主要チェックリスト |
ダイレクトクラウドの対応状況 |
データ消失及び情報漏洩対策 |
障害によるデータ消失のリスク |
クラウドサービスに障害が発生した場合、クラウドのみにデータを預けていると、大切なデータの復旧ができなくなるリスクがあります。 |
3拠点にデータ保存。過去3年間データ消失ゼロ |
データが外部に漏洩するリスク |
クラウドサービス事業者へのサイバー攻撃やその他の要因で、預けているデータが外部に漏洩する可能性があります。 |
VPC、WAF、IDS、ウイルス対策 |
アカウントが第三者に悪用されるリスク |
ウイルス感染などによって、利用しているクラウドサービスのユーザーIDやパスワードが流出した場合、第三者による不正アクセスにより、クラウドサービス上に保管している情報が漏洩する可能性あります。 |
同時ログイン禁止、ログイン通知、パスワードポリシーによる厳格なパスワード管理をサポート |
物理セキュリティ |
サーバーの設置と管理 |
不正侵入に対する防御。 |
AWS東京リージョンを利用 |
機器障害への対策 |
停電時の対策や機器に障害が発生した場合の対策。 |
サーバー冗長化、DR対策 |
情報管理担当者の情報セキュリティ対策 |
ソフトウェアの更新 |
ソフトウェア開発元の脆弱性に関するサポート情報や更新プログラムを注視し、情報管理担当者はソフトウェアを常に最新にする対応を行う必要があります。 |
定期的に更新 |
ウイルス対策 |
個人のパソコンに対するウイルス対策。組織内のネットワークを介して、ファイルサーバーやWebサーバーに感染するタイプのウイルスが急増中。
DirectCloud-BOXを介して転送されるファイルに対し、自動的にウィルススキャンを行います。 |
Cyren社のInternet Securityを採用 |
ネットワーク保護 |
第三者による不正アクセスから企業のネットワークを安全に守るためには、ファイアウォールや侵入検知システム(IDS)の導入は欠くことができません。 |
AWS VPCおよびAIDEを採用 |
不正アクセス対策 |
総当たり攻撃や情報を盗むウイルスを使った不正ログイン、SQLインジェクションまたはクロスサイトスクリプティング、セッションハイジャックのような脆弱性を突いた不正アクセスへの対策。 |
AWS WAFを採用 |
情報セキュリティポリシーの導入と運用 |
企業・組織における情報セキュリティの運用・管理するための仕組みとしてISMSに沿ったサービスの運用体制。 |
ISMS取得済み |
ログの適切な取得と保管 |
組織内部から情報漏洩等の事故が発生してしまった場合、被害状況や影響範囲の調査などの事後対応を効果的に行うため、ログ取得と保管が重要。 |
業界最多83種類のログ取得 |
社員の不正による被害と対策 |
データの持ち出しなどの不正行為を防ぐためには、ノートPCやスマートフォンから不正にアクセスできないように環境を設定したり、
上長の許可なく社内のデータを外部に持ち出すことができない環境を作る必要があります。 |
デバイス認証、上長承認をサポート |
Web脆弱性対策 |
Webアプリケーションが使われている場合には、Webサーバー経由でのデータベース接続を利用した攻撃方法「SQLインジェクション」への対策が必要。 |
AWS WAFを採用 |
セキュリティ診断 |
セキュリティ診断によって、WebアプリケーションのSQLインジェクションの脆弱性や、セッションハイジャックの脆弱性の有無などを診断することで、設置したサーバーのセキュリティ強度が確認できます。 |
年に4回の脆弱性診断を実施 |
バックアップ |
企業の情報資産に対する可用性を維持するためには、保有している情報に対する適切なバックアップが必要。 |
AWS S3利用により3拠点へ自動バックアップ |
ユーザー権限とユーザー認証の管理 |
個々の社員や部署ごとに適切なアクセス権限を設定し管理する必要があります。 |
業務シーンに応じて組織や社員ごとにアクセス権設定可能 |
社員の情報セキュリティ対策 |
安全なパスワード管理 |
他人に推測されにくく、機械的な処理で割り出しにくい安全なパスワードの作成および管理が必要となります。 |
高機能なパスワードポリシー機能を標準提供 |
外出先から業務用端末利用時の対策 |
外部にノートPCなどを持ち出した場合、紛失や盗難、自宅や外出先からの接続によるウイルス感染の危険性があります。これらのリスクを軽減するため業務用端末の情報セキュリティ対策が必要です。 |
アカウントロック、IPアドレス制限、デバイス認証を標準提供、また二要素認証も提供 |