IFSにとって、お客様の信頼が重要です。信頼に対する当社のコミットメントは、すべての雇用、すべての従業員評価、すべてのプロセス、そしてお客様にお届けするすべてのソリューションに根付いています。
市場をリードする顧客主導の企業として、当社は、データやセキュリティに関する規制を遵守するだけでなく、当社、および当社に信頼を寄せるお客様を保護するための高い基準を維持するよう努めています。
IFS トラストセンターは、IFSの情報セキュリティへの取り組みについて知っていただくためのハブとして機能し、当社の製品が設計初期の段階からセキュアであること、当社のサービスがセキュアに提供されること、そしてお客様の情報が常に保護されていることが確認できます。
99.98%
クラウド・プロダクション・サービスの可用性
(平均90日のローリング)
セキュリティ、プライバシー、コンプライアンスを守るための当社の取り組みを、探ってみてください。
-
認証と監査
-
信頼を通じて構築されたセキュリティ
-
顧客の情報セキュリティ
-
クラウドサービスにおける顧客セキュリティ
-
データプライバシーへの取り組み
認証と監査
お客様の成長のためのサポートを提供する企業として、当社は、会社の運営、およびお客様への製品とサービスの提供に関連するすべての法的および規制上の義務を遵守します。
当社の情報セキュリティ業務は、外部の独立機関による審査を受けています。これらの審査は、国際的に認知されたセキュリティ基準に照らして実施されます。
IFSの認定について詳しく知る
-
第三者機関による信頼性のある審査
当社では、外部の認定機関を使って、社内外のポリシー、規制、およびベストプラクティスへの準拠を独自に検証しています。
-
IFS SOC 報告書SOC報告書は、セキュリティのベストプラクティスに従うという当社の取り組みを示すものです。
この監査は、米国公認会計士協会(AICPA)の認定業務基準書第18号(SSAE18)および国際監査・保証基準審議会が発行した、国際保証業務基準(ISAE)3402であるサービス組織の管理体制に関する保証報告書で定められた認証基準に従って実施されました。当社の報告書は、IFSのお客様自身の監査活動を支援するため、ご要望に応じてご提供しています。 -
サードパーティーの認定
当社は、サプライヤーに対し、世界的に認められた認定によって証明された、当社と同様の高いセキュリティ基準を適用することを求めています。
IFSでは、サプライヤーと協力して、サプライチェーンのすべての段階で最高水準のセキュリティ基準が適用されるように努めています。GDPRやプライバシーの遵守、そして現代における奴隷制度の防止策など、すべてのサプライヤーを正式なサプライヤー管理プロセスで厳格に評価しています。
グローバルなセキュリティ、プライバシー、およびコンプライアンスの状況変化に対応するため、当社はサプライヤーのパフォーマンスと認定の維持状況を定期的に審査しています。
IFSが持つ認定はこちら
ISO 27001 認証
ISO Cloudの27001の適用性に関するステートメント
SOC報告書に関する情報
信頼を通じて構築されたセキュリティ
IFSでは、グローバルなセキュリティポリシー、基準、および手順に対して高い基準を設定しています。ISO 27001、NIST 800-171、SSAE18/ISAE3402など、業界のベストプラクティスのセキュリティフレームワークを使用して情報セキュリティマネジメントシステム(ISMS)を構築・維持することにより、当社は業界のベストプラクティスとの整合性を保ち、さらに一歩先を進んで行きます。
IFSの情報セキュリティについて詳しく知る
-
情報セキュリティポリシー
当社は、すべての業務手順と戦略に対して、業界で認定された厳格な情報セキュリティポリシーを設定しています。
IFSの情報セキュリティポリシーは、グローバルな情報セキュリティ管理システム(ISMS)に不可欠な要素であり、この管理システムは、ISO 27001 を含む国際的に認められた多くのセキュリティフレームワークに従って維持されています。
-
情報セキュリティを管理する
お客様の情報を管理し保護するために、綿密で信頼できるセキュリティ業務を遂行しています。
IFSでは、業界のベストプラクティスに従い、リスクに応じたアプローチをとり、信頼いただける様々な業務慣行に特に重点を置いています。
セキュリティ・オペレーション・センター (SOC)
当社のセキュリティ・オペレーション・センター(Security Operations Center:SOC)が取りまとめ役となり、プラットフォームとネットワークのセキュリティに継続的な投資を行っています。また、世界最高水準の従来型ツールと人工知能ベースのツールを組み合わせ、定期的なペネトレーションテスト(侵入テスト)を行うことで、24時間体制で運用を監視・保護するよう徹底しています。
アクセスコントロール
当社でのアクセスコントロールのアプローチは、ユーザー、パートナー、およびサプライヤーが効率的かつ効果的に役割を果たすために必要なレベルのアクセス権のみを付与するよう徹底するものです。
また、シングルサインオン(SSO)と多要素認証(MFA)は、当社の全事業所で積極的に導入されています。さらに、情報を共有する際に最高レベルのデータセキュリティを確保するために、転送時および保存時に暗号を使用しています。
事業の継続性
綿密な事業継続計画により、災害復旧計画の中核となる、強力なバックアップとリカバリーポリシーを確立しています。また、1つまたは複数の事業拠点で事業継続性に関する事象が発生した場合に、当社を支えることができる回復力のあるシステムとプロセスを導入しています。
当社の従業員
当社では、物理的にもデジタル的にも安全な職場環境を維持するために、雇用前の徹底したチェックと厳格な入社時の研修を実施すると共に、その後も毎年継続的にセキュリティ研修プログラムを実施しています。また、社員の入社・退職時の正式なプロセスに従って、IT関連区域への入退場を常に厳密に管理し、退職以降でも情報の機密性を維持するよう徹底しています。 -
サードパーティーのサプライヤーを対象とするセキュリティ
当社は、サービスの提供をサポートするすべてのサードパーティーのサプライヤーが、当社自身が設定したものと同程度の高い基準を適用するよう徹底しています。
時には、機密性の高い秘密情報にサードパーティーがアクセスすることが必要な場合があります。IFSが所有する情報であれ、顧客の情報であれ、これらにアクセスするすべてのサードパーティーに対しては、当社の情報セキュリティ規程、基準、および慣行に従うことが義務付けられています。サプライヤー管理とパートナー管理のプロセスを踏むことで、当社のサードパーティーのエコシステムが提供するサービスと成果物は、当社自身に対して設定しているものと同じ高い基準を満たしています。
顧客の情報セキュリティ
IFS Cloudサービス、オンプレミス、または自社のクラウド環境など、お客様がいかなるデプロイメントモデルを選択する場合でも、当社の製品が最高のセキュリティ基準で開発されていることを保証します。IFS製品はすべて、潜在的な脆弱性を特定し、それに対処するために、開発ライフサイクルを通じて定期的にテストされています。
SPDLC(Secure Product Development Lifecycle:セキュアな製品開発ライフサイクル)に基づき、環境の分離、正式な変更管理、独立したテストと検証、厳密に管理されたリリースと配布プロセスなどのすべてが、お客様のソリューションのセキュリティと完全性を保証することを支援しています。
セキュリティの脅威は常に進化しているため、新しい脆弱性を継続的に監視し、新しいリスクを軽減するための対策が必要な場合は、お客様に遅滞なく通知するようにしています。
顧客情報のセキュリティについて詳しく知る
-
セキュアなデリバリー開発からデプロイまで、当社の製品はセキュアな環境で、かつ一貫して管理されています。
IFS ライフサイクル・エクスペリエンス(LE)は、導入と実運用のライフサイクル全体をカバーする一連のプロセスです。セキュリティは、初期の事実確認からソリューション探求、そして稼働後数年間の継続的なソリューションの最適化まで、当社のプロセスの不可欠な部分であり、環境の分離、正式な変更管理、厳格に管理されたソフトウェアのリリース、および厳格なアクセスコントロールとデータ保護で強化された配布を含んでいます。
IFS ライフサイクル・エクスペリエンスは、お客様が自社でソリューションをホストすることを選択したか、IFS Cloudのサービスの利用を選択したかにかかわらず、上記のセキュリティ制御を提供するものです。
-
開発を通じたセキュリティ当社は、業界のベストプラクティスと外部の専門機関によるペネトレーションテストにより、製品のセキュリティを検証しています。
また、OWASP Top 10などの世界的に認知されたガイドラインやセキュアなコーディング・プラクティスを用いて、製品の脆弱性リスクの最小化を徹底しています。
さらに、開発ライフサイクルを通じて製品のセキュリティを検証するために、外部のペネトレーションテストの専門組織を起用しています。潜在的な脆弱性は、すべて製品のリリース前に修復しております。
-
ライフサイクルを通じたセキュリティ当社は、日々進化する脅威に対してセキュリティパッチを提供し、製品のセキュリティを確保しています。
セキュリティは1回限りの取り組みで完結するものではなく、当社は、製品リリース後も継続的にテストを行い、日々進化するセキュリティの脅威やこれに関連する脆弱性への対策を行っています。これには、IFS社が開発した製品だけでなく、IFS社の製品のベースとなっているサードパーティー製品に潜在する脆弱性の確認も含まれます。
当社製品に発見された脆弱性に対してはセキュリティパッチを提供し、サードパーティー製品については、必要なパッチの適用に関するガイダンスを提供しています。IFS Cloudサービスをご利用のお客様は、このようなパッチがサービスの一環として、IFSによって適用されるというメリットを享受できます。
クラウドサービスにおける顧客セキュリティ
IFS Cloudサービスでは、当社がIFS製品に関連する日常的なセキュリティ業務を担っています。セキュアなデプロイ環境の構築に始まり、当社は、バックアップ、セキュリティパッチの適用、24時間365日の監視など、日々のセキュリティ管理を実施しています。
当社のクラウドサービスは Microsoft Azure でホストされており、業界をリードするエンタープライズクラスのセキュリティを提供すると共に、各ソリューションがシングルテナントで提供されるという付加的な保護を実現し、他の顧客向けソリューションからの完全な分離が可能となっています。これにより、セキュリティが強化されるだけでなく、お客様は定期的なメンテナンスとアップグレードを自社のビジネススケジュールに合わせて行うことができ、より柔軟にコントロールすることが可能になります。
製品開発のライフサイクルを通じて実施されるセキュリティテストに加えて、IFS Cloudサービスをご利用されるお客様には、自社のソリューションが、独立したセキュリティ専門組織による広範なペネトレーションテスト(侵入テスト)が実施された環境に展開されるというメリットがあります。
IFS Cloudサービスの情報セキュリティについて詳しく知る
-
業界のベストプラクティスを導入する当社は、クラウドサービスの提供の一環として、業界で認められたベストプラクティスを実施しています。
IFS Cloudサービスを選択することにより、お客様は、クラウドセキュリティのベストプラクティスを実感できる、次のようなメリットがあります。
- 安全で完全に隔離されたシングルテナント・アーキテクチャにより、お客様の環境を確実に分離
- 保存中と送受信中の両方でデータを暗号化
- ウィルスとマルウェアからの保護
- 経験豊富な実務担当者が運用する高度なエンタープライズ規模のツールセットを使用した、24時間365日稼働の監視、検出、および修復サービス。
- プラットフォームレベルのDDosの検出と対策。
- 地理的に分離されたバックアップ・ストレージと多段階復元機能による、多段階バックアップ
- 地理的に離れた場所を利用した災害復旧機能
-
Penetration testing by external specialistsWe perform regular penetration tests of our services so our IFS Cloud service customers don’t have to.
We engage an independent 3rd party specialist organization to run regular security penetration tests against our Cloud Service in addition to security testing performed earlier in the product lifecycle. These tests cover all software versions current at the time of testing and include all IFS core product modules.
Testing takes place from the internet towards a dedicated, production-grade environment, which is built and maintained using the same architecture, design standards, tooling and processes as all customer environments run by IFS in our cloud.
A formal report is compiled as an output of this testing process, detailing any issues found and assigning an associated risk rating, based on the industry standard CVSSv2 scoring system. Any issues identified are fully analyzed and mitigation and remediation plans produced and implemented. The summary of findings and remediations is available to all IFS Cloud customers upon request.
-
お客様固有のセキュリティニーズを把握する当社は、お客様のご要望にお応えできるよう、選択肢をご用意しています。
データレジデンシーを必要とするお客様は、複数のサポート対象地域から選択することができます。これにより、サービスがホストされる物理的な場所が決まり、データが保存され、処理される物理的な場所もほぼ決定されます。
データプライバシーへの取り組み
当社は、個人データを含め、お客様のデータの使用に関して、透明性を確保することの重要性を理解しています。また、グローバルなプライバシープログラムを保持し、当社のグローバルなポリシーとプロセスは、一般データ保護規則(GDPR)を含む、適用法令に準拠しています。
当社が提供するサービスによって異なりますが、当社が、データ処理者、副処理者、またはデータ管理者として機能することがあります。各顧客契約には、当社による個人データの処理方法を明確に規定した、データ処理に関する付帯文書が組み込まれています。
データプライバシーへの取り組みの一環として、当社は、継続的なスタッフ研修、包括的なプライバシーポリシーと手順の確立、当社のグローバル・プライバシー責任者が統括する積極的なコンプライアンス・プログラムなどを実施しています。また、データプライバシーに関する法律や規制の最新の変更を常に把握し、当社のプライバシープログラムをそれに応じて修正しています。
-
プライバシー保護プログラム当社は、包括的なグローバル個人情報保護プログラムを運用し、世界中のさまざまな法律の遵守を徹底しています。
堅牢なポリシー、慣行、および手順を確実に維持するために、社内チームのデータプライバシーに関する専門知識を、外部のデータ保護の専門家の視点で補完しています。このことで、ベストプラクティスに則った、第一線と第二線の防御体制を効果的に分離することにもなっています。
当社では、製品がどのような方法でホストされているかにかかわらず、すべての製品にセキュリティを構築しています。これはすべて、当社の安全な製品開発プロセスから始まるものであり、これによって当社製品がセキュリティを考慮して設計され、初期設定の段階からセキュリティを提供するように構成されています。
-
Schrems II 後の安全なデータ移転を保証する当社のサプライヤー管理プロセスを通じて、すべてのパートナーおよびサプライヤーが、ビジネス倫理、情報セキュリティ、プライバシーに関する高い基準を常に満たすようにしています。
IFSでは、サプライヤーのパフォーマンスを注意深く監視し、契約、品質、情報セキュリティに関するすべての要件が遵守されていることを確認しています。これには、サプライヤーのセキュリティプロセスや実務を監査するために締結した契約も含まれます。当社のグローバル・プライバシー・プログラムを通じて、EEA(欧州経済領域)から他の国の副処理者(IFSの関連会社を含みます)に対して、コンプライアンスに準拠したデータ転送が行われるようにします。当社は、各副処理者との間で、さまざまな標準的な契約条項およびその他の合法的な移転の仕組みを導入し、お客様のデータを保護するための適切な技術的・組織的措置が実施されるようにしています。
-
IFSにおけるデータ処理および移転に関する契約当社では、契約書雛形を提供することにより、お客様が当社の製品およびサービスに関連するデータプライバシー義務を順守できるようにしています。
お客様が管理するデータについては、事前に署名したデータ処理に関する付属文書(DPA:Data Processing Addendum)をご提供して、データ・プライバシー規制に従ったIFSによる処理を取り扱っています。これには、顧客契約に規定されたサービスを実行する際にIFSが行う、すべての処理の説明が含まれます。対象となるデータプライバシー規則は、一般データ保護規則(GDPR)、米国カリフォルニア州消費者プライバシー法(CCPA)などです。
IFS ヒーローズ・コミュニティ
IFSのヒーローになり、成長するコミュニティの一員になりませんか?