| A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | さー | |||||||||||||||||||||||
2 | クラウドサービスレベルのチェックリスト | 記入日: 2024/06/01 | ||||||||||||||||||||||
3 | 会社名:Yoom株式会社 | |||||||||||||||||||||||
4 | ||||||||||||||||||||||||
5 | No. | 種別 | サービスレベル項目例 | 規定内容 | 回答 | |||||||||||||||||||
6 | アプリケーション運用 | |||||||||||||||||||||||
7 | 1 | 可用性 | サービス時間 | サービスを提供する時間帯 (設備やネットワーク等の点検/保守のための計画停⽌時間の記述を含む) | 24 時間 365 日(計画停止/定期保守を除く) | |||||||||||||||||||
8 | 2 | 計画停⽌予定通知 | 定期的な保守停⽌に関する事前連絡確認 (事前通知のタイミング/⽅法の記述を含む) | 有 | ||||||||||||||||||||
9 | 3 | サービス提供終了時の事前通知 | サービス提供を終了する場合の事前連絡確認 (事前通知のタイミング/⽅法の記述を含む) | 有 90日以上前にメールにて通達。 | ||||||||||||||||||||
10 | 4 | 突然のサービス提供停⽌に対する対処 | プログラムや、システム環境の各種設定データの預託等の措置の有無 | 無 | ||||||||||||||||||||
11 | 5 | サービス稼働率 | サービスを利⽤できる確率 ((計画サービス時間-停⽌時間)÷ 計画サービス時間) | 直近3ヶ月において99.9%以上。 | ||||||||||||||||||||
12 | 6 | ディザスタリカバリ | 災害発⽣時のシステム復旧/サポート体制 | 有 クラウド管理されているバックアップデータより対応エンジニアが復旧対応を実施。 | ||||||||||||||||||||
13 | 7 | 重⼤障害時の代替手段 | 早期復旧が不可能な場合の代替措置 | 有 | ||||||||||||||||||||
14 | 8 | 代替措置で提供するデータ形式 | 代替措置で提供されるデータ形式の定義を記述 | 有 障害時など特別な場合にのみ.sql形式で提供。 | ||||||||||||||||||||
15 | 9 | アップグレード方針 | バージョンアップ/変更管理/パッチ管理の方針 | 有 ベストエフォート型で対応。 | ||||||||||||||||||||
16 | 10 | 信頼性 | 平均復旧時間(MTTR) | 障害発⽣から修理完了までの平均時間(修理時間の和÷故障回数) | 30分以内(営業時間内) 24時間以内(営業時間外) | |||||||||||||||||||
17 | 11 | ⽬標復旧時間(RTO) | 障害発⽣後のサービス提供の再開に関して設定された⽬標時間 | 10分 | ||||||||||||||||||||
18 | 12 | 障害発⽣件数 | 1年間に発⽣した障害件数/1年間に発⽣した対応に⻑時間(1⽇以上)要した 障害件数 | 直近3ヶ月では件数が1。復旧に⻑時間(1⽇以上)要した障害件数が0件。 | ||||||||||||||||||||
19 | 13 | システム監視基準 | システム監視基準(監視内容/監視・通知基準)の設定に基づく監視 | 有 24時間ハードウェア及びネットワークのパフォーマンス監視。 | ||||||||||||||||||||
20 | 14 | 障害通知プロセス | 障害発⽣時の連絡プロセス(通知先/⽅法/経路) | 有 メールにて影響のあったご契約者に通達。 | ||||||||||||||||||||
21 | 15 | 障害通知時間 | 異常検出後に指定された連絡先に通知するまでの時間 | 弊社担当者への通知は1分以内。影響が⼤きい障害に関しては、お客様への通知を可能な限り迅速に実施。 | ||||||||||||||||||||
22 | 16 | 障害監視間隔 | 障害インシデントを収集/集計する時間間隔 | 営業時間内/1分以内 営業時間外/実施なし | ||||||||||||||||||||
23 | 17 | サービス提供状況の報告⽅法/間隔 | サービス提供状況を報告する⽅法/時間間隔 | 必要に応じて、メールにて通知。 | ||||||||||||||||||||
24 | 18 | ログの取得 | 利⽤者に提供可能なログの種類(アクセスログ、操作ログ、エラーログ等) | 原則ログの提出不可。重大な障害発生時に限り応相談。 | ||||||||||||||||||||
25 | 19 | 性能 | 応答時間 | 処理の応答時間 | 平均1秒以内 | |||||||||||||||||||
26 | 20 | 遅延 | 処理の応答時間の遅延継続時間 | 1分 | ||||||||||||||||||||
27 | 21 | バッチ処理時間 | バッチ処理(⼀括処理)の応答時間 | 3時間以内 | ||||||||||||||||||||
28 | 22 | 拡張性 | カスタマイズ性 | カスタマイズ(変更)が可能な事項/範囲/仕様等の条件とカスタマイズに必 要な情報 | 無 | |||||||||||||||||||
29 | 23 | 外部接続性 | 既存システムや他のクラウド・コンピューティング・サービス等の外部のシス テムとの接続仕様(API、開発⾔語等) | 有 外部サービスからwebhookを受け取ることが可能なエンドポイントを提供。 | ||||||||||||||||||||
30 | 24 | 同時接続利⽤者数 | オンラインの利⽤者が同時に接続してサービスを利⽤可能なユーザ数 | ベストエフォート型 | ||||||||||||||||||||
31 | 25 | 提供リソースの上限 | ディスク容量の上限/ページビューの上限 | ベストエフォート型 | ||||||||||||||||||||
32 | サポート | |||||||||||||||||||||||
33 | 26 | サポート | サービス提供時間帯(障害対応) | 障害対応時の問合せ受付業務を実施する時間帯 | 弊社営業日 10時~18時 メール または サービス内チャット | |||||||||||||||||||
34 | 27 | サービス提供時間帯(⼀般問合せ) | ⼀般問合せ時の問合せ受付業務を実施する時間帯 | 弊社営業日 10時~18時 メール または サービス内チャット | ||||||||||||||||||||
35 | データ管理 | |||||||||||||||||||||||
36 | 28 | データ管理 | バックアップの⽅法 | バックアップ内容(回数、復旧⽅法など)、データ保管場所/形式、利⽤者の データへのアクセス権など、利⽤者に所有権のあるデータの取扱⽅法 | 有 1日1回クラウドサービス(AWS)上に保存 クラウドサービス上から復旧操作を実施。サーバー管理者のみがアクセス権を保有。 | |||||||||||||||||||
37 | 29 | バックアップデータを取得するタイミ ング(RPO) | バックアップデータをとり、データを保証する時点 | 23~24時 | ||||||||||||||||||||
38 | 30 | バックアップデータの保存期間 | データをバックアップした媒体を保管する期限 | 30日 | ||||||||||||||||||||
39 | 31 | データ消去の要件 | サービス解約後の、データ消去の実施有無/タイミング、保管媒体の破棄の実 施有無/タイミング、およびデータ移⾏など、利⽤者に所有権のあるデータの 消去⽅法 | 有 解約後31日後に削除。データ出力は無し。 | ||||||||||||||||||||
40 | 32 | バックアップ世代数 | 保証する世代数 | 30日(30世代) | ||||||||||||||||||||
41 | 33 | データ保護のための暗号化要件 | データを保護するにあたり、暗号化要件の有無 | 有 | ||||||||||||||||||||
42 | 34 | マルチテナントストレージにおける キー管理要件 | マルチテナントストレージのキー管理要件の有無、内容 | 全顧客がひとつのキーを利用。 | ||||||||||||||||||||
43 | 35 | データ漏えい・破壊時の補償/保険 | データ漏えい・破壊時の補償/保険の有無 | 無 | ||||||||||||||||||||
44 | 36 | 解約時のデータポータビリティ | 解約時、元データが完全な形で迅速に返却される、もしくは責任を持ってデー タを消去する体制を整えており、外部への漏えいの懸念のない状態が構築でき ていること | 有 | ||||||||||||||||||||
45 | 37 | 預託データの整合性検証作業 | データの整合性を検証する⼿法が実装され、検証報告の確認作業が⾏われてい ること | 有 | ||||||||||||||||||||
46 | 38 | ⼊⼒データ形式の制限機能 | ⼊⼒データ形式の制限機能の有無 | 有 システムへ入出力されるデータは脆弱性の特性をもとにサニタイジングされる仕組みを実装。新たに脆弱性が発覚した場合も随時追加の対策を実施。 | ||||||||||||||||||||
47 | セキュリティ | |||||||||||||||||||||||
48 | 39 | セキュリティ | 公的認証取得の要件 | JIPDECやJQA等で認定している情報処理管理に関する公的認証(ISMS、プラ イバシーマーク等)が取得されていること | ISMS(ISO/IEC 270001:2022)を取得 | |||||||||||||||||||
49 | 40 | アプリケーションに関する第三者評価 | 不正な侵⼊、操作、データ取得等への対策について、第三者の客観的な評価を 得ていること | 無 | ||||||||||||||||||||
50 | 41 | 情報取扱い環境 | 提供者側でのデータ取扱環境が適切に確保されていること | 有 | ||||||||||||||||||||
51 | 42 | 情報取扱者の制限 | 利⽤者のデータにアクセスできる利⽤者が限定されていること利⽤者組織にて 規定しているアクセス制限と同様な制約が実現できていること | 有 | ||||||||||||||||||||
52 | 43 | セキュリティインシデント発⽣時の トレーサビリティ | IDの付与単位、IDをログ検索に利⽤できるか、ログの保存期間は適切な期間が 確保されており、利⽤者の必要に応じて、受容可能に期間内に提供されるか | 利用者IDをキーとしてアクセスログを検索するすることが可能。保存期間は1ヶ月。 | ||||||||||||||||||||
53 | 44 | ウイルススキャン | ウイルススキャンの頻度 | 半年に1度。 | ||||||||||||||||||||
54 | 45 | ⼆次記憶媒体の安全性対策 | バックアップメディア等では、常に暗号化した状態で保管していること、廃棄 の際にはデータの完全な抹消を実施し、また検証していること、USBポートを 無効化しデータの吸い出しの制限等の対策を講じていること | ⼆次記憶媒体を利用していない。 | ||||||||||||||||||||
55 | 46 | データの外部保存方針 | データ保存地の各種法制度の下におけるデータ取扱い及び利⽤に関する制約条 件を把握しているか | 日本以外に保存していない。 | ||||||||||||||||||||
56 | 47 | ペネトレーションテスト | ペネトレーションテスト(手動での侵入テスト)を実施しているか。 | 無 | ||||||||||||||||||||
57 | ユーザー管理 | |||||||||||||||||||||||
58 | 48 | ユーザー管理 | アカウントの付与 | 利用者の管理者/運用者/ユーザに対して一意なアカウントを付与できるか。 | 可 メールアドレス単位でユーザーの招待が可能。 | |||||||||||||||||||
59 | 49 | アカウント付与の承認 | 利用者がアカウントを発行・変更・削除する際およびアカウントに対して権限を付与する際、作業者とは別の人間が確認・承認をすることは可能か。 | 不可 管理者が招待したアカウントに対して別の第三者が承認を挟めない。 | ||||||||||||||||||||
60 | 50 | アカウント権限 | ①業務上の役割に応じて、サービス利用企業側で、自由にアカウントを発行することは可能か。 ②各アカウントに対して、個別に権限を設定することは可能か。 | 可 Yoom内の管理画面にてアカウントの発行、および権限付与が可能。 | ||||||||||||||||||||
61 | 51 | アカウント情報の出力 | サービス利用者のアカウントの利用状況およびアカウントの権限を一覧で出力することは可能か。 | 不可 サービス内でアカウントの一覧は確認可能。CSVなどでの出力は不可。 | ||||||||||||||||||||
62 | 52 | パスワード管理 | システムへの初回ログイン時、初期パスワードを強制変更させることは可能か。 | 可 利用者が初回利用時にパスワードを設定。 | ||||||||||||||||||||
63 | 53 | パスワードポリシー | 任意のパスワードポリシーを設定可能か。 | 不可 推測されやすいパスワードなどは自動的にシステムにて弾かれる仕組みとなっており、独自のポリシーは設定不可。 | ||||||||||||||||||||
64 | 54 | パスワードの暗号化 | パスワードはハッシュ化または暗号化(※)した上でシステム内に格納されるか。 | 可 パスワードハッシュアルゴリズム「bcrypt」を用いて暗号化した状態で保存。 | ||||||||||||||||||||
65 | 通信の制御 | |||||||||||||||||||||||
66 | 55 | 通信の制御 | 通信プロトコル | クラウドサービスを利用するための通信プロトコルとして、http,https以外に何を使用するか。 | 無 http,https以外のみ使用。 | |||||||||||||||||||
67 | 56 | 閉域網(VPN 等)での接続 | クラウドサービスへの接続方式として、閉域網(専用線またはVPN)での接続に対応しているか。 | 無 対応なし | ||||||||||||||||||||
68 | 57 | 通信の暗号化レベル | システムとやりとりされる通信の暗号化強度 | 有 TLS1.2以上 | ||||||||||||||||||||
69 | ||||||||||||||||||||||||
70 | ||||||||||||||||||||||||
71 | ||||||||||||||||||||||||
72 | ||||||||||||||||||||||||
73 | ||||||||||||||||||||||||
74 | ||||||||||||||||||||||||
75 | ||||||||||||||||||||||||
76 | ||||||||||||||||||||||||
77 | ||||||||||||||||||||||||
78 | ||||||||||||||||||||||||
79 | ||||||||||||||||||||||||
80 | ||||||||||||||||||||||||
81 | ||||||||||||||||||||||||
82 | ||||||||||||||||||||||||
83 | ||||||||||||||||||||||||
84 | ||||||||||||||||||||||||
85 | ||||||||||||||||||||||||
86 | ||||||||||||||||||||||||
87 | ||||||||||||||||||||||||
88 | ||||||||||||||||||||||||
89 | ||||||||||||||||||||||||
90 | ||||||||||||||||||||||||
91 | ||||||||||||||||||||||||
92 | ||||||||||||||||||||||||
93 | ||||||||||||||||||||||||
94 | ||||||||||||||||||||||||
95 | ||||||||||||||||||||||||
96 | ||||||||||||||||||||||||
97 | ||||||||||||||||||||||||
98 | ||||||||||||||||||||||||
99 | ||||||||||||||||||||||||
100 | ||||||||||||||||||||||||