セキュリティと障害の対策について
人間と機器で作る以上、100%稼働保証のクラウドサービスは存在しません。
当社では、サービスの安定稼働とセキュリティの品質は、提供する企業がいかに厳格な基準を設けているか、いかに真摯に向き合い取り組むかによって大きく左右されると考え、セキュリティ対策と社員教育に非常に多くの時間とコストを費やしています。
『coming-soon』のデータセンターは日本のAmazon Web Services( AWS ) で運用しています。
AWSは、米国のCIAをはじめ多くの政府機関で採用されている実績のあるサービスです。また、金融庁の外郭団体である公益財団法人 金融情報システムセンターが、金融機関などの大規模かつセキュリティ基準の厳しいシステムにおいてクラウド活用を促進することを目的に策定した「金融機関等コンピュータシステムの安全対策基準」の項目に対しても適合しています。
セキュリティ対策
1.不正なアクセスはしっかりブロック
お客様データとシステムを守るため、DDoS対策、ファイアウォールによるブロック、コンピュータウィルス対策、スパム対策など、複数のセキュリティ対策を適切に実施しています。
2.セキュリティ問題へは迅速に対応
大規模なセキュリティ障害には迅速に対応し、重大なセキュリティホールのない体制を確保しています。
『coming-soon』の新機能の提供時にはWebアプリケーションのセキュリティ診断を行なっています。また、定期的にシステムのセキュリティ診断を実施して、セキュリティホールに適切に対応しています。
3.お客様のデータは細心の注意をはらって管理
当社は情報セキュリティマネジメントシステムの国際規格として標準化された規格「 ISO/IEC 27001 」の認証を取得し、この認証に準拠した運用を行っています。
例えば、サーバにアクセスできるのはシステム運用担当のスタッフに限定しています。運用担当者でもサーバに保管されているデータを参照するのは調査目的などお客様から依頼があった場合のみです。
運用担当者でもサーバに保管されているデータを参照するのは調査目的などお客様から依頼があった場合のみです。
また、年1回の審査機関の立ち入り監査や毎月の従業員教育など、セキュリティ対策の徹底と意識向上に努めています。
障害・災害対策
1.システム監視と障害対応
サーバやネットワーク機器の監視は、クラウドサービス監視システムとオープンソース監視システムの2系統の監視システムで24時間365日無停止で行っています。
異常の兆候を検知した場合、システム運用担当のスタッフ、当社社長に即座に通報されます。通報を受けたスタッフが状況にあわせて対応を即座に行い、また平時より障害状況にあわせた対応手順の整備を行い、迅速な復旧ができる体制を整えています。
2.サービスの継続
万が一、サーバ等の障害が発生した場合でも業務への影響を最小限にするために、予約台帳側の『coming-soon』はバックアップモードに切り替えて確認ができるようになっています。
また、売上管理のcoming-soon POSは何の切り替えをすることもなくそのままレジが動くようになっています。
バックアップ対策
1.全サーバの冗長化
データベースサーバは複数拠点に情報を瞬時に複製し、1拠点が壊れていても『coming-soon』のサービスが継続して動作するようになっています。また、データベースサーバ以外の『coming-soon』の継続動作に必要なサーバもすべて複数台で冗長化されています。
2.定期バックアップ
シンガポールにあるバックアップ用データセンターに定期的にデータを転送しており、データベースの障害時は障害発生直前のデータでリカバリーします。
データベースのフルバックアップも取得しており、障害の発生原因により適した復旧ができるようになっています。
社員教育
セキュリティ対策の最初の一歩、それは整理整頓
重要な情報なのかそうでないのか、それはすべて整理整頓をしなければわかりません。
社内が整理整頓されずゴチャゴチャしていたり、業務フローが悪ければ重要物の紛失が出てしまいます。
当社は、月1回セキュリティ対策について全社員で会議を行っており、最新セキュリティ情報の共有、改善改革を持ち回りで発表、その議事録とその後の進捗も管理しています。ヒヤリハットの共有とすぐに改善することも重大な事故防止につながります。
社内で利用する機器、持ち出し機器、私物のスマホの取り扱いには厳格な規定を設け、さらに終業時にデスクに書類は残さず鍵付きロッカーで管理、デスクでの飲食禁止、離席時のPCのパスワードロック規定など、細かい運用をしています。
こうした一つ一つの細かい取り組みが認められ、当社は情報セキュリティマネジメントの国際規格「ISO/IEC 27001」の認証を得ています。国際水準でのセキュリティ対策を施しているというお墨付きになります。
当社のこの取り組みを評価いただき、ご契約のお客様からアドバイスを求められることも多くなりました。ご希望であれば自店の顧客情報保護をどうすればよいか、セキュリティ対策へのアドバイスも行います。
ご存知でしたか?
貴店の顧客情報等を企業に預けてサービスを提供してもらう場合「プライバシーマーク (Pマーク)」では不適です。
「当社はプライバシーマークを取得しています」と宣伝している企業がありますが、この規格は、自社に帰属する個人情報保護の観点のみなので、実は他社から預かる個人情報についての観点がないのです。
他社から情報を預かる場合に適する規格は「ISO/IEC 27001(ISMS)」のみになります。
