セキュリティ対策/体制

トライコーンでは、お客様の大切な情報を安全に保管・運用するために、サービス全体、サーバー、そして組織の各側面において多層的なセキュリティ対策を講じています。トライコーンは、プライバシーマーク、ISO/IEC 27001:2013、ISO/IEC 27017:2015 を取得・維持しており、適切な情報保護体制のもとで事業活動を行っています。
サービス全体
オプション
サーバー
組織

サービス全体のセキュリティ

クライゼルは、お客様が安心してサービスをご利用いただけるよう、以下のセキュリティ対策を講じています。
  • 暗号化通信
    • クライゼルのフォーム画面や管理者画面など、システムとの通信はTLS (Transport Layer Security) により保護されており、安全にご利用いただけます。
  • 柔軟な操作権限
    • 複数の管理者を登録することが可能で、個々の管理者に対して、管理者画面のどのメニューが利用できるか、どのデータベースにアクセスできるかといった細かい権限を設定できます。これにより、必要最小限の権限のみを付与し、誤操作や不正アクセスのリスクを低減します。
  • 自動ログアウト
    • 管理者がログインしてから無操作のまま一定時間が経過すると、自動的にログアウトされます。これにより、管理者がログアウトせずに長時間席を離れた場合にも、不正ななりすまし利用を防ぎます。クライゼル公開画面においても、利用者が無操作のまま一定時間が経過するとセッションが自動的にタイムアウトされます。
  • 確認メール、メール配信承認機能による誤配信の防止
    • メール文面登録時には、管理者宛てに必ず確認メールが送信され、送信文面のチェックを通じて間違いを未然に防ぐことができます。また、大量配信前のテストメール(確認メール)の送信も可能です。
    • さらに、メール配信承認機能を利用することで、他の担当者の承認がないとメール配信がされないように制限を設けることができ、誤配信による損失を未然に防ぎます。
  • 監査ログ
    • 管理者によるクライゼルの操作は細やかにログとして記録され、管理画面で表示・ダウンロード可能です。この機能により、誰がいつ個人情報へアクセスしたのかを正確に把握することができます
  • アカウントロック機能
    • クライゼルの管理者画面では、一定期間、連続してログイン操作に失敗すると、その際に使用されたIDが一時的にロックされ、特定のIDに対する不正なログイン試行を抑制します。
    • また、クライゼルの公開フォーム(更新フォーム)や公開サイト(会員限定エリア)においても、一定回数ログインに失敗した会員の利用をロックするように設定でき、パスワードへの総当たり攻撃等の不正アクセス試みに対応します。
  • IP(Internet Protocol)アドレス制限
    • 管理者画面については、IPアドレスによるアクセス制限を設定することで認証をより強固なものにできます。APIを利用いただく場合にも、IPアドレスによるアクセス制限が必須となり、安全性を確保しています。
  • 送信者認証技術の導入
    • クライゼルでは、送信するすべてのメールにDKIM (DomainKeys Identified Mail) による第三者署名が自動的に付加されます。これにより、受信者がメール送信元を確認でき、なりすましメールを発見する手がかりとなります。
  • メール送信時における暗号化通信の適用
    • 送信先(受信側)サーバーがSTARTTLSに対応している場合には、TLSによる暗号化通信を用いてメールが送信されます。パスワードの再発行など機密性の高い情報を扱う場合でも、可能な限り安全にメールを届けます。
  • 情報の廃棄
    • クライゼルでお預かりした情報は、ご解約時に全て論理的に削除いたします。ただし、バックアップデータ上からの完全な削除は解約から30日後となります。ご要望に応じて廃棄証明書を発行することも可能です。
  • マルウェア対策
    • クライゼルには外部ファイルを取り込める機能がありますが、取り込み時には個々のファイルに対してウイルススキャンを行い、ウイルスに感染していないファイルのみを取り込みます。
    • また、クライゼルでは添付ファイルの配信を許可していません(※デコメール配信、Android用画像添付配信を除く)。これにより、ウイルスに感染したファイルが配信されることを防ぎ、配信システム自体がウイルスを除去する対策を講じています。HTMLメール作成時には、悪意のあるJavaScriptの混入を防ぐため、スクリプトタグが入っていると警告メッセージが表示されるようになっています。
  • reCAPTCHA v3 に対応
    • reCAPTCHA v3 はフォームへのスパムによる大量登録を防止する目的でGoogle社が提供するものです。お問い合わせフォームや各種入力フォームにおいて、AIがページ内での行動をスコアとして算出することで人の手による入力によるものなのか、bot(プログラム)による入力によるものなのかを判断する機能です。お問い合わせフォームなどで、botと判断されると送信ができませんので、スパム対策上有効な機能です。 クライゼルではreCAPTCHA v3をフォームに実装することが可能です。
  • テキスト項目の暗号化
    • データベースに格納されるテキスト項目に関して暗号化をすることができます。これにより、給与データ等の表示を制限できます。
  • 管理画面のSAML認証対応
    • Security Assertion Markup Language(SAML)認証を使用し、任意のIdentity Provider(IdP)とクライゼルの管理画面を連携することができます。

オプションサービスのセキュリティ

  • SLA( Service Level Agreement )
    • クライゼルではSLA(サービスレベル合意)の締結が可能で、「セキュリティ」と「保守運用」の品質が客観的指標によって保証されます。

サーバーのセキュリティ

お客様の大切な顧客情報を厳重に保管するため、強固なサーバーセキュリティ体制を構築しています。
  • データセンター
    • お客様のデータは、国内のマネージド・ホスティング・ソリューションを採用しているデータセンターで厳重に管理されています。このサービスは、ネットワーク接続、サーバーラックなどのインフラだけでなく、ファイアウォール、ロードバランサーなども提供されるフルマネージドサービスです。
  • 24時間監視
    • データセンターでは、専門スタッフが24時間365日体制で全てのサーバーを監視しており、突然のエラーや外部からの攻撃を感知し、障害発生時には迅速な連絡が保証されています。加えて、トライコーン独自でも監視システムを構築し、二重の監視体制をとっています。
  • 冗長構成
    • サービスの安定稼働と稼働率向上のため、サービス提供に使用するサーバー及びネットワーク機器は冗長化されており、ハードウェアの障害による影響が最小限になるよう構成されています。
    • お客様のデータは、データセンター内で毎日バックアップテープに厳重にバックアップされ、遠隔地に置かれたサーバーにも同時にバックアップを行うことで、大規模な災害や万が一の障害時に備えています。
  • ファイアウォールと 侵入検知システム (IDS)
    • 適切に管理されたファイアウォールに加え、外部からの不正なアクセスを検知するIDSを採用しています。
    • ※IDS(Intrusion Detection System)は悪意のある第三者からのアクセス・侵入を検出し通知するセキュリティシステムです。
  • WAFを搭載
    • クライゼルはWAF(ウェブアプリケーションファイアウォール)の導入により、Webアプリケーションの脆弱性を悪用した攻撃からシステムを保護しています。WAFはアプリケーションへのリクエスト内容を監視し、不正なアクセスからシステムを守ります。
  • 脆弱性テスト
    • 定期的にセキュリティ専門業者による脆弱性診断を実施し、セキュリティレベルを最新に保っています。
  • 運営実績
    • トライコーンは、法人向けASPサービスの事業者として20年以上のサービス提供実績があり、これまでに累計で1000社以上の企業・官公庁にサービスを提供してきました。厳格なセキュリティ要件を求める国家機関や金融機関もトライコーンのサービスを選択しています。
  • プライベート領域
    • データベースはプライベート領域に設置し、外部からのアクセスを禁止しています。

組織のセキュリティ

トライコーンは、技術的な対策だけでなく、組織全体で情報セキュリティの維持・向上に取り組んでいます。
  • プライバシーマーク(Pマーク)
    • トライコーン株式会社はプライバシーマーク取得企業であり、個人情報の適切な保護のためのコンプライアンスプログラムの整備、社内組織、社員への教育、監査の実施、カスタマーセンター窓口の設置、システム的な安全性の保持などが第三者機関により認定されています。
    • プライバシーマーク制度は、JIS Q15001に基づき、個人情報保護に関する管理体制を審査する制度です。取得時には実地審査が行われ、取得後も最低年1回以上の社員教育、システム監査、そして2年ごとの更新審査が義務付けられています。
  • ISO/IEC 27001:2013
    • トライコーン株式会社は「ISO/IEC 27001 : 2013」(ISMS)認証取得企業であり、技術的なセキュリティ対策と組織全体のマネジメントの両面からの情報セキュリティマネジメントに対する取り組みが国際的な認証基準で認定されています。
    • ISO27001認証取得には、情報セキュリティの基本方針とISMSの適合範囲を定め、それに基づいた文書作成、運用、監査、見直しが必要です。定期的な社員教育も実施しており、最低年1回の維持審査と3年ごとの更新審査を受け続けています。
  • ISO/IEC 27017:2015
    • トライコーン株式会社のCRMプラットフォーム「クライゼル」は、ISO/IEC 27001:2013 / JIS Q 27001:2014 認証に加えて、クラウドサービス固有の管理策が適切に導入、実施されていることを認証する「ISO/IEC 27017:2015」を取得しております。
  • 緊急連絡体制整備
    • 個人情報漏洩やシステム障害などの緊急事態が発生した場合は、あらかじめ登録された緊急連絡先への連絡フローに従って、お客様に迅速に連絡がなされます。クライゼルは、メールでのご連絡は原則として「契約者」「システム管理者」「連絡先2」「連絡先3」、電話でのご連絡は「システム管理者」と定められています。
  • 定期教育
    • 社員に個人情報保護の概念を徹底させるため、定期的に個人情報保護に関する教育を実施しています。これにより、社員全員が高いセキュリティ意識を維持できるようにしています。
  • 入室退室管理
    • トライコーン社内への入退室は、入退室時間もすべて記録されています。
  • 外部機関の監査
    • 組織全体のセキュリティレベルを高い位置で維持するため、社内の情報セキュリティ体制は継続運営を行い、年1回、情報セキュリティに係る監査を外部機関に委託して行っております。発見された問題点は速やかに解決するよう行動しています。
  • 情報漏洩保険加入
    • 万が一の備えとして、外部からの不正アクセスや内部者からの悪意ある行動等により、情報が漏洩した場合に備え、金銭面での対策ができるよう個人情報漏洩保険に加入しています。

高セキュリティな顧客管理なら、クライゼルをご利用ください。

無料でお試ししたい方はこちら
運用開始フロー-14日間無料トライアル
14日間無料体験を試す
まずは資料を見たい方はこちら
資料ダウンロード
カタログダウンロード
導入のご相談はこちら
運用開始フロー-ヒアリング・ご提案
導入に関するお問い合わせ
多彩な業務で使える高セキュリティな
CRMプラットフォーム
クライゼル
トライコーン株式会社
〒160-0023
東京都新宿区西新宿8-17-1
住友不動産新宿グランドタワー27F
Tel: 03-6863-5638

© Tricorn Corporation