【経済産業省】クラウドサービスレベルのチェックリスト

Brushupのご利用にあたり、セキュリティ評価が必要な場合は、
【経済産業省】クラウドサービスレベルのチェックリスト を公開しておりますので、
お客様のセキュリティ基準を満たしているかのご判断にご利用ください。
記載内容にご不明点がある場合はお問合せください。


 

No. 種別 サービスレベル項目例 規程内容 対応/可否 内容
  アプリケーション運用
1 可用性  サービス停止時間 サービスを提供する時間帯(設備やネットワーク等の点検/保守のための計画停止時間の記述を含む) 24時間365日
(計画停止/定期保守を除く)
2  計画停止予定通知 定期的な保守停止に関する事前連絡確認(事前通知のタイミング/方法の記述を含む) メンテナンス停止日の2週間前に、書面の送付、電子メールの送信、またはサービス若しくはサイトへの掲載等で連絡します。
3  サービス提供終了時の事前通知 サービス提供を終了する場合の事前連絡確認(事前通知のタイミング/方法の記述を含む) 利用規約(https://www.brushup.net/terms/)の「第 12 条 本サービスの変更、中断、終了」にて規定しています。本サービスを終了する場合は、終了の 30 日以上前にサイト上で告知を行います。
4  突然のサービス提供停止時の対処 プログラムや、システム環境の各種設定データの預託等の措置の有無 お客様データ保護はバックアップを行い保護していますが、突然のサービス停止に対しては可能な範囲で迅速にシステムの復旧に努めます。
5  サービス稼働率 サービスを利用できる確率((計画サービス時間-停止時間)÷計画サービス時間)   サービス稼働率は公開しておりませんが、メンテナンス停止を除き、24時間365日利用可能です。
6  ディザスタリカバリ 災害発生時のシステム復旧/サポート体制 Amazon Web Services(以下、AWS)データセンターにて対策をしています。
https://aws.amazon.com/jp/compliance/data-center/controls/
7  重大障害時の代替手段 早期復旧が不可能な場合の代替措置   代替措置はございませんが、可能な限り迅速に復旧します。
8  代替処置で提供するデータ形式 代替措置で提供されるデータ形式の定義を記述 アップロードしたファイル(画像・動画)について、ダウンロード機能を利用して取得いただけます。
9  アップグレード方針 バージョンアップ/変更管理/パッチ管理の方針 AWS の責任共有モデルにより、AWS が責任を保有する OS やミドルウェア等については AWS が随時パッチを適用し、サービス提供事業者が責任を保有する OS やミドルウェア等についてはサービスへの影響範囲を見極め、対応を計画してから作業します。
10 信頼性  平均復旧時間(MTTR) 障害発生から修理完了までの平均時間(修理時間の和÷故障回数)   規程は定めていませんが、可能な限り迅速に復旧します。
11  目標復旧時間(RTO) 障害発生後のサービス提供の再開に関して設定された目標時間   規程は定めていませんが、可能な限り迅速に再開します。
12 目標復旧時点(RPO) 障害発生後のサービス提供再開に対応するバックアップ世代管理の目標時間 当日の午前3時までのバックアップデータを元に復旧させますが、バックアップで終了していない場合、前々日の午前3時のバックアップデータを復旧させます。
13  障害発生件数 1年間に発生した障害件数/1年間に発生した対応に長時間(1日以上)要した障害件数 1年間に発生した対応に長時間(1日以上)要した障害件数:0件
14  システム監査基準 システム監視基準(監視内容/監視・通知基準)の設定に基づく監視 死活監視、リソース監視、性能監視をしています。
15  障害通知プロセス 障害発生時の連絡プロセス(通知先/方法/経路) 障害対応ガイドラインに定めており、障害レベルに沿って、サービス内・ヘルプセンター・メールで通知いたします。
16  障害通知時間 異常検出後に指定された連絡先に通知するまでの時間   規程はありませんが、可能な限り迅速に通知します。
17  障害監視間隔 障害インシデントを収集/集計する時間間隔 常時監視しています。
18  サービス提供状況の報告/間隔 サービス提供状況を報告する方法/時間間隔   規程はありませんが、可能な限り迅速に通知します。
19  ログの取得 利用者に提供可能なログの種類(アクセスログ、操作ログ、エラーログ等) 利用者の利用状況を記録した監査ログについてご提供可能ですが、別途料金が発生するオプションでのご提供になります。期間:1年分
20 性能  応答時間 処理の応答時間   公開しておりません。
21  遅延 処理の応答時間の遅延継続時間   公開しておりません。
22  バッチ処理時間 バッチ処理(一括処理)の応答時間   公開しておりません。
23 拡張性 カスタマイズ性 カスタマイズ(変更)が可能な事項/範囲/仕様等の条件とカスタマイズに必要な情報 一部入力項目などをユーザーによりカスタマイズ可能です。
24 外部接続性 既存システムや他のクラウド・コンピューティング・サービス等の外部のシステムとの接続仕様(API、開発言語等) APIを提供しております。
25 同時接続利用者数 オンラインの利用者が同時に接続してサービスを利用可能なユーザ数 制限はありません
26 提供リソースの上限 ディスク容量の上限/ページビューの上限 ディスク容量は契約アカウント数に基づきます(1アカウントあたり10GB〜20GB×契約アカウント数)。また、ディスク容量だけの追加もオプションで可能でございます。ページビューとしても上限はございません。
サポート
27 サービス提供時間帯(障害対応) 障害対応時の問合せ受付業務を実施する時間 24時間365日
28 サービス提供時間帯(一般問合せ) 一般問合せ時の問合せ受付業務を実施する時間帯 9:00~18:00の営業時間内(電話、メール)
(年末年始・土日・祝祭日を除く)
  データ管理
29 バックアップの方法 バックアップ内容(回数、復旧方法など)、データ保管場所/形式、利用者のデータへのアクセス権など、利用者に所有権のあるデータの取扱方法 バックアップ方法 … 自動フルバックアップ
保存期間 … 35日間
保存先 … AWS S3(東京リージョン)
30 バックアップデータを取得するタイミング(RPO) バックアップデータをとり、データを保証する時 日次(03:00 JST)
31 バックアップデータの保存期間 データをバックアップした媒体を保管する期限 保存期間 … 35日間
32 データ消去の要件 サービス解約後の、データ消去の実施有無/タイミング、保管媒体の破棄の実施有無/タイミング、およびデータ移行など、利用者に所有権のあるデータの消去方法 利用規約 第 8条 送信情報にて定めております
33 バックアップ世代数 保証する世代数 35世代
34 データ保護のための暗号化要件 データを保護するにあたり、暗号化要件の有無 AES-256でデータベースを暗号化しています。
35 マルチテナントストレージにおけるキー管理要件 マルチテナントストレージのキー管理要件の有無、内容 AWS Key Management Serviceで個別キー管理を行なっております。
36 データ漏えい・破壊時の補償/保険 データ漏えい・破壊時の補償/保険の有無 利用規約「第 13 条 紛争処理及び損害賠償」に記載しています。
https://www.brushup.net/terms/
保険:有
37 解約時のデータポータビリティ 解約時、元データが完全な形で迅速に返却される、もしくは責任を持ってデータを消去する体制を整えており、外部への漏えいの懸念のない状態が構築できていること 解約時はデータを消去する体制を整えています。
38 預託データの整合性検証作業 データの整合性を検証する手法が実装され、検証報告の確認作業が行われていること   検証する仕組みはありません。ただし、通信暗号化やWAF、ファイルのマルウェアスキャン、サーバのファイルシステムの読み取り専用の措置により改ざん自体を防止しています。
39 入力データ形式の制限機能 入力データ形式の制限機能の有無 不正データを制限する仕組みとなっております。
  セキュリティ
40 公的認証取得の要件 バックアップ内容(回数、復旧方法など)、データ保管場所/形式、利用者のデータへのアクセス権など、利用者に所有権のあるデータの取扱方法 ISMS認証取得
https://isms.jp/lst/ind/CR_IS 775300.html
41 アプリケーションに関する第三者評価 第三者によるウェブアプリケーション脆弱性評価実施 有(第三者による脆弱性診断を実施)
年間を通してWeb サービス全体の診断を実施しています。年1回、外部機関による評価を受けております。
42 情報取扱い環境 データをバックアップした媒体を保管する期限 AWS上に自動バックアップを行なって入り、35日間保管しています。
43 通信の暗号化レベル システムとやりとりされる通信の暗号化強度 利用者とシステム間の通信はTLS1.2以上に対応しています。
44 会計監査報告書における情報セキュリティ関連事項の確認 会計監査報告書における情報セキュリティ関連事項の監査時に、担当者へ以下の資料を提供する旨「最新のSAS70Type2監査報告書」「最新の18号監査報告書」   対応していません。
45 マルチテナント下でのセキュリティ対策 異なる利用企業間の情報隔離、障害等の影響の局所化 論理的に他社データと分離し、相互に閲覧できないよう制御しています。
46 情報取扱者の制限 利用者のデータにアクセスできる利用者が限定されていること利用者組織にて規定しているアクセス制限と同様な制約が実現できていること アクセス権は限定された担当者ごとにアクセス範囲が決められており、運用者の監査ログを取得して、監視しております。
47 セキュリティインシデント発生時のトレーサビリティ IDの付与単位、IDをログ検索に利用できるか、ログの保存期間は適切な期間が確保されており、利用者の必要に応じて、受容可能に期間内に提供されるか 権限に沿ったID管理を行なっております。
48 ウイルススキャン ウイルススキャンの頻度 運用管理端末は振る舞い検知型のウィルス対策ソフトを導入しており、リアルタイムスキャンを行なっております。
49 二次記憶媒体の安全性対策 バックアップメディア等では、常に暗号化した状態で保管していること、廃棄の際にはデータの完全な抹消を実施し、また検証していること、USBポートを無効化しデータの吸い出しの制限等の対策を講じていること 二次記憶媒体を使用せず、AWS上に自動バックアップを行なっており、許可された権限者のみアクセス可能です。運用管理端末においては、外部記憶媒体の利用はなく、USBデバイスの制御により利用を監視しております。
50 データの外部保存方針 データ保存地の各種法制度の下におけるデータ取扱い及び利用に関する制約条件を把握しているか 把握しております。
この記事は役に立ちましたか?
1人中0人がこの記事が役に立ったと言っています