トラストセンター

当社は、すべての業務手順と戦略に対して、業界で認定された厳格な情報セキュリティポリシーを設定しています。

IFSの情報セキュリティポリシーは、グローバルな情報セキュリティ管理システム（ISMS）に不可欠な要素であり、この管理システムは、ISO 27001 を含む国際的に認められた多くのセキュリティフレームワークに従って維持されています。

お客様の情報を管理し保護するために、綿密で信頼できるセキュリティ業務を遂行しています。

IFSでは、業界のベストプラクティスに従い、リスクに応じたアプローチをとり、信頼いただける様々な業務慣行に特に重点を置いています。

セキュリティ・オペレーション・センター (SOC)
当社のセキュリティ・オペレーション・センター（Security Operations Center:SOC）が取りまとめ役となり、プラットフォームとネットワークのセキュリティに継続的な投資を行っています。また、世界最高水準の従来型ツールと人工知能ベースのツールを組み合わせ、定期的なペネトレーションテスト（侵入テスト）を行うことで、24時間体制で運用を監視・保護するよう徹底しています。

アクセスコントロール
当社でのアクセスコントロールのアプローチは、ユーザー、パートナー、およびサプライヤーが効率的かつ効果的に役割を果たすために必要なレベルのアクセス権のみを付与するよう徹底するものです。

また、シングルサインオン（SSO）と多要素認証（MFA）は、当社の全事業所で積極的に導入されています。さらに、情報を共有する際に最高レベルのデータセキュリティを確保するために、転送時および保存時に暗号を使用しています。

事業の継続性
綿密な事業継続計画により、災害復旧計画の中核となる、強力なバックアップとリカバリーポリシーを確立しています。また、1つまたは複数の事業拠点で事業継続性に関する事象が発生した場合に、当社を支えることができる回復力のあるシステムとプロセスを導入しています。

当社の従業員
当社では、物理的にもデジタル的にも安全な職場環境を維持するために、雇用前の徹底したチェックと厳格な入社時の研修を実施すると共に、その後も毎年継続的にセキュリティ研修プログラムを実施しています。また、社員の入社・退職時の正式なプロセスに従って、IT関連区域への入退場を常に厳密に管理し、退職以降でも情報の機密性を維持するよう徹底しています。

当社は、サービスの提供をサポートするすべてのサードパーティーのサプライヤーが、当社自身が設定したものと同程度の高い基準を適用するよう徹底しています。

時には、機密性の高い秘密情報にサードパーティーがアクセスすることが必要な場合があります。IFSが所有する情報であれ、顧客の情報であれ、これらにアクセスするすべてのサードパーティーに対しては、当社の情報セキュリティ規程、基準、および慣行に従うことが義務付けられています。サプライヤー管理とパートナー管理のプロセスを踏むことで、当社のサードパーティーのエコシステムが提供するサービスと成果物は、当社自身に対して設定しているものと同じ高い基準を満たしています。

IFS ライフサイクル・エクスペリエンス（LE）は、導入と実運用のライフサイクル全体をカバーする一連のプロセスです。セキュリティは、初期の事実確認からソリューション探求、そして稼働後数年間の継続的なソリューションの最適化まで、当社のプロセスの不可欠な部分であり、環境の分離、正式な変更管理、厳格に管理されたソフトウェアのリリース、および厳格なアクセスコントロールとデータ保護で強化された配布を含んでいます。

IFS ライフサイクル・エクスペリエンスは、お客様が自社でソリューションをホストすることを選択したか、IFS Cloudのサービスの利用を選択したかにかかわらず、上記のセキュリティ制御を提供するものです。

また、OWASP Top 10などの世界的に認知されたガイドラインやセキュアなコーディング・プラクティスを用いて、製品の脆弱性リスクの最小化を徹底しています。

さらに、開発ライフサイクルを通じて製品のセキュリティを検証するために、外部のペネトレーションテストの専門組織を起用しています。潜在的な脆弱性は、すべて製品のリリース前に修復しております。

セキュリティは1回限りの取り組みで完結するものではなく、当社は、製品リリース後も継続的にテストを行い、日々進化するセキュリティの脅威やこれに関連する脆弱性への対策を行っています。これには、IFS社が開発した製品だけでなく、IFS社の製品のベースとなっているサードパーティー製品に潜在する脆弱性の確認も含まれます。

当社製品に発見された脆弱性に対してはセキュリティパッチを提供し、サードパーティー製品については、必要なパッチの適用に関するガイダンスを提供しています。IFS Cloudサービスをご利用のお客様は、このようなパッチがサービスの一環として、IFSによって適用されるというメリットを享受できます。

IFS Cloudサービスを選択することにより、お客様は、クラウドセキュリティのベストプラクティスを実感できる、次のようなメリットがあります。

• 安全で完全に隔離されたシングルテナント・アーキテクチャにより、お客様の環境を確実に分離
• 保存中と送受信中の両方でデータを暗号化
• ウィルスとマルウェアからの保護
• 経験豊富な実務担当者が運用する高度なエンタープライズ規模のツールセットを使用した、24時間365日稼働の監視、検出、および修復サービス。
• プラットフォームレベルのDDosの検出と対策。
• 地理的に分離されたバックアップ・ストレージと多段階復元機能による、多段階バックアップ
• 地理的に離れた場所を利用した災害復旧機能

We engage an independent 3rd party specialist organization to run regular security penetration tests against our Cloud Service in addition to security testing performed earlier in the product lifecycle. These tests cover all software versions current at the time of testing and include all IFS core product modules.

Testing takes place from the internet towards a dedicated, production-grade environment, which is built and maintained using the same architecture, design standards, tooling and processes as all customer environments run by IFS in our cloud.

A formal report is compiled as an output of this testing process, detailing any issues found and assigning an associated risk rating, based on the industry standard CVSSv2 scoring system. Any issues identified are fully analyzed and mitigation and remediation plans produced and implemented. The summary of findings and remediations is available to all IFS Cloud customers upon request.

データレジデンシーを必要とするお客様は、複数のサポート対象地域から選択することができます。これにより、サービスがホストされる物理的な場所が決まり、データが保存され、処理される物理的な場所もほぼ決定されます。

堅牢なポリシー、慣行、および手順を確実に維持するために、社内チームのデータプライバシーに関する専門知識を、外部のデータ保護の専門家の視点で補完しています。このことで、ベストプラクティスに則った、第一線と第二線の防御体制を効果的に分離することにもなっています。

当社では、製品がどのような方法でホストされているかにかかわらず、すべての製品にセキュリティを構築しています。これはすべて、当社の安全な製品開発プロセスから始まるものであり、これによって当社製品がセキュリティを考慮して設計され、初期設定の段階からセキュリティを提供するように構成されています。

IFSでは、サプライヤーのパフォーマンスを注意深く監視し、契約、品質、情報セキュリティに関するすべての要件が遵守されていることを確認しています。これには、サプライヤーのセキュリティプロセスや実務を監査するために締結した契約も含まれます。当社のグローバル・プライバシー・プログラムを通じて、EEA（欧州経済領域）から他の国の副処理者（IFSの関連会社を含みます）に対して、コンプライアンスに準拠したデータ転送が行われるようにします。当社は、各副処理者との間で、さまざまな標準的な契約条項およびその他の合法的な移転の仕組みを導入し、お客様のデータを保護するための適切な技術的・組織的措置が実施されるようにしています。

お客様が管理するデータについては、事前に署名したデータ処理に関する付属文書（DPA:Data Processing Addendum）をご提供して、データ・プライバシー規制に従ったIFSによる処理を取り扱っています。これには、顧客契約に規定されたサービスを実行する際にIFSが行う、すべての処理の説明が含まれます。対象となるデータプライバシー規則は、一般データ保護規則（GDPR）、米国カリフォルニア州消費者プライバシー法（CCPA）などです。