三谷産業が提供するアウトソーシングサービス(*1)に対して、JaSROは、情報セキュリティ格付け最高位の「AAAis」(*2)を付与しました。
三谷産業「アウトソーシングサービス」
三谷産業が提供するアウトソーシングサービス(*1)に対して、JaSROは、情報セキュリティ格付け最高位の「AAAis」(*2)を付与。
2010年4月に情報セキュリティ格付を取得しており、今回15回目の更新審査を実施。
今般の格付更新において、マネジメントの成熟度及びセキュリティ管理策強度が極めて高い水準を維持しているため、継続して「AAAis」を付与しました。
また、昨年(2024年1月1日)発生した能登半島地震で、三谷産業データセンターも最大震度5強の激しい揺れに襲われましたが、今回の更新審査においても格付対象の安心・安全なセキュリティ重視サービスは地震の影響はなく、安定稼働を継続していることを確認しました。
<格付結果>
企業名 :三谷産業
格付の種別 :情報セキュリティ格付
格付IDコード:10000230115C2516
格付スコープ:アウトソーシングサービス *1
格付対象 :安心安全推進本部
コンフィデンシャルサービス株式会社
(三谷産業の子会社)
想定リスク :情報漏えい
格付符号 :AAAis(トリプルA) *2
格付の方向性:安定的
有効期間 :2025年6月9日から2026年6月8日まで(交付日から1年間)
*1:クラウド、ハウジング、ホスティング、運用支援業務及びデータ保管業務
*2:AAAisは全17段階中最高位の格付。
AAAisに求められるセキュリティ水準は「リスク耐性は極めて高く、多くの優れた要素がある」状態であり、次の2つの要件を満たす必要がある。
要件1「新たな脅威に迅速に対応し、常時、高水準の管理状態を維持、発展させている。」
要件2「常時、リスクをモニタリングし、即時に柔軟な対応ができる。」
三谷産業は、情報セキュリティに対しても積極的に取り組んでおり、2004年2月に全社におけるプライバシーマークを取得している他、アウトソーシング業務をスコープとしてISMS認証、ITSMS認証を取得しています。
また、データセンターは、FISCの「金融機関等コンピュータシステムの安全対策基準(コンピュータセンター)2022年7月」(第10版)に準拠しています。
マネジメント成熟度の観点から見れば、全社的に三谷グループとしての統制に加えてアウトソーシング事業のためのISMS推進組織である情報セキュリティフォーラムが機能しており、管理組織体制、情報セキュリティ規程類の整備、情報資産の識別、リスクアセスメント、人的セキュリティ、物理的アクセス管理、アクセス制御、委託先(子会社)管理、インシデント対応・危機管理、コンプライアンス等では非常に高いレベルで統制が進められてきています。
また、データセンターを運営する現場部門においても、顧客からの預かり資産を確実に守るため、情報セキュリティに関する情報収集の強化と周知の徹底、マニュアルでは分かりづらい操作については動画による教育の導入などを含め、物理的アクセス管理やITシステムの運用管理等を着実に実施しています。
セキュリティ管理策強度の観点から見れば、高水準の指針に準拠したデータセンター内において、セキュリティ区画の方針および境界、入退アクセス権管理では高い強度を維持しています。
また、情報機器・機密情報の持込・持出管理、廃棄処理、外部媒体への記録制限、コンピュータウイルス管理、特権ID管理等の管理策でも高い水準を維持し、さらに強化に向けた取り組みが確認され、現場レベルでの対策浸透が図られています。
また、記憶媒体の廃棄は専用ツールや磁気データ消去マシンを利用しデータセンター内で実施するなど、外部環境の変化に伴う脅威に対応する取り組みの強化を確認しました。
総じて、マネジメント成熟度では、リスクアセスメントの実施から改善への継続的なプロセスを有し、高水準の管理状態を維持・発展させています。
また、セキュリティ対策強度では、悪意のある外部者・内部者に対する管理策について講じられているレベルにあると評価できます。
これまで、自然災害(地震・台風・洪水・雪害等)の発生を想定した対応策を策定し、定期的な見直しを行ってきました。
また、地震対策マニュアルの策定、グループ全社震災訓練の実施、新型インフルエンザ対策マニュアル策定、新型コロナウイルス感染症対策マニュアル策定等、充実した取り組みを継続して実施してきました。
これらの取り組みは、経済産業省等の政府ガイドラインに則ったITサービスの継続を維持するための対策であり、また、そのファシリティ対策は、日本データセンター協会のファシリティスタンダードに準拠しています。
また、今回の更新審査においても、地震による影響はなく格付対象のすべてのサービスが安定稼働を継続していることを確認しました。
安定稼働を継続している要因として、以下の3点が重要事項としてあげられます。
● 耐震強度と立地:データセンターの心臓部と言えるサーバー棟は最大震度7にも耐えられる免振構造であることに加え、石川県能美市の丘陵地域に位置し、海抜100mで水害の心配がなく、固い地盤の上に立地しているため、耐震性にも優れています。
● 周知徹底と訓練:非常時に実行する設備点検のリストを平時から全員で共有し、訓練で動きを互いに確認しています。
例えば、年に2回、データセンターの電源を落とす訓練を実施しています。
データセンターに電力を供給する2系統の電源を同時に落とし、正しく非常用電源に切り替わることを、机上演習にとどまらず、本番さながらの状況で確認しています。
● マネジメント力:大規模災害発生時には、通常のオペレーションを超える困難が生じることが一般的に想定されます。
昨年の地震では、広域交通渋滞による到着遅延や、休暇・被災に伴う人員確保の困難さが課題として顕在化しました。
これに対し、経営陣と現場が密に連携し迅速な意思決定を行うことで、必要な人員再配置やリソース活用を実施し、継続稼働を維持した実績があります。
引き続き人的リソース確保や指揮命令系統確立を含む組織的な危機管理体制を整えています。
加えて、データセンターの利用者がカーボンニュートラルの実現に向けた意向を持つ場合には、再生可能エネルギーを用いた電力供給を選択できます。
また、これまでに仮想基盤技術の習得に取り組んできた結果、利用者の選択肢が拡がり、急激なコスト増加のリスクが抑制され、サービスの継続性向上につながる実績を確認しました。
Copyright (C) 2025 JaSRO All rights reserved.
