SaaS 安全・信頼性に係る情報開示認定制度」により、「安全・信頼性の情報開示基準を満たしているサービス」に認定されました。(2008年5月)
また、2012年12月には、同様に総務省が推奨する「IaaS・PaaSの安全・信頼性に係る情報開示指針」 (2011年12月)に基づく「IaaS・PaaSの安全・信頼性に係る情報開示認定制度」により、「安全・信頼性の情報開示基準を満たしているサービス」に認定されています。
セキュリティ対策の詳しい説明が聞きたい、
個別のセキュリティチェックシートに対応して欲しいなどのご要望にもお応えします。
お気軽にお問い合わせください。