「経済産業省 クラウドサービスレベルのチェックリスト(2010/8/16)」をベースにした内容を記載します。利用に当たってのセキュリティチェックにご活用ください。
追加で確認が必要な項目がありましたら、こちらのお問い合わせフォームよりお気軽にご連絡ください。
記載日:2023/09/01
対象となるサービス:CAT(*catcloud.net)
No. | 種別 | サービスレベル項目例 | 規定内容 | 測定単位 | 回答 | 詳細 |
アプリケーション運用 | ||||||
1 | 可用性 | サービス時間 | サービスを提供する時間帯(設備やネットワーク等の点検/保守のための計画停止時間の記述を含む) | 時間帯 | 24時間365日 | 24時間365日(計画メンテナンス時間を除く) 計画メンテナンス頻度:3ヶ月に1回程度 通常の計画メンテナンス時間:土曜日 0時~6時 |
2 | 計画停止予定通知 | 定期的な保守停止に関する事前連絡確認(事前通知のタイミング/方法の記述を含む) | 有無 | 有 | 連絡タイミング:2週間前まで 連絡手段: ログイン画面のお知らせ欄 サポートサイト https://catcloud.zendesk.com/hc/ja |
|
3 | サービス提供終了時の事前通知 | サービス提供を終了する場合の事前連絡確認(事前通知のタイミング/方法の記述を含む) | 有無 | 有 | 連絡タイミング:1ヶ月以上前まで 連絡手段: 利用担当者様へのメール ログイン画面のお知らせ欄 サポートサイト https://catcloud.zendesk.com/hc/ja |
|
4 | 突然のサービス提供停止に対する対 処 | プログラムや、システム環境の各種設定データの預託等の措置の有無 | 有無 | 有 | 主な手段 ・ダウンロード版(オンプレ版)の利用 ・各種データのエクスポート(Excel、CSV) |
|
5 | サービス稼働率 | サービスを利用できる確率((計画サービス時間-停止時間)÷計画サービス時間) | 稼働率 (%) | 99.9%(目標) | ||
6 | ディザスタリカバリ | 災害発生時のシステム復旧/サポート体制 | 有無 | 有 | ・AWSの複数アベイラリティゾーンにサーバの構築、データの保管をしています ・大規模障害により特定のアベイラリティゾーンに障害発生した場合、正常なアベイラリティゾーンに移行する手順書があり手順に従って復旧させる体制を整備しております |
|
7 | 重大障害時の代替手段 | 早期復旧が不可能な場合の代替措置 | 有無 | 有 | 状況に応じて、CSV・Excelなどのファイルの提供などで対応します。 | |
8 | 代替措置で提供するデータ形式 | 代替措置で提供されるデータ形式の定義を記述 | 有無 ( フ ァ イ ル 形 式) | CSV・Excelファイル | ||
9 | アップグレード方針 | バージョンアップ/変更管理/パッチ管理の方針 | 有無 | 有 | 年3~4回のバージョンアップを実施(機能追加・改善) ※hotfixの提供は不定期に実施 |
|
10 | 信頼性 | 平均復旧時間(MTTR) | 障害発生から修理完了までの平均時間(修理時間の和÷故障回数) | 時間 | - | 申し訳ございませんが、公表しておりません。 |
11 | 目標復旧時間(RTO) | 障害発生後のサービス提供の再開に関して設定された目標時間 | 時間 | 2時間 | ||
12 | 障害発生件数 | 1年間に発生した障害件数/1年間に発生した対応に長時間(1日以上)要した障害件数 | 回 | 0回 | なし | |
13 | システム監視基準 | システム監視基準(監視内容/監視・通知基準)の設定に基づく監視 | 有無 | 有 | インフラとしてAWSを利用していますので、責任共有モデルにもとづき次のとおりとなります。 <弊社での監視項目> ・リクエストの遅延 ・死活 ・不正なログの発生 ・例外・エラーログの発生 <物理レイヤーの対策について> 具体的な手順などは示されておりませんが、運用体制に十分な信頼性があることをAWSの公開情報より確認しております。 https://aws.amazon.com/jp/compliance/data-center/data-centers/ |
|
14 | 障害通知プロセス | 障害発生時の連絡プロセス(通知先/方法/経路) | 有無 | 有 | 次の手段にて利用者へ通知します。 ・ログイン画面のお知らせ欄 ・サポートサイト https://catcloud.zendesk.com/hc/ja ・メール(障害の影響が大きいと判断した場合) |
|
15 | 障害通知時間 | 異常検出後に指定された連絡先に通知するまでの時間 | 時間 | 120分 | 障害検知から通知するまでの時間:120分 弊社が重度であると判断する障害が発生した場合、30分以内にご連絡致します。 |
|
16 | 障害監視間隔 | 障害インシデントを収集/集計する時間間隔 | 時間 (分) | 5分 | ||
17 | サービス提供状況の報告方法/間隔 | サービス提供状況を報告する方法/時間間隔 | 時間 | - | 申し訳ございませんが、サービスの提供状況は公開しておりません。 | |
18 | ログの取得 | 利用者に提供可能なログの種類(アクセスログ、操作ログ、エラーログ等) | 有無 | 有 | <ログの内容> 次のログを1年間保管しております。 - ログの内容 ・ユーザーID ・アクセス元IP ・操作URL(操作アクションを含む) ・操作対象のサービス・プロジェクト ・日時 - ログの記録タイミング ・ログイン時・ログアウト時 ・CATのデータに対する編集操作実施時 <提供の手段> ・画面からの取得機能は提供していません。 ・年数回もしくは、月次など監査を目的としたログの取得については有償で承っております。 - 価格 ・スポットの場合20,000円/回 ・毎月の場合10,000円/月 ・インシデントなどの緊急対応によるものについては、サポートにご連絡いただき無償で対応致します。 |
|
19 | 性能 | 応答時間 | 処理の応答時間 | 時間 (秒) | 5秒(目標) | |
20 | 遅延 | 処理の応答時間の遅延継続時間 | 時間 (分) | 5分 | ||
21 | バッチ処理時間 | バッチ処理(一括処理)の応答時間 | 時間 (分) | - | お客様が利用可能なバッチ処理はありません。 | |
22 | 拡張性 | カスタマイズ性 | カスタマイズ(変更)が可能な事項/範囲/仕様等の条件とカスタマイズに必要な情報 | 有無 | 有 | 主に、次の設定変更はユーザー自身にて実施可能です。 ・テストの項目 ・課題の項目 ・サービス名 ・プロジェクト名 ・工程名 ・ユーザー情報(所属など) ・テストの計上方法 また、REST API(情報取得)が利用可能ですので、APIを利用したビューの開発なども可能です。 |
23 | 外部接続性 | 既存システムや他のクラウド・コンピューティング・サービス等の外部のシステムとの接続仕様(API、開発言語等) | 有無 | 有 | 次の連携機能を有しております。 ・課題管理ツール(Redmiine、Jira、Backlog) ・チャットツール(Slack、Redmine) ・バージョン管理(Git) ・認証(LDAP・SAML) ・REST API |
|
24 | 同時接続利用者数 | オンラインの利用者が同時に接続してサービスを利用可能なユーザ数 | 有無 (制約条件) | - | 制約はありません | |
25 | 提供リソースの上限 | ディスク容量の上限/ページビューの上限 | 処理能力 | 25GB | ・添付ファイル容量上限:25GB(デフォルト・有償にて追加可能) ・PVの上限はありません |
|
サポート | ||||||
26 | サポー ト | サービス提供時間帯(障害対応) | 障害対応時の問合せ受付業務を実施する時間帯 | 時間帯 | 営業日 9:30-17:00 |
当社営業日における9:30-17:00 ※受付はメールにて24時間365日 |
27 | サービス提供時間帯(一般問合せ) | 一般問合せ時の問合せ受付業務を実施する時間帯 | 時間帯 | 営業日 9:30-17:00 |
当社営業日における9:30-17:00 ※受付はメールにて24時間365日 |
|
データ管理 | ||||||
28 | データ 管理 | バックアップの方法 | バックアップ内容(回数、復旧方法など)、データ保管場所/形式、利用者のデータへのアクセス権など、利用者に所有権のあるデータの取扱方法 | 有無/内容 | 有 | 次の通りバックアップを行っています。 ・頻度:日次 ・世代:60世代 ・リカバリ時間:リカバリが必要な場合、最短3~4時間程度 ・リカバリポイント:最長24時間 |
29 | バックアップデータを取得するタイ ミング(RPO) | バックアップデータをとり、データを保証する時点 | 時間 | 24時間 | ||
30 | バックアップデータの保存期間 | データをバックアップした媒体を保管する期限 | 時間 | 1440時間 | 60日 | |
31 | データ消去の要件 | サービス解約後の、データ消去の実施有無/タイミング、保管媒体の破棄の実施有無/タイミング、およびデータ移行など、利用者に所有権のあるデータの消去方法 | 有無 | 有 | お客様からの依頼により物理削除を実施します。 (解約後もナレッジとして過去のデータの温存が可能です) |
|
32 | バックアップ世代数 | 保証する世代数 | 世代数 | 60世代 | ||
33 | データ保護のための暗号化要件 | データを保護するにあたり、暗号化要件の有無 | 有無 | 有 | データストレージは暗号化を実施しています。 | |
34 | マルチテナントストレージにおける キー管理要件 | マルチテナントストレージのキー管理要件の有無、内容 | 有無/ 内容 | 有 | 次のとおりです。 ・URL(契約者様ごと) ・ユーザーID |
|
35 | データ漏えい・破壊時の補償/保険 | データ漏えい・破壊時の補償/保険の有無 | 有無 | 有 | 約款にて記載しております。 https://www.catcloud.net/service-terms.html |
|
36 | 解約時のデータポータビリティ | 解約時、元データが完全な形で迅速に返却される、もしくは責任を持ってデータを消去する体制を整えており、外部への漏えいの懸念のない状態が構築できていること | 有無/ 内容 | 有 | ・CSV及びExcelにてデータの取得が可能です。 ・削除時には弊社より削除のご連絡(実施日・実施者・作業内容)も可能です。 |
|
37 | 預託データの整合性検証作業 | データの整合性を検証する手法が実装され、検証報告の確認作業が行われていること | 有無 | 有 | データの入出力時にデータの整合性検証を実施しております。 | |
38 | 入力データ形式の制限機能 | 入力データ形式の制限機能の有無 | 有無 | 有 | 各種項目ではデータの種類(テスト仕様書・課題など)に応じたバリデーションチェック・ファイルタイプのチェックを行っております。 | |
セキュリティ | ||||||
39 | セキュ リティ | 公的認証取得の要件 | JIPDECやJQA等で認定している情報処理管理に関する公的認証(ISMS、プライバシーマーク等)が取得されていること | 有無 | 有 | ISMSを取得しております。 ISO/IEC 27001:2013、登録番号:JUSE-IR-453 |
40 | アプリケーションに関する第三者評 価 | 不正な侵入、操作、データ取得等への対策について、第三者の客観的な評価を得ていること | 有無/実施状況 | 有 | ・脆弱性診断を年1回実施しております。 ・大規模な構成変更があった場合プラットフォーム診断を実施しております。 |
|
41 | 情報取扱い環境 | 提供者側でのデータ取扱環境が適切に確保されていること | 有無 | 有 | セキュリティ教育を受けた弊社の専任メンバー意のみデータの取り扱いが可能です。 | |
42 | 通信の暗号化レベル | システムとやりとりされる通信の暗号化強度 | 有無 | 有 | 通信の暗号化有無: 有り 暗号化方式: HTTPS AES 暗号化キーの長さ 256 ビット以上 |
|
43 | 会計監査報告書における情報セキュ リティ関連事項の確認 | 会計監査報告書における情報セキュリティ関連事項の監査時に、担当者へ以下の資料を提供する旨「最新のSAS70Type2監査報告書」「最新の18号監査報告書」 | 有無 | 無 | 実施しておりません。 以下の有価証券報告書内「有価証券報告書」が相当すると考えております。 (例:有価証券報告書-第17期(令和3年9月1日-令和4年8月31日) PPVI.pdf 107ページ目~) |
|
44 | マルチテナント下でのセキュリティ 対策 | 異なる利用企業間の情報隔離、障害等の影響の局所化 | 有無 | 有 | お客様ごとにDBを独立して運用しております。 | |
45 | 情報取扱者の制限 | 利用者のデータにアクセスできる利用者が限定されていること利用者組織にて規定しているアクセス制限と同様な制約が実現できていること | 有無/設定状況 | 有 | 次の権限レベルで設定可能です。 ・システム管理者(スーパーユーザー) ・プロジェクト管理者(所属範囲に関する設定権限) ・メンバー(所属範囲に関する一般操作権限) ・ゲスト(所属範囲に関するリードオンリー権限) |
|
46 | セキュリティインシデント発生時の トレーサビリティ | IDの付与単位、IDをログ検索に利用できるか、ログの保存期間は適切な期間が確保されており、利用者の必要に応じて、受容可能に期間内に提供されるか | 設定状況 | 詳細に記載 | ・IDの単位:ユーザーごと ・操作ユーザーをログに含んでおります。 |
|
47 | ウイルススキャン | ウイルススキャンの頻度 | 頻度 | - | ウィルス対策は、Linux上で不要なデーモンやポートを停止して各種ログを監視することで、アンチウイルスソフトを利用しない運用をしています。 | |
48 | 二次記憶媒体の安全性対策 | バックアップメディア等では、常に暗号化した状態で保管していること、廃棄の際にはデータの完全な抹消を実施し、また検証していること、USBポートを無効化しデータの吸い出しの制限等の対策を講じていること | 有無 | 有 | 二次記憶媒体の利用は禁止しております。 | |
49 | データの外部保存方針 | データ保存地の各種法制度の下におけるデータ取扱い及び利用に関する制約条件を把握しているか | 把握状況 | 日本国 | データ保管国は日本国となります。 (CATはサービス提供にAWSを利用しており、アジアパシフィックリージョン(東京)に準拠しております) |