MenuToggle Menu

リスクマネジメント

本ページでは、ProtoPie Enterpriseのクラウド環境構築に向けた当社のリスクマネジメント関連情報を提供します。これらにはリスクの識別と評価、そして当該リスクを緩和するための制御の実行が含まれます。

当社は、以下のステップを含む総合的なリスクマネジメントプロセスを使用します。

  1. 識別:該当カテゴリに関連する潜在的リスクを識別します。
  2. 評価:識別したリスクを今後の影響度、深刻度、発生可能性の側面から評価しリスクのレベルを把握すると同時にリスク解決に必要な優先順位を決めます。
  3. 履行:適切な措置を履行することで、リスク要素を制御及び緩和します。

リスクの識別と評価

サービス停止のリスク

当社は、サービス提供を継続するために、AWSが保有している世界最高レベルのデータセンターを利用します。当該データセンターは停電及びネットワーク障害など、ユーティリティサービス停止のリスクを緩和できるように、強力なセキュリティ対策と二重化により設計されました。

AWSのデータセンターで行っている主なセキュリティ対策は以下の通りです。

  • 非常用電源遮断システム:AWSのデータセンターには簡単にアクセスできるエリアに非常用電源遮断システムが設置されています。このシステムは許可を取得した者のみ操作ができるため、不正アクセスを防ぐことができます。
  • 無停電電源装置(UPS):AWSのデータセンターでは停電などによる電力供給の中断に備えて、無停電電源装置を導入しています。本システムは停電時などに一時的な電力供給を行い、情報システムの継続的な動作をサポートします。
  • 漏水防止:漏水による被害から情報システムを保護するための対策を行っています。AWSのデータセンターでは簡単に操作できる優秀な性能の水締切り装置や隔離弁を使用しており、これらの使用は指定された者にのみ許可されています。こういった装置は漏水による被害からシステム整合性を保護します。
  • 火災の消火と検知:AWSのデータセンターでは、独立したエネルギー源による火災の消火及び検知システムを構築しています。これにより火災発生時の迅速な対応や効果的な抑制が可能になり、基盤施設への潜在的リスクを最小化することができます。
  • 温度及び湿度の制御:AWSのデータセンターでは、温度・湿度の定期的なモニタリングや管理を行っています。これらの活動により環境条件を許容範囲内に維持し、最高の性能を発揮できるように機器を保護します。

影響度の高い環境リスク

当社では、データの安全性及び完全性を確保するために、AWSが保有するデータセンターを利用しています。当該データセンターは洪水・台風・地震・ハリケーンなどの環境リスクの影響を受けない地域に位置しており、この地域は世界最高レベルの安全性及びデータ・レジリエンスを誇ります。

お客様はデータを保管する地理的位置を自ら選択することができますが、通常はデータ処理契約(Data Process Agreement、DPA)に基づいて、データを所有している会社の所在地を基準とします。

攻撃ベクトルのマネジメント

当社サービスへの攻撃ベクトルのマネジメントを効果的に行うために、当社では総合的な対策を導入しています。

  • 継続的なモニタリング:当社のネットワーク及びシステムは、ファイアウォール及びAWS Secrets Managerなどのサービスにより継続的なモニタリングが行われています。当社では積極的にモニタリングの履歴を確認し、不正アクセスや潜在的リスクを識別し即刻対応を行うことで、安全な環境を維持しています。
  • ペネトレーションテスト:セキュリティ対策の強化や改善のために、当社では毎年ペネトレーションテストを行っています。ペネトレーションテストを行うことで、システム及びアプリケーションの脆弱性をチェックすると同時に、積極的な解決やファイアウォールの強化に取り組んでいます。
  • ISO27001及び27701の内部監査:当社ではISO27001及び27701の内部監査を毎年実施しています。内部監査を実施することで、情報セキュリティマネジメント及びプライバシーポリシーにおける国際標準の遵守に努めています。
  • 個人情報の保護:現在、当社はサイバーセキュリティ保険を保有しておりませんが、韓国の個人情報保護法が規定するガイドラインを遵守するために努力しています。また、個人情報の保護と関連したリスクを緩和するための努力の一環として、当社は「KB損害保険」が提供する個人情報保護に関する損害賠償責任保険に加入しています。この保険は個人情報の保護と関連した潜在的リスクの緩和に役立つと考えられます。

事業継続性

事業継続性は当社の運営ポリシーで最も重要な要素で、自然災害などが発生しても主要機能を継続できる能力を持っていることを指します。当社のリスクマネジメントプロセス及びプロトコルは、重要サービスにおける障害の防止や迅速かつ完全な復旧を可能にし、またシステムの素早い復元をサポートします。

事業継続計画(Business Continuity Planning、BCP)

当社では年1回のBCP訓練を通して、事業継続計画の実効性を評価し、改善が必要な領域を判断しています。このような訓練の実施は、障害や災害時における対応能力の向上に役立つのはもちろん、事業の円滑な継続を可能にしてくれます。

また、当社ではBCP訓練のほか、バックアップ及び冗長化に対するテストも定期的に行っています。毎年実施されるこれらのテストを通して、バックアップシステムの信頼度及び有効性を検証することができます。

また、メカニズムをテストすることで、予測できない事故やシステム障害の発生時における当該メカニズムのデータ及びサービスの復元能力を高めることができます。

緊急時対応計画の策定

事業継続性を高めるための努力の一環として、当社の情報システムにおける緊急時対応計画を策定しています。本計画には運営に影響を及ぼす障害や事故が発生した際の遵守事項と手順が記載されています。また、迅速な復旧に向けたロードマップの役割を果たし、事業及びお客様への影響を最小化する効果を持ちます。

当社では事業継続計画と災害復旧計画(Disaster Recovery Procedures、DRP)の実施により、リスクの緩和や重要サービスの可用性を高めています。

また、適切な制御を実現して、当社の組織及びソリューションをサポートする第三者コードに対するセキュリティアウェアネスを確保します。

セキュリティアウェアネストレーニング

当社及び関係会社の従業員は、オンボーディングの一環として、セキュリティアウェアネストレーニング及び個人情報保護の研修を受けています。これらのトレーニングを通して妨害要素への効果的な対応や事業継続性の向上に必要な技術と知識を身につけるようになります。上記のトレーニングでは次の項目について教育を行っています。

  • セキュリティアウェアネスの重要性
  • オペレーティングシステム及びインターネットトランザクションの保護
  • パスワードセキュリティ
  • メールセキュリティ・最良の事例
  • 重要情報のバックアップ
  • モバイルセキュリティ
  • フィジカルセキュリティ
  • ソーシャル・エンジニアリング
  • リムーバブルメディアのリスクマネジメント
  • サイバーインシデント報告

当社のソリューションにアクセスできる全てのユーザーを対象に毎年教育を実施し、情報セキュリティリスクの効果的な緩和に必要な知識と実践力を強化しています。

また、当社の従業員を対象に最新ガイドやプロトコルの準備に関するフォローアップ研修を開催して、常にアップデートされた状態を維持できるようにサポートしています。

データの復旧

当社のクラウドソリューションには、データの復元及び復旧のためのソフトウェア及びプロバイダーから独立した機能が搭載されています。また、事業復旧プロセスを向上させるために、当社の取り組みに関する評価や改善を継続的に行っています。

当社ではさまざまなレベルの障害シナリオに対して、以下の目標復旧時間(Recovery Time Objectives、RTO)と目標復旧時点(Recovery Point Objectives、RPO)の達成を目指しています。

  • レベル1の障害:RTOは6時間以内、RPOは6時間
  • レベル2の障害:RTOは24時間以内、RPOは24時間
  • レベル3の障害:RTOは48時間以内、RPOは3日以内

仮想インフラストラクチャ機能

一定の制限を除き、お客様は仮想マシンの画像をダウンロードして、他のクラウドプロバイダーに転送することができます。ただし、仮想マシンの画像をお客様の外付けストレージにコピーする機能は搭載されておりません(禁止しています)。なお、仮想マシンに変更または修正した内容を取り消す機能を搭載することで、環境に対する柔軟性及び制御能力を提供します。

Back To Top