外部機関の評価
ISMS
サイボウズ株式会社は、情報セキュリティマネジメントシステムについて、第三者機関から下記の認証を取得しています。
ISO/IEC 27001(情報セキュリティ)
- 認証登録範囲:
-
- ・自社開発クラウドサービスの運用基盤の設計、構築、保守
- ・社内情報システム基盤の設計、構築及び運用保守
- ・クラウドサービス、オンプレミス製品及び社内システムの開発
- 認証登録番号:
- IS 577142
- 認証登録機関:
- BSIグループジャパン株式会社
ISO/IEC 27017(クラウドサービスセキュリティ)
- 認証登録範囲:
- cybozu.com、Garoon、kintone、サイボウズ Office、メールワイズの提供に係るクラウドサービスプロバイダとしてのシステム運用・保守に係る ISMSクラウドセキュリティマネジメントシステム
- 認証登録番号:
- CLOUD 715091
- 認証登録機関:
- BSIグループジャパン株式会社
ISMAP
政府情報システムのためのセキュリティ評価制度(ISMAP)のクラウドサービスリストに掲載されています。
- 登録対象:
- クラウドサービス運用基盤cybozu.com、
並びにcybozu.com 上で提供するGaroon及びkintone - 登録番号:
- C21-0016-2
安全性への取り組み
第三者機関のセキュリティ監査結果公開
製品・サービスのセキュリティを確保するため、第三者機関によるセキュリティ監査を実施しています。2013年からその結果を継続的に公開しています。
セキュリティ・データのポリシー公開
お客様の情報資産保護のために各種セキュリティポリシーを策定しています。ISMS基本方針や内部統制方針、脆弱性情報の取り扱い方針、クラウドデータの管理方針等を公開しています。
セキュリティインシデント専門チームの設置
社外の組織、専門家とも協力し、インシデント発生の予防、早期検知、早期解決、被害が発生した場合の最小化を目的とした活動を行っています。お客様に安心してご利用いただけるサービスや製品を提供することを目標としています。
脆弱性報奨金制度による脆弱性の早期発見
外部の有識者の皆様にご協力いただいてサービスの脆弱性を早期に発見し改修するため、サイボウズでは脆弱性報奨金制度および脆弱性検証環境提供プログラムを提供しています。
アクセス制御
SAMLによるシングルサインオン
SAML認証
SAML認証を標準搭載しており、企業内で利用している他のシステムと認証を共通化(SSO)できます。それぞれのシステムごとにユーザー認証を行う必要がなく、一度の認証、一組のID・パスワードだけでさまざまなシステムを利用できます。
SCIMによるアカウント情報の同期
プロビジョニング
SCIMによるユーザープロビジョニングを標準搭載し、構築済みのIdentity Provider(IdP)で管理しているアカウント情報をキントーンに同期できます。
認証アプリによる2要素認証
2要素認証
ログイン時、ログイン名とパスワードによる認証に加え、認証アプリ(※)に表示される確認コードの入力が必要になり、よりセキュアにキントーン を利用することが可能です。
- 認証アプリ: Google Authenticator・Microsoft Authenticatorなど、お客様のアカウントに2要素認証を設定するために使用するアプリケーションです。
アプリ・データへの柔軟な権限設定
アクセス権
ロール、組織、ユーザー単位でのアクセス権設定が可能です。データについては、アプリ、レコード、フィールド単位でのアクセス権設定ができます。閲覧や編集権限だけでなく、CSVでの書き出しや読み込みなどの操作権限まで細かく管理できます。
オプション
接続できる端末を制限
セキュアアクセス
クライアント証明書によって接続端末を認証できます。IPアドレス制限と組み合わせて利用することで、より安全に社外からのアクセスを行えます。
想定外のIPアドレスからのアクセスを防止
IPアドレス制限
アクセスできるIPアドレスを限定し、想定外のアクセスをシャットアウトできます。
監査ログ
重要な操作は監査ログから即座に通知
監査ログ
ユーザーのログイン記録、アプリの更新やデータの削除など、システムにとって重要な操作を監査ログとして記録できるので、監査や調査を行う際の手助けになります。データ一括削除など、特に重要な操作ログが実行された際は、管理者にメール通知することも可能です。
不正ログインの有無を確認
ログイン履歴
過去2週間のログイン履歴を参照し、第三者による不正なログインがないかどうかを確認できます。また、現在有効なセッションを参照し、必要に応じてセッションを終了できます。
データの変更履歴管理と回復が可能
変更履歴
いつ、誰が、どこを、どのように変更したか、データ編集の変更履歴を残すことができます。あやまってデータを更新してしまった場合も、変更前の状態に戻すことができます。
インフラの安全性
FISC※の基準を満たしたデータセンター
高度なファシリティ用件が求められる金融機関向けの「FISC安全対策設備基準」を満たし、データセンターファシリティスタンダードでほぼすべての項目でティア4を満たしているなど、安全性の高さを誇っています。
- FISC(公益財団法人金融情報システムセンター)
データ・通信をすべて暗号化
伝送データおよび保存データは、すべて暗号化しています。
日本国内にデータを保管しすべて冗長化
社外の組織、専門家とも協力し、インシデント発生の予防、早期検知、早期解決、被害が発生した場合の最小化を目的とした活動を行っています。お客様に安心してご利用いただけるサービスや製品を提供することを目標としています。
バックアップデータを保管
予期せぬ障害や災害に備えてバックアップデータを保管しています。
- お客様の誤操作等によるデータ紛失時の復旧機能ではございません。
24時間体制の障害対策
障害が発生した場合は、できる限り早く復旧できる環境・体制づくりを行っています。24時間体制で死活監視すると共に、ハードウェア障害を自動で復旧する仕組みも構築しています。
セキュリティチェックシート
セキュリティチェックシート
経済産業省が発行する「クラウドサービス利用のための情報セキュリティマネジメントガイドライン2013年版」をもとに、よくある質問などを追記したチェックシートを公開しています。
セキュリティ評価プラットフォーム「Assured(アシュアード)」
サイボウズのクラウドサービスのセキュリティ情報は、クラウドサービスのリスク評価情報を集約するプラットフォーム「Assured(アシュアード) 」からもリクエストいただけます。