■外部の不正行動
- 定義
個人データ保存フォルダや機密フォルダへの不正アクセス、DDoS、サーバーへの不正な侵入・操作・データ取得 - 防止・検知する機能の実装状況
WAF導入に加えて、Amazon GuardDutyおよびアプリケーションレイヤーでも不正アクセス対策を実施しており、不正アクセスの検知、不正アクセスのブロック、万が一不正アクセスされた場合の調査用にログを管理しています。
(監視対策:脅威検出、侵入防御対策、DDoS対策) - 検知時の対応手順の整備
『情報セキュリティ規程』(非公開)に定めております。
■内部の不正行動
- 定義
AWS上での不正な操作、サーバールームへの不正な入室、お客様環境内へのデータへの不正なアクセス - 防止・検知する機能の実装状況
AWSにより全ての作業記録を残しています。 開発プロセス手順書に沿った作業を実施し、作業ログ䛾記録などを行い、故意または不正な操作を防ぐ仕組みを整えています。 保持期間は最大1年間としております。
サーバールーム入室の履歴は月に1回担当者が確認しています。(不正な入室がないかの確認)
お客様環境内のデータへのアクセス権限付与は必要最小限にしております。 なお、お客様から調査依頼があった場合のみ、特定の人員が閲覧権限のみでアクセスし、調査することはありますが、原則、お客様環境内のデータへアクセスすることはございません。 - 検知時の対応手順の整備
インシデントとして扱うと考え、対応手順は以下となります。
1. サーバまたは問い合わせチャンネルからエラーの検知・報告を受けた場合、管理者がインシデントかを判断する。
2. インシデントと判断した場合、リスク・コンプライアンス委員会の判断で対応を検討する。