セキュリティ評価に表示される「条件付き回答」についてご説明します。
「条件付き回答」とは
Assuredセキュリティ評価の選択肢ごとの回答で、「条件付き」という回答が選択/閲覧できるようになります。
従来、特定の利用プランや付帯のオプションでのみ有効となるセキュリティ対策については補足欄にその旨を記載頂いておりましたが、今後はプロバイダー企業様にてその利用可否や条件を分かりやすく回答いただくことが可能です。また、プロバイダー企業様にて回答いただくことでユーザー企業様にて「条件付き回答」として反映される仕様となります。
「条件付き回答」は、回答の詳細画面では△マークで表示されます。また、その条件の詳細については「該当する場合の条件」が補足欄に記載されます。
条件付き回答の表示例
「条件付き回答」を含むセキュリティ評価スコアの表示
条件付き回答を含む場合のセキュリティ評価スコアは、ユーザ企業画面、プロバイダー企業画面でそれぞれ異なります。
ユーザー企業画面
デフォルトでは、条件付き回答をスコアに算入しない場合のスコアが表示されます。
そのうえで、ご自身の利用されるオプションにあったスコアを再計算できるようになっています。再計算の操作については以下のヘルプをご覧ください。
プロバイダー企業画面
条件付き回答によってスコアが変動する場合は、スコアの表示が幅で表示されます。
【プロバイダー企業様向け】「条件付き回答」回答の際の注意点
プロバイダー企業様向けに以下のヘルプをご用意しております。合わせてご覧ください。
「条件付き回答」の対象となる選択肢
「条件付き回答」は以下の設問の選択肢が対象となります。
番号 | カテゴリ | 項番 | 設問 |
1 | SL_サービスレベル | SL-1 | サービスレベルや責任範囲について実施していることをすべて選択してください。 |
2 | LO_データの所在地 | LO-1 | サービス提供のため利用しているデータセンターのリージョンやエリアをすべて選択してください(バックアップ用途を含む)。 |
3 | AS_情報資産管理 | AS-3 | サービス利用終了時またはサービス利用者からの指示があった場合、預託データやサービス利用者が作成したデータを返却したり削除できますか。可能なものをすべて選択してください。 |
4 | AS_情報資産管理 | AS-10 | 他のユーザーとデータが混在しないようにしていますか |
5 | AC_アクセス制御 | AC-14 | サービス利用者のアカウントについて、実施していることおよび実施可能なことをすべて選択してください。 |
6 | CR_暗号 | CR-4 | 預託データに関する暗号化について、実施していることをすべて選択してください。 |
7 | OP_運用のセキュリティ | OP-3 | サービス利用者への通知について、該当するものをすべて選択してください(実施予定のものを含む)。 |
8 | OP_運用のセキュリティ | OP-5 | 障害や災害からあらかじめ定められた目標時間やポイントで復旧できるようクラウドサービスのデータやアプリケーション、環境構成情報のバックアップを取得していますか。 |
9 | OP_運用のセキュリティ | OP-6 | バックアップから適切に復旧可能とするために実施していることをすべて選択してください。 |
10 | OP_運用のセキュリティ | OP-8 | 取得しているログをすべて選択し、保管期間を記載してください。 |
11 | OP_運用のセキュリティ | OP-14 | 脆弱性診断やペネトレーションテストについて、実施していることをすべて選択してください。 |
12 | OP_運用のセキュリティ | OP-16 | クラウドサービスを構成する本番サーバに対して行なっているウィルス対策を選択してください。 |
13 | MN_監視 | MN-1 | セキュリティインシデントやシステム障害を検知するために実施していることをすべて選択してください。 |
14 | NW_ネットワークのセキュリティ | NW-2 | 外部および内部からの不正アクセスを防止するためにファイアウォールを設置していますか(WAFは除く)。 |
15 | NW_ネットワークのセキュリティ | NW-3 | 不正なパケットを自動的に発見または遮断するためにIPSやIDSを導入していますか。 |
16 | NW_ネットワークのセキュリティ | NW-4 | Webアプリケーションの脆弱性を悪用した攻撃等を防止するため、WAFを導入していますか。 |
17 | NW_ネットワークのセキュリティ | NW-5 | DDoS等のサービスの維持運用を妨害する攻撃への対策をしていますか。 |
18 | BC_事業継続マネジメントにおける情報セキュリティ | BC-2 | 地震や火災等の災害または大規模なシステム障害に備えて複数の拠点や地域にまたがって冗長化されたシステム構成となっていますか。 |
19 | AT_アカウント | AT-1 | サービス利用者側のアカウントについて、一般的な利用者権限と、管理者権限等の特権を分離していますか。 |
20 | AT_アカウント | AT-2 | サービス利用において利用者権限とユーザーアカウント管理権限等の特権アカウントでどのような管理機能を分離していますか。 |
21 | AT_アカウント | AT-3 | サービス利用者のログイン情報について、利用者側の管理者権限を有するユーザーが利用する管理画面や、監査ログのダウンロード機能などにより提供可能な情報や制約を選択してください。 |
22 | AT_アカウント | AT-4 | サービス利用者の操作について、利用者側の管理者権限を有するユーザーが利用する管理画面や、監査ログのダウンロード機能などにより提供可能な情報や制約を選択してください。 |
23 | UP_ファイルアップロード | UP-1 | ファイルをアップロードする機能がある場合、そのファイルに対して実施していることをすべて選択してください。 |
24 | DN_独自ドメイン | DN-1 | サービス利用者がアクセスする際に利用するURLは、利用企業毎に異なりますか(利用企業の独自ドメインを使用可能な場合やaaa.example.com、bbb.example.comのようにサブドメインのみ異なる場合も含みます)。 |
25 | RT_機能制限 | RT-1 | 他サービスとの連携する機能がある場合、その機能の使用可否はサービス利用者の管理者権限で設定できますか。 |
26 | RT_機能制限 | RT-2 | 預託データを公開または外部ユーザへ共有する機能がある場合、それらの機能の使用可否はサービス利用者の管理者権限で設定できますか。 |
27 | AP_API | AP-1 | 他サービスとAPI連携していますか。該当するものをすべて選択してください。 |
28 | AP_API | AP-2 | 他サービスへのAPI提供について、実施していることをすべて選択してください。 |
29 | AP_API | AP-3 | 他サービスのAPI利用について、API認証に利用する情報を業務上必要な従業員のみアクセスできるよう制限していますか。 |
30 | SA_スマートデバイスアプリ | SA-1 | スマートデバイスで利用するアプリが提供されている場合、デバイス経由でのデータ漏えい対策を実施していますか。 |
31 | EF_電子メール | EF-1 | サービス利用者が電子メールを送信する機能はありますか。 |
32 | EF_電子メール | EF-2 | サービス利用者が電子メールを送信する機能について、その機能の使用可否はサービス利用者の管理者権限で設定できますか。 |
33 | EF_電子メール | EF-3 | サービス利用者が電子メールを送信する機能について、どのように送信ドメインの詐称(なりすまし)を防いでいますか。 |
34 | AI_AI | AI-2 | AIに関するガバナンス・管理として実施していることを選択してください。 |
35 | AI_AI | AI-3 | AIに関する品質管理およびセキュリティ対策として実施していることを選択してください。 |