クリプト便の運用業務に対して、JaSROは、14年間連続で情報セキュリティ格付け最高位の「AAAis」(*1)を付与しました。
NRIセキュアテクノロジーズは、2001年にWebブラウザから安全に電子ファイルを送受信できるセキュアファイル転送/共有サービス「クリプト便」のサービスを開始。
NRIセキュアテクノロジーズ「クリプト便」
クリプト便の運用業務に対して、JaSROは、14年間連続で情報セキュリティ格付け最高位の「AAAis」(*1)を付与。
NRIセキュアテクノロジーズは、2001年にWebブラウザから安全に電子ファイルを送受信できるセキュアファイル転送/共有サービス「クリプト便」のサービスを開始しました。
2011年5月にクラウド(ASP/SaaS)サービスとして初めて国内最高の「AAAis」を付与しました。
今般の格付更新において、マネジメントの成熟度及びセキュリティ対策の強度が極めて高い水準で講じられており、新たな脅威にも迅速かつ適切に対処できるケイパビリティを有することにより、14年間連続で情報セキュリティ格付け最高位の「AAAis」を付与しました。
<格付結果>
企業名 :NRIセキュアテクノロジーズ株式会社
格付の種別 :情報セキュリティ格付
格付IDコード:10000080206C2414
格付スコープ:クリプト便サービス運用業務
格付対象 :クリプト便サービス運用チーム
想定リスク :情報漏えい
格付符号 :AAAis(トリプルA) *1
格付の方向性:安定的
有効期間 :2024年9月28日から2025年9月27日まで(交付日から1年間)
*1:AAAisは全17段階中最高位の格付。
AAAisに求められるセキュリティ水準は「リスク耐性は極めて高く、多くの優れた要素がある」状態であり、次の2つの要件を満たす必要がある。
要件1「新たな脅威に迅速に対応し、常時、高水準の管理状態を維持、発展させている。」
要件2「常時、リスクをモニタリングし、即時に柔軟な対応ができる。」
シンボルマーク「AAAis」
情報セキュリティのスペシャリスト集団として、2003年5月にはISO/IEC 27001(ISMS)の認証を全社全部署にて一括取得している。
2020年4月にはISO/IEC 27017(ISMSクラウドセキュリティ)、ISO/IEC 27018(パブリッククラウドにおける個人情報の保護に特化した基準)、PCI DSS(クレジットカード業界の国際的なセキュリティ基準)に準拠したことを示す認証をクリプト便サービスにて取得するなど、自社のセキュリティ確保が他社の模範となるよう弛まぬ努力を続けている。
これらの活動によってセキュリティ対策が高い水準で維持されていることから、クレジットカード情報やマイナンバー等の機密度の高いデータのやり取りに利用されている。
また、クリプト便は、政府情報システムのためのセキュリティ評価制度(ISMAP)に認定(登録日2023年12月25日)され、これまで磨き上げてきたセキュリティ対策が政府の定めるセキュリティ水準を満たしていることが示された。
政府はクラウドサービス調達に際して、認定されたサービスの中から選択することが求められる。
また、政府の調達主体は中央省庁から外郭団体等に益々拡大する見通しとなっている。
この認定を機に、クリプト便は、政府だけでなく民間企業・団体においても機密情報のやり取りを安全に行える点や大容量のファイル転送ができる点がこれまで以上に評価されると考えられる。
マネジメント成熟度の観点からは、セキュリティ統括責任者を中心とする強固な組織体制が維持されており、体系的に整備された規程類も着実に更新されている。
また、ワークフローを取り入れた実装・運用管理が引き続き確実に行われている。
年次でeラーニングを実施するなど、社内教育による意識向上も継続的に図られている。
さらに、自社開発ツールを社内でも導入するとともに、他社のソリューションも柔軟に組み合わせながら、一元的な情報管理が可能となるよう効率化に取り組んでいる。
セキュリティ対策の強度の観点からは、上述のとおり自社の製品・サービスを活用しながら、本番機へアクセスする際の専用室、専用端末の設置をはじめ、サーバへのアクセスチェック機能や脆弱性検査、ファイアーウォールの24時間監視、サイバー攻撃の脅威への対策、書庫へのアクセス権管理などの強化を継続的に図っている。
クリプト便サービス運用業務では、自社内に蓄積されたセキュリティ管理技術をふんだんに織り込みサービスを提供している。
また管理職によるレビューや複数名による作業実施の徹底などを通じて、正当な権限を有する悪意ある内部者に対する管理策も引き続き有効に機能している。
総じて、マネジメント成熟度の観点では新たな脅威に迅速に対応し、常時、高水準の管理状態を維持・発展させている。
またセキュリティ対策強度の観点では、悪意ある内部者に対する管理策が講じられているとともに、常時リスクをモニタリングし、即時に柔軟な対応ができる体制が維持されている。
〇格付結果
クリプト便の格付結果は当機構HP(下記リンク)を参照ください。
http://jasro.org/client/index.html
〇NRIセキュアテクノロジーズ株式会社・セキュアファイル転送/共有サービス・クリプト便
クリプト便については同社HP(下記リンク)を参照ください。
https://www.nri-secure.co.jp/service/solution/crypto
〇政府情報システムのためのセキュリティ評価制度(ISMAP(Information system Security Management and Assessment Program:イスマップ))
「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定)に基づき、内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省が運営する制度です。
政府が求めるセキュリティ要求を満たすクラウドサービスをあらかじめ評価・登録しておくことにより、政府のクラウドサービス調達に際してセキュリティ水準の確保を図るとともに、クラウドサービスの円滑な導入に資することを目的とした制度です。
詳細は、政府HP(下記リンク)をご参照ください。
https://www.ismap.go.jp/csm
<お問い合わせ先>
一般社団法人日本セキュリティ格付機構 企画部
E-mal: [email protected]
情報セキュリティ格付は、被格付組織等から入手した情報に依拠して形成した当機構の意見であり、その正確性、完全性、網羅性等は必ずしも保証されてはいません。
格付事由書、格付レポート等は、原則として被格付組織または被格付組織の格付けを要請した者からの依頼に基づき有償で作成されたものであり、被開示者、閲覧者等には参考情報として提供されるものです。
格付事由書および格付レポート等は、被格付組織の事業やサービス、被格付組織との取引や情報共有等を推奨するものではありません。
当機構は、情報セキュリティ格付に関するクレーム、訴訟その他の紛争、被格付組織その他の第三者に関して生じうる一切の損害、損失、費用等について責任を負うものではありません。
なお、情報セキュリティ格付に関する一切の著作権その他の知的財産権、営業秘密、ノウハウその他の権利・利益は当機構に留保され、当機構に専属的に帰属するものとします。
Copyright (C) 2024 JaSRO All rights reserved.
