CIA

機密性(Confidentiality)

完全性(Integrity)

可用性(Availability)

ISMS

認証審査

初回認証審査

認証取得後

リスクアセスメント

どのようなリスクが存在し(リスク特定)、それがどの程度発生しやすいのか、発生したときにどの程度の影響があるのかを明らかにし(リスク分析)、予め定められているリスク受容基準と比較してリスク評価するまでのプロセスのこと

ISMS/ISO27001 認証取得コンサルティング

ISO/IEC 27001(情報セキュリティ)

ISO/IEC 27017(クラウドサービスセキュリティ)

SOC

SOC 1/2/3

SOC 1

その会社の財務報告に関連する内部統制の評価を行います。情報システムを委託している顧客(ユーザー)が財務諸表監査にあたって内部統制の監査を受けた際に、事業者側の内部統制の情報としてSOC1の報告書を利用することができます。

SOC2

企業が監査してほしいサービスやシステムを対象に、セキュリティや可用性などの統制を評価します。具体的には「セキュリティ」「可用性」「処理のインテグリティ」「機密保持」「プライバシー」の5つの指標があり、この中から任意の項目について評価を受けます。前掲のとおり、当社の場合、セキュリティと可用性について評価を受けています。

SOC3

SOC2と評価する規準は変わりませんが、前述のとおり、広く公開することを目的とします。そのためSOC2と比べ報告書は簡潔なものとなります。

Type 1/2

type1

ある一日について評価を受けます。

type2

一定の期間(半年以上)について評価を受けます。

SOC1 Type2

取得例

IT統制

IT全社的統制

ITGC(IT全般統制)

IT業務処理統制

リスク管理

コンプライアンス管理

IT規程

開発標準

内容

システム管理規定

システム運用規定

変更管理

デバイス管理

UEM

BYOD

関連サービス

ログ管理

ログ管理3つの観点

利用状況の把握

不正アクセスの把握

内部統制

ログ保管

オンライン保管

オフライン保管

保存しているログに完全性が求められるため、以下の点に考慮する必要がある。

関連サービス

アクセス管理

アカウント

パスワード

バックアップ

外部メモリ

オペレーション

障害対応

災害対応 

関連サービス

ワンタイムパスワード

パソコンの個体情報

ASPサービスの情報セキュリティ

【対外的な説明や証明について調査中】

SSL

個人情報保護のためのセキュリティとして、SSL(Secure Sockets Layer)を用いた暗号化通信を使用しております。SSLはウェブサイト上での通信の安全対策として用いられている一般的な技術であり、入力されたデータをインターネットへ送信する前に、暗号化を行うことで傍受を防止します。

WebサービスのAPI認証


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS