FJAS図書クラウドサービスホワイトペーパー(第1.2版)

Similar documents
KARTE セキュリティホワイトペーパー KARTE セキュリティホワイトペーパー 2.1 版 株式会社プレイド 1

参考資料 1 既存のセキュリティ 要求基準について ISO/IEC 27017:2015 ( クラウドサービスのための情報セキュリティ管理策の実践の規範 )

metis ami サービス仕様書

スライド 1

JIS Q 27001:2014への移行に関する説明会 資料1

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

食・農クラウド Akisai 農業生産管理SaaS 生産マネジメントライト サービス仕様 第2.1版

Microsoft PowerPoint - ISMS詳細管理策講座

HULFT-WebConnectサービス仕様書

プライベートクラウドサービス仕様書 ニフクラ プライベートクラウド サービス仕様書 2019 年 8 月 23 日 ( 第 2.0 版 ) 富士通クラウドテクノロジーズ株式会社 1 富士通クラウドテクノロジーズ株式会社

FUJITSU Cloud Service for OSS 「ログ監査サービス」 ご紹介資料

ISMS認証機関認定基準及び指針

PowerPoint プレゼンテーション

HyConnect/ オープンパブリックトライアルサービスサービス仕様書 2016 年 1 月 13 日 本トライアルサービスは全て無料で利用可能です 1. リージョンについて本トライアルサービスでは 仮想システムを東日本リージョン 1 東日本リージョン 2 西日本リージョン 1 の 3 リージョン

Microsoft Word - JIS_Q_27002_.\...doc

本日のメニュー 1. 弊社紹介 2. セキュリティチェックシートについて 3. GigaCCで出来る事 4. まとめ -2-

KDDI Smart Mobile Safety Manager ios キッティングマニュアル 最終更新日 2018 年 12 月 13 日 Document ver1.0 (Web サイト ver.9.5.0)

遠隔アプリ操作マニュアル 目次 遠隔アプリ設定編 遠隔アプリ利用編 困った時は (Q&A) P2~P8 P9~P12 P13~P14 1

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

チェックリスト Ver.4.0 回答の 書き方ガイド 国立情報学研究所クラウド支援室

FUJITSU Cloud Service A5 for Microsoft Azure サービス仕様書

<4D F736F F D20939D8D87837D836A B B816996E BB8DEC8F8A816A F90BB8DEC E646F63>

利用約款別紙 SkyCDP for AWS 基本サービス仕様書 この仕様書は SkyCDP for AWS の基本サービスに関する内容 方法について記述したものです 尚 SkyCDP for AWS オプションサービスをご利用のお客様は各 SkyCDP for AWS オプションサービスのご契約内容

改訂履歴 版数発行日変更内容 第 1.0 版 2016/7/19 第 1.1 版 2016/9/29 第 1.2 版 2017/2/17 第 1.3 版 2017/7/6 初版発行 6. お問い合わせについて を Web サイトを確認頂くよう修正 SLA の サービス停止 お知らせ 目標障害復旧時間

agenewsプライバシーポリシー_0628_テキスト形式

< 目次 > 1. ビジネスポータル初回ログイン手順について Arcstar IP Voice 開通後 最初にビジネスポータルにアクセスして 初期設定をしていただく手順についてご案内します 2. ログインとダッシュボード画面の表示メニュービジネスポータルにログインし ダッシュボード画面を表示するまで

FUJITSU Cloud Service クラウドファイルサーバーサービス仕様書

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

変更履歴 日付 Document ver. 変更箇所 変更内容 015/3/ 新規追加 015/9/4 誤字修正 016// 動作環境 最新のものへ変更 全体 オペレーター の表記を削除 016/5/ 表紙 KDDI Smart Mobile Safety M

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

<4D F736F F D204E4F2E CC2906C8FEE95F195DB8CEC82C982A882AF82E98AC48DB882C98AD682B782E98B4B92F68DC C5>

FUJITSU Intelligent Society Solution 食・農クラウド Akisai 農業生産管理SaaS 生産マネジメントS サービス仕様 第1.0版

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

1. はじめに (1) 本書の位置づけ 本書ではベジフルネット Ver4 の導入に関連した次の事項について記載する ベジフルネット Ver4 で改善された機能について 新機能の操作に関する概要説明 ベジフルネット Ver4 プログラムのインストールについて Ver4 のインストール手順についての説明

3. 第三者への提供 ご提出いただいた個人情報は 以下掲げる場合に限って第三者に提供させていただくこと があります 個人情報の類型当社グループのサービスをご利用の方の個人情報当社グループへ入社を希望される方の個人情報上記以外で 当社グループへお問い合わせされた方の個人情報 第三者に提供する場合 1.

Microsoft Windows Internet Explorer は 米国 Microsoft Corporation の 米国およびその他の国における登録商標または商標です Linux は Linus Torvalds 氏の日本およびその他の国における登録商標または商標です Red Hat

Data Security and Privacy Principles

特定個人情報の取扱いの対応について

お取引先様向け 調達情報システム利用申請 追加、変更、削除用マニュアル(日本語版) Rev.1.1

PowerPoint プレゼンテーション

1

<4D F736F F D E518D6C C A95CA93595F8CC2906C8FEE95F182CC8EE688B595FB906A816982D082C88C60816A2E646F6378>

目次 目次 1. はじめに 2. ログイン ID とアクセス権限 3. 前提条件 4. 事前準備 ( ログイン ) 4-1. ログイン画面アクセス 4-2. ログイン 4-3. ログイン後 5. ホーム画面 6. 特記すべき画面操作 6-1. カレンダー表示 6-2. メニュー表示 6-3. クリッ

目次 1. 一般 目的 適用範囲 参照文書 用語及び定義 内部監査 一般 内部監査における観点 内部監査の機会 監査室

ユーザー一覧をファイル出力する ユーザーを検索する 登録したユーザー数を確認する

借上くんマイナンバー制度対応

— intra-martで運用する場合のセキュリティの考え方    

マイナンバー対策セミナー(実践編) 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

FUJITSU Cloud Service ヘルプデスクサービス仕様書

Microsoft Windows Internet Explorer は 米国 Microsoft Corporation の 米国およびその他の国における登録商標または商標です Linux は Linus Torvalds 氏の日本およびその他の国における登録商標または商標です Red Hat

はじめに 個人情報保護法への対策を支援いたします!! 2005 年 4 月 個人情報保護法 全面施行致しました 個人情報が漏洩した場合の管理 責任について民事での損害賠償請求や行政処分などのリスクを追う可能性がござい ます 個人情報を取り扱う企業は いち早く法律への対応が必要になります コラボレーシ

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

1 はじめに 概要 特徴 動作環境 本マニュアルの見かた 用語集 プロファイルについて 制約事項 ライセンス認証 ( プロファイルのインストール ) を行う..

当社が提供するクラウドサービス HULFT-WebConnect ( 以下 本サービス といいます ) のご利用にあたっては この HULFT-WebConnect 重要事項等説明書 の内容を十分にご理 解いただいたうえで お申込み下さい ご契約にあたって 1. ご契約内容に虚偽の記述があった場合等

FUJITSU Cloud Service for OSS CF サービス仕様書

ライフサイクル管理 Systemwalker Centric Manager カタログ

IWBAddーOn_Service_セキュリティーホワイトペーパー_V1.0

品質マニュアル(サンプル)|株式会社ハピネックス

Microsoft Word - (情報システム係修正)情報システムの導入と廃棄の作業マニュアル

Microsoft PowerPoint _SLE_製品選定ガイド.pptx

f-secure 2006 インストールガイド

LAN DISK NarSuSの登録方法

クラウドサービスの安全・信頼性に係る情報開示認定制度の認定サービス開示情報

SeciossLink クイックスタートガイド(Office365編)

管理区分 非管理版 文書番号 PMS-007 制定年月日 改訂年月日 改訂番号 1 購入希望の場合は P マークの取得及び更新に必須となる文書のサンプルです ページ最後の購入方法をご確認ください 修正可能なワードファイルで提供して

FUJITSU Cloud Service for OSS 「コンテナサービス」 ご紹介資料

ログを活用したActive Directoryに対する攻撃の検知と対策

情報漏洩対策ソリューション ESS REC のご説明

FUJITSU Cloud Service K5 認証サービス サービス仕様書

ISMS情報セキュリティマネジメントシステム文書化の秘訣

アナタの業務に システムをマッチさせるための仕組み

進化する ISMS ISMS 適合性評価制度の認証用基準 (ISO/IEC 27001) は 改定の度に進化している Ver. Ver. I

独立行政法人 鉄道建設 運輸施設整備支援機構 電子入札システム 初期設定マニュアル 2019 年 4 月

(Microsoft PowerPoint - More Sys Q&A.\213\244\230a2018.ppt [\214\335\212\267\203\202\201[\203h])

MailArchiva MailArchiva パブリックイメージ for NIFTYCloud 初期設定マニュアル メールアーカイブのための基本設定マニュアル 第 1.0 版 2011 年 8 月 22 日有限会社ディアイピィ

ビジネスサーバ設定マニュアルメール設定篇(VPS・Pro)

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

( 目次 ) 初回ログインクリプト便送信クリプト便受信ご参考 P2~ P6~ P11~ P14~ 本マニュアルは NRIセキュアテクノロジーズ株式会社 ( 以下 NRI 社 という ) より提供されました2014 年 12 月 1 日時点の クリプト便 ユーザーマニュアルをもとに作成しております 最

グループ一覧を並び替える すべてのユーザー グループの並び順を変更する ユーザーの登録

特定個人情報の取扱いの対応について

ISO 9001:2015 から ISO 9001:2008 の相関表 JIS Q 9001:2015 JIS Q 9001: 適用範囲 1 適用範囲 1.1 一般 4 組織の状況 4 品質マネジメントシステム 4.1 組織及びその状況の理解 4 品質マネジメントシステム 5.6 マネジ

2-3. 上記 2-2 以外の利用目的は以下の通りです 利用目的対応する利用者情報の項目 (1) 当社のサービスに関連して 個人を識別できない 端末情報形式に加工した統計データを作成するため ログ情報 Cookie 及び匿名 ID 位置情報 (2) 当社又は第三者の広告の配信又は表示のため 端末情報

ユーザーをファイルから一括登録する 登録内容を変更する ユーザーのパスワードを変更する

McAfee Application Control ご紹介

点で 本規約の内容とおりに成立するものとします 3. 当社は OCN ID( メールアドレス ) でログインする機能 の利用申込みがあった場合でも 任意の判断により OCN ID( メールアドレス ) でログインする機能 の利用をお断りする場合があります この場合 申込者と当社の間に利用契約は成立し

個人情報保護方針の例

スライド 1

【EW】かんたんスタートマニュアル

PowerPoint プレゼンテーション

privacy.pdf

Stepguide15_shisa_guard.indd

2 物理的対策関連サーバ故障時にあってもサービスを継続させるため 主要なサーバおよび接続機器は 別な物理サーバによるアクティブ - コールドスタンバイ構成による冗長構成とする (1) データ多重化ストレージ ( ハードディスク ) 故障時にあってもサービスを継続させるため 主要なサーバにおけるストレ

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

プライバシーポリシー EU 版 /GDPR 対応 株式会社オールアバウトライフワークス ( 以下 当社 といいます ) は 個人情報保護の重要性を認識し 個人情報保護に関する方針 規定及び運用体制を含む個人情報保護に関するマネジメントシステムを確立 運用し 適切な取扱いと継続的な改善に努めることを目

SigmaSystemCenter ネットワークアダプタ冗長化構築資料 第 3 版

UCSセキュリティ資料_Ver3.5

<93648EA593498B4C985E82C98AD682B782E E838A F E315F C668DDA95AA292E786C7378>

本チェックシートは サイボウズ株式会社が提供する cybozu.com サービスについて そのセキュリティ対策を記載したものです サイボウズ株式会社は 下記認証登録範囲の情報セキュリティマネジメントシステムについて ISO/IEC27001:2013/JIS Q 27001:2014 の要求事項に適

Transcription:

第 1.2 版 2019 年 01 月 ( 株 ) 富士通システムズアプリケーション & サポート

目次 はじめに... 1 ホワイトペーパーの目的... 1 本書の適用範囲... 1 図書クラウドサービスについて... 2 図書クラウドサービスとは... 2 サービス提供イメージ... 2 責任分界点について... 3 JIS Q 27017 : 2016 (ISO/IEC 27017 : 2015) への対応... 4 図書クラウドサービスの管理策 (3.2 節 ) に関する見方の説明... 4 図書クラウドサービスの管理策... 4 5.1.1 情報セキュリティのための方針群... 4 6.1.1 情報セキュリティの役割および責任... 4 6.1.3 関係当局との連絡... 4 CLD.6.3.1 クラウドコンピューティング環境における役割および責任の共有および分担... 4 7.2.2 情報セキュリティの意識向上 教育および訓練... 4 8.1.1 資産目録... 4 CLD.8.1.5 クラウドサービス利用者の資産の除去... 5 8.2.2 情報のラベル付け... 5 9.2.1 利用者登録および登録削除... 5 9.2.2 利用者アクセスの提供 (provisioning)... 5 9.2.3 特権的アクセス権の管理... 5 9.2.4 利用者の秘密認証情報の管理... 5 9.4.1 情報へのアクセス制限... 5 9.4.4 特権的なユーティリティプログラムの使用... 5 CLD.9.5.1 仮想コンピューティング環境における分離... 6 CLD.9.5.2 仮想マシンの要塞化... 6 10.1.1 暗号による管理策の利用方針... 6 11.2.7 装置のセキュリティを保った処分又は再利用... 6 12.1.2 変更管理... 6 12.1.3 容量 能力の管理... 6 CLD.12.1.5 管理者の運用セキュリティ... 6 12.3.1 情報のバックアップ... 6 12.4.1 イベントログ取得... 7 12.4.4 クロックの同期... 7 CLD.12.4.5 クラウドサービスの監視... 7 12.6.1 技術的ぜい弱性の管理... 7 13.1.3 ネットワークの分離... 7 CLD.13.1.4 仮想および物理ネットワークのためのセキュリティ管理の整合... 7 14.1.1 情報セキュリティ要求事項の分析および仕様化... 7 14.2.1 セキュリティに配慮した開発のための方針... 8 15.1.2 供給者との合意におけるセキュリティの取扱い... 8 15.1.3 ICT サプライチェーン... 8

16.1.1 責任および手順... 8 16.1.2 情報セキュリティ事象の報告... 8 16.1.7 証拠の収集... 8 18.1.1 適用法令および契約上の要求事項の特定... 8 18.1.2 知的財産権... 8 18.1.3 記録の保護... 9 18.1.5 暗号化機能に対する規制... 9 18.2.1 情報セキュリティの独立したレビュー... 9 更新履歴... 10

はじめに ホワイトペーパーの目的 図書クラウドサービスホワイトペーパー ( 以下 本書 ) は クラウドセキュリティの国際規格 (ISO/IEC 27017 : 2015) で求める要求事項に対して クラウドサービスプロバイダ (CSP) が実施する管理策をご確認いただくことを目的としています ISO/IEC 27017 は 情報セキュリティ全般に関するマネジメントシステム規格である ISO/IEC 27001 の取り組みを ISO/IEC 27017 で強化した管理策のガイドライン規格になります 本書では このガイドラインの 情報セキュリティ管理策の実践の規範 箇条 5~18(17 箇条を除く ) に沿って管理策を記載しています ISO/IEC 27017 クラウドサービスセキュリティ管理策 ISO/IEC 27001 情報セキュリティマネジメントシステム ISO/IEC 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践と規範 + 情報セキュリティマネジメントシステム要求事項 本書の適用範囲本書の適用範囲は 以下の図書クラウドサービスとなります WebiLis 公共図書館向けクラウドサービス LS@SCHOOL 学校図書館向けクラウドサービス APSELect 図書館 QA サポートサービス なお 図書クラウドサービスで提供する機能の詳細に関しては 以下サイトを参照下さい 1) 富士通システムズアプリケーション & サポート HP http://www.fujitsu.com/jp/group/fjas/ 2) 図書館ポータルサイト https://cloud-app-support.fjas.fujitsu.com/ 3) 図書館 QA サポートサイト https://www.apsel.jp/ 1

図書クラウドサービス 図書クラウドサービスホワイトペーパー 図書クラウドサービスについて 図書クラウドサービスとは富士通システムズアプリケーション & サポートが公共 学校向けに図書館業務ソフトウェアを提供する SaaS(Software as a Service) 型のクラウドサービスです サービスでは 貸出管理 返却管理 予約管理 目録登録 などを行う業務システムや 利用者がインターネットから検索 予約できる OPAC 機能を利用できます また 利用者向けサービスとして以下オプション機能も合わせてご利用できます 読書推進サービス 新しい本との出会いを提供する 読書推進サービス ほんナビきっず 子供向け読書ナビゲーションサービス サービス提供イメージ 全国公共 学校図書館 富士通システムズアプリケーション & サポート A 図書館 B 図書館 QA サポート C 小学校 D 中学校 運用 保守 富士通データセンター ( 日本国内 ) クラウド A 図書館 B 図書館 C 小学校 D 中学校 2

責任分界点について図書クラウドサービスに関する責任分界点は 以下になります ISO/IEC 27017 お客様データ ( ユーザー管理等 ) ネットワーク ( インターネットへの接続等 ) WebiLis LS@SCHOOL APSELect アプリケーション API アプリケーション アプリケーション 図書館ポータル りぶしる ミドルウェア ミドルウェア ミドルウェア OS OS OS 仮想サーバー 仮想サーバー仮想化層 ( ハイパーバイザ ) 仮想サーバー FJAS ポータル基盤 OS 物理サーバー ネットワーク ( バックボーン ) ネットワーク ( バックボーン ) 土地 建物 土地 建物 : お客様 ビジネスパートナー様の管理範囲 : 他事業者様の管理範囲 : 当社の管理範囲 :ISO/IEC 27017 の認証範囲 3

JIS Q 27017 : 2016 (ISO/IEC 27017 : 2015) への対応 図書クラウドサービスの管理策 (3.2 節 ) に関する見方の説明 3.2 節で JIS Q 27017:2016(ISO/IEC 27017:2015) が求める要求事項に対する管理策を記載します 5.1.1 情報セキュリティのための方針群 などの番号 タイトルは ISO27017 が求める 情報セキュリティ管理策の実践の規範 箇条 5~18(17 箇条を除く ) の小項目番号 要求事項原文を示し 後に続く内容は 図書クラウドサービスの要求事項に対する解釈および管理策になります 図書クラウドサービスの管理策 5.1.1 情報セキュリティのための方針群クラウドサービスプロバイダ (CSP) は クラウドサービスの提供および利用に取り組むため 情報セキュリティ基本方針を拡充することが求められています 図書クラウドサービスでは 弊社の情報セキュリティ基本方針に従いサービスを運用しています 情報セキュリティ基本方針 (http://www.fujitsu.com/jp/group/fjas/documents/about/isms/psbg_security_policy.pdf) 6.1.1 情報セキュリティの役割および責任サービス仕様書にて契約やサービスの内容を定義し サービス提供を実施しています また サービスご利用中に発生する QA 等の問い合わせ対応に関しては 弊社 QA サポートサイト利用時に合意頂いた APSELect 利用規約 にてサービスの内容を定義し サービス提供を実施しています 6.1.3 関係当局との連絡弊社の本社所在地は 宮城県仙台市青葉区中央 3-2-23 野村不動産仙台青葉通ビルとなります なお 図書クラウドサービスで保存頂くデータの所在は 日本国内のデータセンターとなります CLD.6.3.1 クラウドコンピューティング環境における役割および責任の共有および分担サービス仕様書にてサービスの内容を定義し サービス提供を実施しています また サービスに関するお問い合わせ先に関しては QA サポートサイトにて受付を行っています なお 責任分界点に関しては前出の 2.2 責任分界点について を参照下さい 7.2.2 情報セキュリティの意識向上 教育および訓練情報セキュリティ要件の周知徹底とクラウドサービスの運営ルール徹底を目的として サービスに従事する要員を対象とした教育 訓練および意識向上の策を実施しています 8.1.1 資産目録サービス利用者様の情報資産 ( 保存データ ) とサービス提供者が運営するための情報資産は明確に分離しております なお 図書クラウドサービス上に利用者様が作成 保存する情報資産は 利用者様の管理範囲となります 4

CLD.8.1.5 クラウドサービス利用者の資産の除去図書クラウドサービス上に利用者様が作成 保存したサービス利用者様の情報資産 ( 保存データ ) の除去に関しては サービス仕様書に記載された内容に従って 1 か月以内に破棄するものとします 情報資産のバックアップ等が必要となる場合には サービス仕様書に記載された内容に従って対応を実施して下さい 8.2.2 情報のラベル付けご利用いただく図書クラウドサービスの機能の詳細に関しては 各種マニュアル類も含めて QA サポートサイトにて公開しています お客様情報資産の分類 ( 一般情報 / 個人情報 / 秘密情報の区別 職員別権限設定 ) にご利用頂ける内容となっております 9.2.1 利用者登録および登録削除 1) 図書館業務図書クラウドサービス開始時にご契約いただいた内容に従って 管理者権限を有する利用者 ID をご提供致します 提供した利用者 ID にて図書館サービス運営に必要となる利用者の登録 更新 削除の機能がご利用頂けます 提供機能の利用にあたっては 操作マニュアルを参照下さい 2) QA 各種問い合わせ QA サポートサイトにてサービス利用者の登録機能を提供しています 9.2.2 利用者アクセスの提供 (provisioning) 図書館業務機能として 利用者の権限管理機能を提供しています 9.2.3 特権的アクセス権の管理図書クラウドサービスの利用にあたっては 業務起動制御 利用者 ID パスワード認証による多要素認証技術を利用しています 9.2.4 利用者の秘密認証情報の管理図書クラウドサービスの初期利用時には 管理者権限を有する利用者 ID パスワードおよび図書館業務起動の為の手順をメールまたは郵送にてご連絡させて頂いております パスワード変更にあたっては 操作マニュアルを参照下さい 9.4.1 情報へのアクセス制限図書クラウドサービスのご利用にあたっては 図書館業務の管理権限を有している利用者によって機能制限を行うことができます また 図書クラウドサービスは 図書館業務システムの SaaS(Software as a Service) 型のクラウドサービスであることから 図書館業務を扱う権限のみを付与します 9.4.4 特権的なユーティリティプログラムの使用全てのサービス利用においては 認証が必要となっており セキュリティ手順を回避し各種サービス機能の利用を可能とするユーティリティプログラムの提供は行っておりません 5

CLD.9.5.1 仮想コンピューティング環境における分離 1) シングルテナント環境の場合仮想化環境を利用し アプリケーション オペレーティングシステム ストレージおよびネットワーク論理的分離を実施しています 2) マルチテナント環境の場合マルチテナント環境では ユーザー ID によるアクセス資源の分離を実施し 別テナントへの不正アクセスを抑止しています CLD.9.5.2 仮想マシンの要塞化構築するすべての仮想化環境は ポート プロトコル IP アドレスへの制限を実施しています 10.1.1 暗号による管理策の利用方針図書館業務のお客様パスワードはハッシュ化しています 図書クラウドサービスにてお客様データをやり取りする通信は SSL/TLS 通信を用いています 11.2.7 装置のセキュリティを保った処分又は再利用機器の老朽化 故障等により交換した機器媒体の処理については 富士通の廃棄規定に基づき適切に廃棄処理を行っています 12.1.2 変更管理提供するサービスの変更を実施する場合 影響のあるお客様に変更内容を QA サポートサイト メーリングリストを通じて連絡を行います 提供サービスに変更が及ばない 定期メンテナンスの場合も連絡を行います 12.1.3 容量 能力の管理安定的にサービスを提供するため 各テナントのキャパシティを明確にし 日々の運用プロセスの中で稼働監視を行っています 監視の結果として必要と判断された場合には 適切なタイミングにて システムメンテナンスを実施します CLD.12.1.5 管理者の運用セキュリティご利用いただく図書クラウドサービスの操作方法に関しては 各種マニュアル類も含めて QA サポートサイトにて公開しています 12.3.1 情報のバックアップサービス利用者様が実施可能なバックアップ機能は 提供しておりません システムおよびお客様情報資産のバックアップに関しては 対象データ 周期 方法にて弊社が日々の運用プロセスとして実施しています 世代管理は 3 世代 障害復旧時点は前日バックアップ取得時点となります 6

12.4.1 イベントログ取得弊社の責任範囲において クラウドサービスの維持管理に必要となる適切なログを取得しています 必要な場合は 弊社問い合わせ窓口 (QA サポートサイト ) までご連絡下さい 12.4.4 クロックの同期図書クラウドサービスで利用する 物理 仮想サーバーは富士通提供の日本国内 NTP サーバーを参照することで時刻を同期 ( 日本標準時 ) します CLD.12.4.5 クラウドサービスの監視ネットワークのトラフィックおよび CPU メモリ ディスクアクセスの使用率増加を検知する監視は 弊社が実施しております 現在 結果をサービス利用者様に公開できるサービス機能は有しておりません 監視結果が必要となる場合においては 弊社問い合わせ窓口 (QA サポートサイト ) までご連絡下さい 12.6.1 技術的ぜい弱性の管理定期的にぜい弱性情報の収集を実施し サービス利用者で対応が必要となるぜい弱性情報があった場合には QA サポートサイトまたはメーリングリストにて通知連絡致します 図書クラウドサービス側での対応が必要になった場合には 定期 緊急メンテナンスにて対応を実施し メンテナンス前後で対応内容および対策後結果を随時連絡致します 13.1.3 ネットワークの分離ネットワークの仮想化技術を利用し 他のサービス利用者様とのネットワークの分離を適切に行っています また サービス提供者の社内ネットワークと図書クラウドサービス側のネットワークとは 物理的に分離されています CLD.13.1.4 仮想および物理ネットワークのためのセキュリティ管理の整合物理ネットワークと論理ネットワークの整合性がとれるように設計 構築 管理を徹底しています 14.1.1 情報セキュリティ要求事項の分析および仕様化情報セキュリティに関しましては 情報セキュリティ基本方針および サービス仕様書 当ホワイトペーパーに記載しています 下記に主なセキュリティ機能を記載します 詳細は当ホワイトペーパー該当項番をご参照下さい アクセス制限機能 (9.4.1 情報へのアクセス制限 CLD.9.5.2 仮想マシンの要塞化 ) 通信暗号化機能 (10.1.1 暗号による管理策の利用方針 ) バックアップ機能 (12.3.1 情報のバックアップ ) ログ取得機能 (12.4.1 イベントログ取得 ) 7

14.2.1 セキュリティに配慮した開発のための方針図書クラウドサービスは IPA が発行する 安全なウェブサイトの作り方 を参考に開発し 第三者によるセキュリティ問診 診断 ( 富士通として必須のセキュリティ要件 ) を実施後にサービスを提供しています また 提供中サービスにおいても年 1 回の定期診断にてセキュリティ対策を実施しています 15.1.2 供給者との合意におけるセキュリティの取扱い図書クラウドサービスは SaaS(Software as a Service) 型のクラウドサービスとなり 責任分界点の詳細に関しては前出の 2.2 責任分界点について を参照下さい また 図書クラウドサービスのセキュリティ対策に関しても 2.2 責任分岐点について に記載する弊社サービスの提供範囲において必要なセキュリティ対策を実施しています 15.1.3 ICT サプライチェーン他のクラウドサービスの供給は受けておりません 図書クラウドサービスの提供に必要となる構成要素 ( データセンターや機器等 ) の供給については 弊社セキュリティ方針を満たすようリスク管理を実施しています 16.1.1 責任および手順弊社で確認できたセキュリティインシデントに関しては 情報セキュリティ基本方針に則り 適切に対応しております また 確認できたセキュリティインシデントがお客様に重大な影響を及ぼす可能性がある場合においては 検知から 7 営業日を目標に QA サポートサイトにて通知致します 16.1.2 情報セキュリティ事象の報告 QA サポートサイトのお問合せにて 双方向での情報のやり取りを可能とする仕組みをご提供しています 尚 ご利用にあたってはサイトの利用規約を参照下さい 16.1.7 証拠の収集裁判所からの開示請求など 法律に基づいた正当な開示請求が行われた場合 利用者の同意なく 利用者のデータを第三者に開示することがあります 18.1.1 適用法令および契約上の要求事項の特定図書クラウドサービスの利用に関して 適用される 準拠法 は 日本法 となります 18.1.2 知的財産権図書クラウドサービス上でサービスをご利用いただく上で知的財産権に関わるお問い合わせは QA サポートサイトからお問い合わせ下さい 8

18.1.3 記録の保護弊社の責任範囲において お客様アクセスログを取得しています 必要な場合は 弊社問い合わせ窓口 (QA サポートサイト ) までご連絡下さい 尚 保存期間は 6 ヵ月間となります 18.1.5 暗号化機能に対する規制サービス利用者様が利用するサイトでは SSL/TLS による通信の暗号化を使用しています なお 輸出規制の対象となる暗号化の利用はありません 18.2.1 情報セキュリティの独立したレビュー社内内部監査 マネジメントレビュー 年度リスクアセスメントの実施に加え ISO/IEC 27001 ISO/IEC27017 の ISMS 認証取得 プライバシーマークの取得において第 3 者による審査を受け 情報セキュリティに対する取り組みを行うことで 常に安全なセキュリティレベルを確保しています 9

更新履歴 版数 日付 更新内容 第 1.0 版 2018/08/01 初版公開 第 1.1 版 2018/10/31 8.2.2 情報のラベル付けに具体例を追加 12.4.4 クロックの同期について日本標準時であることを追記 14.1.1 情報セキュリティ要求事項の分析および仕様化の具体例を追加 16.1.1 重大なセキュリティインシデント通知の目標時間を追記 第 1.2 版 2019/01/15 2.2, 18.2.1 ISO/IEC 27017 認証取得による表記変更 ( 取得予定を削除 ) 10

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック