経産省ガイドラインクラウドサービスレベルのチェックリスト版
資料ダウンロード
経産省クラウドサービスレベルの
チェックリスト版
| No. | 種別 | サービスレベル項目例 | 規程内容 | 対応/ 可否 | 内容 |
|---|---|---|---|---|---|
| アプリケーション運用 | |||||
| 1 | 可用性 | サービス停止時間 | サービスを提供する時間帯(設備やネットワーク等の点検/保守のための計画停止時間の記述を含む) | ○ | ⽉あたり2時間程度、午前1時より3時までのメンテナンス停⽌(計画停止)と、重要な脆弱性を検知した時には臨時メンテナンスをする場合があります。 |
| 2 | 計画停止予定通知 | 定期的な保守停止に関する事前連絡確認(事前通知のタイミング/方法の記述を含む) | ○ | サポートWEBページとお客さま担当者宛メールで通知します。 | |
| 3 | サービス提供終了時の事前通知 | サービス提供を終了する場合の事前連絡確認(事前通知のタイミング/方法の記述を含む) | ○ | サービス利用約款に記載しています。サービス終了3ヶ月以上前までに通知致します。 | |
| 4 | 突然のサービス提供停止時の対処 | プログラムや、システム環境の各種設定データの預託等の措置の有無 | ○ | お客様データ保護は常に実施していますが、突然のサービス停止時に対しては可能な範囲でシステムの復旧に努めます。お客様データについては、お客様の責任でバックアップいただけるようお願いしています。 | |
| 5 | サービス稼働率 | サービスを利用できる確率((計画サービス時間-停止時間)÷計画サービス時間) | 公開していません。 2025年1月稼働率実績100% | ||
| 6 | ディザスタリカバリ | 災害発生時のシステム復旧/サポート体制 | 無停止のディザスタリカバリには対応していません。 | ||
| 7 | 重大障害時の代替手段 | 早期復旧が不可能な場合の代替措置 | 代替手段は提供していません。i-Reporterの端末(iPad等端末はオフラインでもデータ入力が可能です。) | ||
| 8 | 代替処置で提供するデータ形式 | 代替措置で提供されるデータ形式の定義を記述 | ○ | お客様データは、お客様の責任によりConMas Manager、ConMas Designer、APIを経由し、CSV形式、XML形式、PDF形式、Excel形式でダウンロードいただけます。 データは、お客様責任で保管いただきます。 | |
| 9 | アップグレード方針 | バージョンアップ/変更管理/パッチ管理の方針 | ○ | 製品のアップデートは年数回の頻度で実施しています。セキュリティに関するメンテナンスは脆弱性情報を収集後評価検証を実施し、定期メンテナンス日に実施しています。ただし公的機関から至急適用する旨の通知があありサービス提供への影響があると判断した場合には、別途告知の上実施する場合があります。 | |
| 10 | 信頼性 | 平均復旧時間(MTTR) | 障害発生から修理完了までの平均時間(修理時間の和÷故障回数) | 設定していません。 | |
| 11 | 目標復旧時間(RTO) | 障害発生後のサービス提供の再開に関して設定された目標時間 | 設定していません。 | ||
| 目標復旧時点(RPO) | 障害発生後のサービス提供再開に対応するバックアップ世代管理の目標時間 | ○ | 当日午前1時前、または前々日午前1時前までバックアップデータにより復旧させますが、当該時刻までにバックアップが終了していない場合、前週土曜日の23時59分までのデータを使用する場合があります。 | ||
| 12 | 障害発生件数 | 障害発生件数1年間に発生した障害件数/1年間に発生した対応に長時間(1日以上)要した障害件数 | 過去1年間に発生した回数は0(ゼロ)件です。 | ||
| 13 | システム監査基準 | システム監視基準(監視内容/監視・通知基準)の設定に基づく監視 | システム監視基準には対応していません。 | ||
| 14 | 障害通知プロセス | 障害発生時の連絡プロセス(通知先/方法/経路) | ○ | サービス停止を伴う障害発生時は、弊社担当者が通知を受け、対応を行います。お客様へは登録担当者様へ電子メールを介して通知・報告いたします。 | |
| 15 | 障害通知時間 | 異常検出後に指定された連絡先に通知するまでの時間 | 規程はありませんが、できるだけ早く通知します。 | ||
| 16 | 障害監視間隔 | 障害インシデントを収集/集計する時間間隔 | ○ | 常時監視しています。 | |
| 17 | サービス提供状況の報告/間隔 | サービス提供状況を報告する方法/時間間隔 | ○ | サービス停止を伴う場合サポートWebと登録担当者様へメールで通知します。 | |
| 18 | ログの取得 | 利用者に提供可能なログの種類(アクセスログ、操作ログ、エラーログ等) | ○ | i-Reporterシステムのお客様ご利用状況はConMas Managerから取得することが可能です。 サーバーシステムログは原則提供していません。 | |
| 19 | 性能 | 応答時間 | 処理の応答時間 | 公開しておりません。 | |
| 20 | 遅延 | 処理の応答時間の遅延継続時間 | 公開しておりません。 | ||
| 21 | バッチ処理時間 | バッチ処理(一括処理)の応答時間 | バッチ処理はありません。 | ||
| 22 | 拡張性 | カスタマイズ性 | カスタマイズ(変更)が可能な事項/範囲/仕様等の条件とカスタマイズに必要な情報 | 原則カスタマイズには対応していません。 | |
| 23 | 外部接続性 | 既存システムや他のクラウド・コンピューティング・サービス等の外部のシステムとの接続仕様(API、開発言語等) | ○ | 外部サービスからi-Reporterシステム機能をご利用頂けるAPI をオプションで用意しています。 | |
| 24 | 同時接続利用者数 | オンラインの利用者が同時に接続してサービスを利用可能なユーザ数 | ○ | 同時接続利用者数の制限はありません。 | |
| 25 | 提供リソースの上限 | ディスク容量の上限/ページビューの上限 | ○ | ご契約時に使用容量を決定します。利用可能なストレージ容量には上限があります。(有料オプションにて増設可能) | |
| サポート | |||||
| 26 | サービス提供時間帯(障害対応) | 障害対応時の問合せ受付業務を実施する時間 | ○ | 24時間365日受付ています。(メール・問い合わせフォーム) | |
| 27 | サービス提供時間帯(一般問合せ) | 一般問合せ時の問合せ受付業務を実施する時間帯 | ○ | サポート受付は24時間365日、サポートWEBからフォームより受付します。 通常のサポート業務の対応時間は、平日9:30~18:00(祝日、年末年始等弊社休日は除く) 内容を確認のうえ3営業日以内にご返答いたします。 | |
| データ管理 | |||||
| 28 | バックアップの方法 | バックアップ内容(回数、復旧方法など)、データ保管場所/形式、利用者のデータへのアクセス権など、利用者に所有権のあるデータの取扱方法 | ○ | システム全体のデータバックアップは、国内の離れたデータセンターに日次、週次、月次間隔でバックアップしていますが、このデータに対してお客様がアクセスすることはできません。 | |
| 29 | バックアップデータを取得するタイミング(RPO) | バックアップデータをとり、データを保証する時 | ○ | 当日午前1時バックアップ終了時には前日・前々日2世代までバックアップしています。リカバリタイミングでバックアップが終了していない場合には、前週、までに時点に対応しています。 | |
| 30 | バックアップデータの保存期間 | データをバックアップした媒体を保管する期限 | ○ | お客様の契約期間保管されます。 | |
| 31 | データ消去の要件 | サービス解約後の、データ消去の実施有無/タイミング、保管媒体の破棄の実施有無/タイミング、およびデータ移行など、利用者に所有権のあるデータの消去方法 | ○ | i-Reporterシステムで利用したデータについては、お客様の責任によりConMas Manager/ConMas Designerより削除していただきます。 基盤システム全体のデータについては、Microsoftが公開している情報により、NIST 800-88 Guidelines for Media Sanitation 規格に準じ削除または破棄が行われます。物理的削除証明には対応していません。 | |
| 32 | バックアップ世代数 | 保証する世代数 | ○ | データバックアップの保障はしていません。データはお客様責任でダウンロードしバックアップいただきます。 ただし、当社ではシステム運用に必要な措置として、日次のバックアップは毎日1:00に実行され、保管世代は当日+前日の2世代管理としています。 また、週日曜日ならびに毎月第1日曜日時点の日次バックアップイメージを、それぞれ週次・月次バックアップイメージとして別保管しています。 | |
| 33 | データ保護のための暗号化要件 | データを保護するにあたり、暗号化要件の有無 | ○ | インターネット接続はTLS1.2により暗号化されています。 | |
| 34 | マルチテナントストレージにおけるキー管理要件 | マルチテナントストレージのキー管理要件の有無、内容 | ○ | 論理識別子により管理されています。 | |
| 35 | データ漏えい・破壊時の補償/保険 | データ漏えい・破壊時の補償/保険の有無 | 損害賠償保険には加入していません。サービス約款でお客様データ管理はお客様の責任でお願いしています。補償については、サービス約款概要「補償範囲」ならびに約款本文をご確認ください。 | ||
| 36 | 解約時のデータポータビリティ | 解約時、元データが完全な形で迅速に返却される、もしくは責任を持ってデータを消去する体制を整えており、外部への漏えいの懸念のない状態が構築できていること | ○ | クラウドサービスで利用するデータはお客様の責任で解約前にダウンロードいただき、その後削除いただきます。 当社ではデータ削除操作を実施します。 | |
| 37 | 預託データの整合性検証作業 | データの整合性を検証する手法が実装され、検証報告の確認作業が行われていること | ○ | データはお客様の責任でデータ内容の確認をいただきます。 | |
| 38 | 入力データ形式の制限機能 | 入力データ形式の制限機能の有無 | ○ | i-Reporterが提供する入力データ制限機能をご利用いただけます。 | |
| セキュリティ | |||||
| 39 | 公的認証取得の要件 | バックアップ内容(回数、復旧方法など)、データ保管場所/形式、利用者のデータへのアクセス権など、利用者に所有権のあるデータの取扱方法 | ○ | お客様取得データとは別に、サーバーストレージは日、週、月単位でバックアップをし、日本国内の離れたデータセンターに保管しています。 ただしこのデータへお客様がアクセスすることはできません。 | |
| 40 | アプリケーションに関する第三者評価 | 第三者によるウェブアプリケーション脆弱性評価実施 | ○ | 年1回以上、第三者による脆弱性検査を受け、その報告を受け、評価及び対応を実施しています。 | |
| 41 | 情報取扱い環境 | データをバックアップした媒体を保管する期限 | ○ | バックアップデータはお客様契約期間保管されます。 | |
| 42 | 通信の暗号化レベル | システムとやりとりされる通信の暗号化強度 | ○ | 通信はSSLにより暗号化しています。 | |
| 43 | 会計監査報告書における情報セキュリティ関連事項の確認 | 会計監査報告書における情報セキュリティ関連事項の監査時に、担当者へ以下の資料を提供する旨「最新のSAS70Type2監査報告書」「最新の18号監査報告書」 | 対応していません。 | ||
| 44 | マルチテナント下でのセキュリティ対策 | 異なる利用企業間の情報隔離、障害等の影響の局所化 | ○ | お客様ごとの論理識別子により、契約スペースごとに分離されたデータ領域で運⽤しております。 | |
| 45 | 情報取扱者の制限 | 利用者のデータにアクセスできる利用者が限定されていること利用者組織にて規定しているアクセス制限と同様な制約が実現できていること | ○ | ISO27001認証基準に準じ、アクセス権は限定された担当者ごとにアクセス範囲が決められています。 弊社内アクセスは物理的アクセスを含めて記録され監査されています。 | |
| 46 | セキュリティインシデント発生時のトレーサビリティ | IDの付与単位、IDをログ検索に利用できるか、ログの保存期間は適切な期間が確保されており、利用者の必要に応じて、受容可能に期間内に提供されるか | ○ | i-Reporterシステムへのアクセスログは、ConMas Managerからお客様が確認することが可能です。 システム全体については一定の期間ごとにログを取得し、記録を確認することが可能でが、お客様は直接アクセスできません。 | |
| 47 | ウイルススキャン | ウイルススキャンの頻度 | ○ | 常時ウィルスチェックを行っております。 | |
| 48 | 二次記憶媒体の安全性対策 | バックアップメディア等では、常に暗号化した状態で保管していること、廃棄の際にはデータの完全な抹消を実施し、また検証していること、USBポートを無効化しデータの吸い出しの制限等の対策を講じていること | ○ | 二次記憶媒体を使用せず、データセンター間でバックアップを取っています。 | |
| 49 | データの外部保存方針 | データ保存地の各種法制度の下におけるデータ取扱い及び利用に関する制約条件を把握しているか | ○ | 把握しています。 | |
