セキュリティ・ポリシー

セキュリティ・ポリシー

最終更新日2023年7月4日

このポリシーをPDFでダウンロードする
Electrotechnik Pty Ltd(以下「ELEK」)は、ソフトウェアのお客様にサイバー脅威からの保護、データ損失の防止、コンプライアンス要件の遵守を提供することをお約束します。

当社は、情報セキュリティマネジメントシステム(ISMS)の世界的な標準規格であるISO/IEC 27001の原則を採用しています。このアプローチを導入することで、当社が所有し取り扱うデータのセキュリティに関連するリスクを管理できるとともに、サイバー犯罪や絶えず出現する新たな脅威による潜在的な悪影響を回避するためのベストプラクティスと原則を確実に採用しています。

情報セキュリティの提供方法

私たちは、ビジネスと顧客のために情報セキュリティを維持するための厳格なシステムとコントロールを確実にするために、情報セキュリティに取り組んでいます。私たちは、すべてのユーザーデータの機密性を確保することの重要性、およびユーザーへのサービス提供を含む業務に関連するタスクを完了するためにのみ、そのようなデータにアクセスすることの重要性を概説するプロセスおよび企業ポリシーを含むスタッフのオンボーディングから開始します。また、当社の情報セキュリティポリシーでは、ユーザーデータの機密保持の重要性と、ローカルに保存または印刷された個人データの適切な廃棄方法についても説明しています。
当社の従業員は、雇用契約の一環として、機密保持と情報セキュリティの維持を約束し、サイバーセキュリティ入門トレーニングを受け、定期的に再教育を受けます。
ELEKのプロセス、ポリシー、トレーニングに加え、機密性の高いユーザーデータを含むシステムにアクセスするための厳格なエントリーポイントを設けています。 詳しくはプライバシーポリシーを ご参照 ください。

アイデンティティとアクセス管理

企業IDプロバイダーにはマイクロソフトを使用し、安全性の高いパスワードポリシーを採用しています。全従業員は、ログイン時に2要素認証(2FA)を使用することが義務付けられています。
アマゾン・ウェブ・サービス(AWS)のクラウド・サービスへのアクセスは、AWS Identity and Access Management(IAM)により、need-to-know(知る必要性)とleast privilege(最小権限)の原則に基づき、役割に基づいて付与されます。
四半期に一度、ユーザーアクセスの見直しが行われ、不要となったアクセスは削除される。従業員が雇用を終了した場合、システムに対するすべてのアクセス権は、退職時に直ちに失効する。

電子メール保護

スタッフのメールプロバイダーにはMicrosoft 365を、アプリケーションからのメール送信にはAmazon Simple Email Service (SES)を、カスタマーサポートのメール送信にはメールチケットシステムを使用しています。メールドメインにはDMARCとSPFを導入しています。
従業員には、フィッシング回避のベストプラクティスを継続的に認識させ、指導する。

ネットワーク・セキュリティ

スタッフのワークステーションは、専用の仮想ローカルエリアネットワーク(VLAN)上にあり、スタッフのみの使用に制限されています。

ユーザーデータへのアクセス

当社は、ユーザーが当社のソフトウェア・サービスに送信するすべてのデータを「ブラックボックス」として扱い、ユーザーに代わって当社のみが処理します。これは、通常、サービスの実行のためにユーザーデータにアクセスすることはなく、提出されたすべてのユーザーデータを最高レベルのセキュリティで取り扱い、機密性と機密性を保持することを意味します。
当社のスタッフによるユーザーデータへのアクセスは、当社の利用規約またはユーザーとの各契約に従い、ケースバイケースで制限されます。

脆弱性管理

当社では、データ損失、サービス停止、機密情報への不正アクセス、またはその他のセキュリティ問題を引き起こす可能性のある依存関係の既知の脆弱性を発見し修正するために、ウェブサイトとソフトウェアのコードベースのセキュリティ監査を定期的に実施しています。特定された脆弱性は開発バックログに記録され、サービスおよびユーザーデータの機密性、完全性、可用性に与える影響の評価に基づいて分類されます。当社のエンジニアは、社内のパッチ管理ポリシーに従って修復を行います。

ソフトウェア開発ライフサイクル

私たちは、ピアレビュープロセスを含むワークフローがきちんと文書化された課題追跡製品を使用しています。私たちのソースコードは、バージョン管理とセキュリティのため、安全性の高い非公開リポジトリで保護されています。私たちのコードベースへの変更は、一連の自動テストと手動テスト(詳細な計画を含む)を通過します。承認されたコード変更は、まずステージング・サーバーにプッシュされ、そこで社員が変更をテストしてから、最終的に本番サーバーとユーザー・ベースにプッシュされます。当社の継続的インテグレーション/継続的デプロイメント(CI/CD)プロセスは、統合された承認プロセスで制限されています。

インシデント対応

私たちはインシデント管理に真剣に取り組んでおり、インシデントの管理方法をまとめた「インシデント対応手順」を定めています。インシデントとは、データ漏洩、サービスの中断、サービス品質の低下など、予期せぬ事象と定義されます。また、インシデントとは、以前は機能していたサービスが期待通りに機能しなくなったという問題が提起されることでもあります。この手順には、インシデントの評価、封じ込め、評価、通知、レビュー、監視の方法が概説されている。
すべてのインシデントは、インシデント・レスポンス登録簿に記録され、インシデントからの学習は、継続的な改善へのコミットメントの一環として、プロセス、手順、システム、ツールの改善に活用されます。

災害復旧と事業継続

私たちは、物理的なオフィス(生産インフラの一部が保持されていない)に影響を及ぼす災害に対処するための事業継続計画を維持しています。
さらに、インシデント・レスポンス・プロセスの一環として重要な計画外イベントと評価された、本番環境に影響を及ぼす災害に対処するためのディザスター・リカバリー・プラン(DRP)を維持しています。当社の主要データセンターは、シドニー(オーストラリア)のAWSでホストされており、同じAWSリージョンで冗長性が確保されています。AWSのデータセンターが1つ失われた場合、復旧手順により、人手を介さずに別のデータセンターのノードを立ち上げることができます。テストは少なくとも年に1回実施される。当社のDRテストは、ウォークスルー、模擬災害、またはコンポーネント・テストの形で行われます。

データの保持と廃棄

データ保持

当社は、当社のプライバシーポリシーに概説されている目的を達成するために必要な目的および期間のために、当社が単独で管理するお客様に関する限定的な情報を保持します。当社のシステムがユーザーに代わって保持するデータは、当社の利用規約および当該顧客とのその他の商業上の合意に従って保持されます。
当社は、クラウドベースおよびネイティブインストール型のPCベースのソフトウェア製品を提供しています。クラウドベースのソフトウェア製品では、顧客データは当社の安全なクラウドベースのシステム(ここに記載)に保存されます。一方、PCベースのソフトウェア製品では、顧客データは顧客のITインフラにローカルに保存されます。

データ削除

提出されたデータの完全な管理権はお客様が保持し、当社のソフトウェアを通じて利用可能な手段を使用するか、当社に連絡することにより、修正、エクスポート、または常に削除することができます。
アカウントの終了に伴い、ユーザーはアカウント閉鎖手続きの一環としてデータの削除を要求することができます。この期間には、ロールバックを行うための30日間と、削除プロセスを進めるための追加60日間が含まれます。
その場合、当社はそのデータを保持し続けることができますが、当社の裁量でいつでも削除することもできます。

データ破棄

当社のクラウドサービスは、マルチテナント環境で機密データを安全に保管できるよう、安全なデータ配布および削除戦略を導入しているAWSでホストされています。ストレージメディアの廃棄は、NIST 800-88に従ってAWSが行います。

モニタリング

エッジロケーションとロードバランサーからのトラフィックログ、イベントのトレースと監査のためのアプリケーションレベルのロギング、アクセスと高プリビレッジ操作の監査のためのシステムレベルのロギングを使用して、ネットワークログを収集し、監視します。すべてのログは、Amazon S3またはAmazon CloudWatchのいずれかに安全に保存され、保持されます。
インフラリソースの利用率を監視し、サービスレベル合意に合致したサービス提供を保証します。さらに
  • アマゾンのサービスは、重要なインフラストラクチャーのアラートのための自動化されたイベントベースのメッセージングをトリガーするために使用される。
  • 私たちは、アプリケーション・アラートのための自動化されたイベントベースのメッセージングをトリガーとして、独自のエラー・ロギングとトラッキング・サービスを使用しています。

プライバシー

プライバシーポリシーをご参照ください。

オフィスのセキュリティ

オフィススペースとエレベーターへの出入りは、アクセスカードで制限されています。ビル・セキュリティは、ビルとフロアの出入りを日常的に監視するために、いくつかの手順を設けている。各フロアに組み込まれたセキュリティーシステムがドアの使用状況を追跡し、ビルセキュリティーからアクセスレポートを入手することができます。デスクスペースは24時間CCTVの監視下にあり、敷地内を巡回する警備員もいる。CCTVのビデオ記録は18ヶ月間保管される。チーフ・コマーシャル・オフィサーは、ビル・アクセス・カードの取得または失効に関する従業員の変更をビル管理チームに報告する責任を負う。

データセンターのセキュリティ

当社は、適切なレベルのセキュリティを維持するために、サイトの選択、冗長性、可用性、容量計画などのAWSデータセンターのコントロールに依存しています。弊社は独自のサーバーをホストしていません。

ポリシーの更新

本方針は随時変更される可能性があり、当社ウェブサイトwww.elek.com

お問い合わせ

さらに詳しい情報やお問い合わせは、お問い合わせページをご覧ください。