三谷産業株式会社(本社:石川県金沢市)が提供するアウトソーシングサービス(*1)に対して、一般社団法人日本セキュリティ格付機構(略称:JaSRO、本社:東京都中央区、以下:当機構)は、情報セキュリティ格付け最高位の「AAAis」(*2)を付与しました。
三谷産業株式会社は昭和3年に金沢で創業し、多業種・他エリアへの展開を進める企業です。情報システム関連事業として、クラウド、ホスティング、ハウジングやデータ保管の各種サービスを提供しています。2010年4月に情報セキュリティ格付を取得しており、今回13回目の更新審査を実施することとなりました。今般の格付更新において、マネジメントの成熟度及びセキュリティ管理策強度が極めて高い水準を維持しているため、継続して「AAAis」を付与しました。
また、石川県能登地方で震度6強の地震が2023年5月6日に発生しましたが、格付対象の安心・安全のセキュリティ重視サービスは地震の影響なく安定稼働を継続していることが確認されました。
*1:クラウド、ハウジング、ホスティング、運用支援業務及びデータ保管業務
*2:AAAisは全17段階中最高位の格付。AAAisに求められるセキュリティ水準は「リスク耐性は極めて高く、多くの優れた要素がある」状態であり、次の2つの要件を満たす必要がある。
要件1「新たな脅威に迅速に対応し、常時、高水準の管理状態を維持、発展させている。」
要件2「常時、リスクをモニタリングし、即時に柔軟な対応ができる。」
三谷産業株式会社は、情報セキュリティに対しても積極的に取り組んでおり、2004年2月に全社におけるプライバシーマークを取得している他、アウトソーシング業務をスコープとしてISMS認証、ITSMS認証を取得しています。また、データセンターは、FISCの「金融機関等コンピュータシステムの安全対策基準(コンピュータセンター)2022年7月」(第10版)に準拠しています。
マネジメント成熟度の観点から見れば、全社的に三谷グループとしての統制に加えてアウトソーシング事業のためのISMS推進組織である情報セキュリティフォーラムが機能しており、、管理組織体制、情報セキュリティ規程類の整備、情報資産の識別、リスクアセスメント、人的セキュリティ、物理的アクセス管理、アクセス制御、委託先(子会社)管理、インシデント対応・危機管理、コンプライアンス等では非常に高いレベルで統制が進められてきています。
データセンターを運営する現場部門においても、顧客からの預かり資産を確実に守るため、情報セキュリティに関する情報収集の強化と周知の徹底、マニュアルでは分かりづらい操作については動画による教育の導入などを含め、物理的アクセス管理やITシステムの運用管理等が着実に実施されています。
セキュリティ管理策強度の観点から見れば、高水準の指針に準拠したデータセンター内において、セキュリティ区画の方針および境界、入退アクセス権管理では高い強度を維持しています。情報機器・機密情報の持込・持出管理、廃棄処理、外部媒体への記録制限、コンピュータウイルス管理、特権ID管理等の管理策でも高い水準を維持し、さらに強化に向けた取り組みが確認され、現場レベルでの対策浸透が図られています。
また、記憶媒体の廃棄は専用ツールや磁気データ消去マシンを利用しデータセンター内で実施するなど、外部環境変化に伴う脅威に対応する取組み強化が確認されました。
総じて、マネジメント成熟度では、リスクアセスメントの実施から改善への継続的なプロセスを有し、高水準の管理状態を維持・発展させ、セキュリティ対策強度では、悪意のある外部者・内部者に対する管理策について講じられているレベルにあると評価できます。
そして、今般の石川県能登地方で2023年5月6日に発生した震度6強の地震の影響について、格付対象の安心・安全のセキュリティ重視サービスは地震の影響はなく、すべてのサービスが安定稼働を継続していることが確認されました。これまで、自然災害(地震・台風・洪水・雪害等)の発生を想定した対応策を策定し、定期的な見直しを行っています。あわせて、地震対策マニアルの策定、グループ全社震災訓練の実施、新型インフルエンザ対策マニアル策定、新型コロナウイルス感染症対策マニアル策定等、充実した取り組みを継続して実施しています。これらの取り組みは、経済産業省等の政府ガイドラインに則ったITサービスの継続を維持するための対策であり、そのファシリティ対策は、日本データセンター協会のファシリティスタンダードに準拠しています。
<格付結果>
企業名 :三谷産業株式会社
格付の種別 :情報セキュリティ格付
格付IDコード:10000230115C2314
格付スコープ:アウトソーシングサービス *1
格付対象 :安心安全推進本部
コンフィデンシャルサービス株式会社
(三谷産業株式会社の子会社)
想定リスク :情報漏えい
格付符号 :AAAis(トリプルA) *2
格付の方向性:安定的
有効期間 :2023年6月9日から2024年6月8日まで(交付日から1年間)
〇格付結果
アウトソーシングサービスの格付結果は当機構ホームページ( http://jasro.org/client/index.html )を参照ください。
同社の「ITサービス継続・ファシリティスタンダードの第三者証明書」は当機構ホームページ( http://jasro.org/client/index_third.html )を参照く
ださい。
〇三谷産業株式会社・アウトソーシングサービス
アウトソーシングサービスについては同社ホームページ( https://www.mitani.co.jp/business/it )を参照ください。
<お問い合せ先>
一般社団法人日本セキュリティ格付機構 企画部
JaSRO(Japan Security Rating Organization)
E-mail: info@jasro.org
URL : http://jasro.org/
〇JaSROは、世界初の情報セキュリティ格付を行う第三者評価機関です。
〇情報管理の対策水準を「格付」で確かめ合う社会システム作りに取り組んでいます。
〇政府情報システムのためのセキュリティ評価制度(ISMAP)対応の構築支援・内部監査支援を行っています。
○政府ガイドライン、NIST SP800-171/172等への対応の構築支援・内部監査支援を行っています。
○ISO/IEC27001(ISMS)の改訂等に伴う、規格移行(適用宣言、マニュアル、教育研修等)の支援を行っています。