2024年6月10日 09:30
三谷産業株式会社(本社:石川県金沢市)が提供するアウトソーシングサービス(*1)に対して、一般社団法人日本セキュリティ格付機構(略称:JaSRO、本社:東京都中央区)は、情報セキュリティ格付け最高位の「AAAis」(*2)を付与しました。
三谷産業株式会社は昭和3年に金沢で創業し、多業種・他エリアへの展開を進める企業です。情報システム関連事業として、クラウド、ホスティング、ハウジングやデータ保管の各種サービスを提供しています。2010年4月に情報セキュリティ格付を取得しており、今回14回目の更新審査を実施することとなりました。今般の格付更新において、マネジメントの成熟度及びセキュリティ管理策強度が極めて高い水準を維持しているため、継続して「AAAis」を付与しました。
また、能登半島において最大震度7の地震が2024年1月1日に発生しました。三谷産業のデータセンターも最大震度5強の激しい揺れに襲われましたが、格付対象の安心・安全なセキュリティ重視サービスは地震の影響はなく、安定稼働を継続していることを確認しました。
<格付結果>
企業名 :三谷産業株式会社
格付の種別 :情報セキュリティ格付
格付IDコード:10000230115C2415
格付スコープ:アウトソーシングサービス *1
格付対象 :安心安全推進本部
コンフィデンシャルサービス株式会社
(三谷産業株式会社の子会社)
想定リスク :情報漏えい
格付符号 :AAAis(トリプルA) *2
格付の方向性:安定的
有効期間 :2024年6月9日から2025年6月8日まで(交付日から1年間)
*1:クラウド、ハウジング、ホスティング、運用支援業務及びデータ保管業務
*2:AAAisは全17段階中最高位の格付。AAAisに求められるセキュリティ水準は「リスク耐性は極めて高く、多くの優れた要素がある」状態であり、次の2つの要件を満たす必要がある。
要件1「新たな脅威に迅速に対応し、常時、高水準の管理状態を維持、発展させている。」
要件2「常時、リスクをモニタリングし、即時に柔軟な対応ができる。」
三谷産業株式会社は、情報セキュリティに対しても積極的に取り組んでおり、2004年2月に全社におけるプライバシーマークを取得している他、アウトソーシング業務をスコープとしてISMS認証、ITSMS認証を取得しています。また、データセンターは、FISCの「金融機関等コンピュータシステムの安全対策基準(コンピュータセンター)2022年7月」(第10版)に準拠しています。
マネジメント成熟度の観点から見れば、全社的に三谷グループとしての統制に加えてアウトソーシング事業のためのISMS推進組織である情報セキュリティフォーラムが機能しており、管理組織体制、情報セキュリティ規程類の整備、情報資産の識別、リスクアセスメント、人的セキュリティ、物理的アクセス管理、アクセス制御、委託先(子会社)管理、インシデント対応・危機管理、コンプライアンス等では非常に高いレベルで統制が進められてきています。
また、データセンターを運営する現場部門においても、顧客からの預かり資産を確実に守るため、情報セキュリティに関する情報収集の強化と周知の徹底、マニュアルでは分かりづらい操作については動画による教育の導入などを含め、物理的アクセス管理やITシステムの運用管理等を着実に実施しています。
セキュリティ管理策強度の観点から見れば、高水準の指針に準拠したデータセンター内において、セキュリティ区画の方針および境界、入退アクセス権管理では高い強度を維持しています。また、情報機器・機密情報の持込・持出管理、廃棄処理、外部媒体への記録制限、コンピュータウイルス管理、特権ID管理等の管理策でも高い水準を維持し、さらに強化に向けた取り組みが確認され、現場レベルでの対策浸透が図られています。また、記憶媒体の廃棄は専用ツールや磁気データ消去マシンを利用しデータセンター内で実施するなど、外部環境変化に伴う脅威に対応する取り組みの強化も確認しました。
総じて、マネジメント成熟度では、リスクアセスメントの実施から改善への継続的なプロセスを有し、高水準の管理状態を維持・発展させています。また、セキュリティ対策強度では、悪意のある外部者・内部者に対する管理策について講じられているレベルにあると評価できます。
また、今般の令和6年能登半島地震(2024年1月1日発生)の影響について、格付対象の安心・安全なセキュリティ重視サービスは地震の影響はなく、すべてのサービスが安定稼働を継続していることを確認しました。これまで、自然災害(地震・台風・洪水・雪害等)の発生を想定した対応策を策定し、定期的な見直しを行ってきました。また、地震対策マニュアルの策定、グループ全社震災訓練の実施、新型インフルエンザ対策マニュアル策定、新型コロナウイルス感染症対策マニュアル策定等、充実した取り組みを継続して実施してきました。
これらの取り組みは、経済産業省等の政府ガイドラインに則ったITサービスの継続を維持するための対策であり、また、そのファシリティ対策は、日本データセンター協会のファシリティスタンダードに準拠しています。
特に、今般の地震で影響なく安定稼働を継続できた要因として、以下の3点が重要事項としてあげられます。
●耐震強度と立地:データセンターの心臓部と言えるサーバー棟は最大震度7にも耐えられる免振構造であることに加え、石川県能美市の丘陵地域に位置し、海抜100mで水害の心配がなく、固い地盤の上に立地しているため、耐震性にも優れています。
●周知徹底と訓練:非常時に実行する設備点検のリストを平時から全員で共有し、訓練で動きを互いに確認しています。例えば、年に2回、データセンターの電源を落とす訓練を実施しています。データセンターに電力を供給する2系統の電源を同時に落とし、正しく非常用電源に切り替わることを、机上演習にとどまらず、本番さながらの状況で確認しています。
●マネジメント力:今回の地震で浮き彫りになったリスクとして、「交通渋滞のためセンターに駆けつけるのに通常の3から4倍近くの時間を要すること」「正月のためシフト勤務以外の人員が休暇中である上に、地域の被災が重なるなか、データセンターの交代要員の確保が必要となること」があげられます。今回は経営陣と現場が密に連絡を取り合い、これを乗り切りました。人的マネジメントの視点から引き続き安全に運用できるよう備えることが重要との認識のもと、今後とも取り組んでいく意向です。
〇格付結果
アウトソーシングサービスの格付結果は弊機構HP(下記リンク)を参照ください。
http://jasro.org/client/index.html
同社の「ITサービス継続・ファシリティスタンダードの第三者証明書」は弊機構HP(下記リンク)を参照く
ださい。
http://jasro.org/client/index_third.html
〇三谷産業株式会社・アウトソーシングサービス
アウトソーシングサービスについては同社HP(下記リンク)を参照ください。
https://www.mitani.co.jp/business/it
<お問い合せ先>
一般社団法人日本セキュリティ格付機構 企画部
E-mal: info@jasro.org
〇JaSROは、世界初の情報セキュリティ格付を行う第三者評価機関です。
〇情報管理の対策水準を「格付」で確かめ合う社会システム作りに取り組んでいます。
〇政府情報システムのためのセキュリティ評価制度(ISMAP)対応の構築支援・内部監査支援を行っています。
○政府ガイドライン、NIST SP800-171/172等への対応の構築支援・内部監査支援を行っています。
○ISMSの構築支援、脆弱性診断(Webアプリケーション診断・プラットフォーム診断)、教育研修等を行っています。