セキュリティへの取り組み

お客さまの機密性の高い情報を取り扱うsmartroundにとって、セキュリティは最優先事項です。smartroundでは様々な側面からセキュリティに取り組んでいます。

第三者評価

米国公認会計士協会（AICPA）の定めるトラストサービス規準に基づき、セキュリティ・可用性・処理の完全性・機密保持・プライバシーに関する内部統制の適切性および有効性を監査法人が作成した報告書にてご確認いただけます。

情報セキュリティマネジメントシステムに関する国際標準規格であるISO/IEC 27001(ISMS)の認証を取得しています。ISMS委員会やマネジメント（経営層）レビュー、内部監査等を定期的に実施し、情報セキュリティの向上に組織全体で取り組んでいます。

AWSのパートナーソリューションアーキテクトによるレビュー（FTR）を通過し、セキュリティ・信頼性・運用上の優秀性に関してAWSのベストプラクティスに従っていることが確認されたAWS認定ソフトウェアとなっています。

情報セキュリティ方針を策定し、組織体制、各種規程・規則、社内マニュアルに反映しています。

お客さまとsmartroundとの間の通信は常にSSL/TLSによって暗号化されており、通信内容の漏えいや悪意のある第三者による改ざんやなりすましを防ぎます。

お客さまがsmartroundに入力したデータやファイルは全て暗号化された状態でストレージに保存されています。また、データベースは毎日フルバックアップを取得し、30日分以上を保管しているほか、ファイルについても複数世代を保持し、システム障害からの復旧を可能としています。

WAFやファイアウォールなどを導入し、不正アクセスの検知および防御を行なっています。

脆弱性を検出するツールの利用や、脆弱性に関する情報の収集により、最新の脆弱性を把握する体制を敷いています。また、把握した脆弱性については重要度の高いものから随時対応しています。

smartroundではお客さまのセキュリティポリシーに沿ったご利用がいただけるよう、二段階認証、IPアドレス制限の機能を提供しています（一部のプランのみ）。

従業員が利用する社内ツール（グループウェア等）のログインには二段階認証を必須とし、不正アクセスや情報漏えいへの対策を取っています。また、各種ツールの特権アカウントは必要最小限の人員にとどめる運用としています。

smartroundのシステム運用に関わる従業員は、サーバー等へのアクセスにあたり、二要素認証による本人確認を行い、操作可能な権限については最小権限の原則を適用しています。また、操作ログを保存するとともに、不正な操作を検知可能としています。