Security
情報セキュリティについて
NTCネクストは、情報セキュリティを経営上の最重要課題と位置づけ、お客様の大事な情報(資料、個人情報等)を守るために、 細心の取り扱いを行い、可能な限りの最大限の情報セキュリティ対策を行っております。
ISO 27001の認証取得について
NTCネクストは、情報セキュリティに関する国際規格であるISO 27001を取得しています。
ISO 27001は、情報セキュリティに関わる脅威(人的ミスからウイルス感染etc.)への対策として、「機密性」「完全性」「可用性」の3つの要件が重要とされ、情報セキュリティマネジメントシステム(Information Security Management System : ISMS)を構築・運用し、継続的に改善するための規格です。NTCネクストは、この認証基準に基づく継続的な運用・改善に努めております。
「機密性」とは限られた人だけが情報に接触できるように制限をかけることです。
機密性の高い情報は、新製品の開発情報であったり、顧客情報や社員の個人情報などが当てはまります。このような機密性の高い情報は、社内でもできるだけ情報にアクセスできる人を減らすことで漏えいや悪用リスクが減ることになります。
具体例ではオフィスへの立ち入り時、パソコンへのログイン時、必要なデータのアクセス時などに特定の方のみしかアクセスできない様にIDやパスワードによって管理したり、持ち出しのできない鍵の付いた什器の中に機密性の高いものを保管するなどになります。
「完全性」とは不正な改ざんなどから保護することになります。
企業運用において完全な状態を維持する方法としては、サイバー攻撃からデータを守るシステムを構築したり、社内でも悪意の有無によらずデータの改ざんから守るために、アクセス履歴を追跡できるようにし、改ざん抑止力を高めたり、ミスや犯罪者の足跡をたどり修正できる様にしたり、ミスを無くすためにデータを扱う社員のオペレーション教育をしたり、火災や天災でデータが破損や損失することで企業の継続性が失われてしまうリスクを無くす対策を施したりすることになります。
「可用性」とは利用者が必要なときに安全にアクセスできる環境であることです。
これは、データをいつでも安全に利用したいときに利用できることを確保することで、システムの稼働の継続性を維持することにつながります。前述の「機密性」と「完全性」が確保されることが前提であり、システムを二重化にすることも重要になります。
オフイスのセキュリティ管理について
1. ALSOKによる監視
オフイスのすべてのドア及び窓の近傍に取付けているセキュリティカメラを通して、警備保障会社(ALSOK)によって、 監視・警備され、オフイスは守られています。異常が感知されると直ちにALSOKの警備員が現場に急行します。
2. オフイス入口ドアの施錠
オフイスの入口ドアの施錠は、鍵による施錠に加え、オートロック式の暗証番号錠による施錠をしています。常にオートロックがかかるため、不審者の侵入を防いでいます。
3. 監視カメラの設置
オフイスの入口に、不正侵入の抑止・解決のため、監視カメラを設置しています。
ネットワークの安全管理について
NTCネクストは、ネットワークを脅かす様々なリスクに対して、UTM(Unified Threat Management)統合脅威管理を設置し、 お客様からお預かりした大切なデータを守っております。
通常業務の情報セキュリティ対策について
1. 情報漏洩リスクの分析・評価
情報漏洩の恐れのある事項をすべて洗い出し、必要に応じて、必要な管理対策を定め、継続的な運用を行っています。
2. 内部監査
NTCネクスト情報セキュリティ管理規定通りに運用しているか、監査計画書を作成し、定期的に実施し、記録しています。不具合が認められた場合は速やかに改善処理を行います。
3. 秘密保持誓約
本業務に係わるすべての社員、関連企業等より、秘密保持誓約書に署名を得ています。
4. 社員の教育
情報セキュリティ教育を全社員に対して、定期的に実施することを規定し、教育を実施、教育訓練実施記録表に記録しています。
5. パソコン、モバイル機器の取扱方針
個人所有のものは、使用禁止。規定のウイルスソフトの導入、ログイン時のパスワード設定、無許可での持ち出し禁止、フリーソフトのインストールを禁止としています。 すべてのパソコン及びモバイル機器には、ワイヤーロックにて施錠しています。
6. 外部媒体の取扱方針
外部媒体のパソコンへの接続禁止。USBメモリは許可された特定のパソコンのみ使用可。各パソコンはUSB等接続不可な状態にしています。
7. クリアデスク・クリアスクリーン方針
情報の漏洩、消失及び損傷を防止するため、各パソコンへの保存の禁止(すべてのデータはサーバーに保管)、 机に資料を置いたままでの離席の禁止(退社時は規定の什器に保管)を規定しています。
8. 利用者アクセスの管理
ネットワークサーバーへのアクセスのIDを利用者すべてに個別指定し、利用者の使用を記録しています。 例えば、サーバーにあるデータにアクセスした場合、誰がアクセスしたか記録しています。
9. バックアップ方針
大事なデータのバックアップを毎日2回差分バックアップを行い、また、定期的に完全バックアップを行っています。
10. すべての文書の取扱方針
お客様の大事なデータの印刷を禁止しております。例外的に印刷する必要がある場合、什器への保管、不要になった場合はシュレッダー廃棄を徹底しております。
11. メール方針
特定のパソコンのみメールの使用を許可し、すべての送信・受信の記録を保管しています。
12. 納品データの送信
納品データにつきましては、安全にファイル転送を行う(送信の容量制限や誤送信による情報漏洩を防止する)ため、 国内最高水準のセキュアデータセンターで納品データを安全に保管し、大容量データをネットワーク経由でお渡ししております。 但し、お客様がメール添付送信をご希望の場合は、メール添付にて納品させて頂いております。