1. エネがえるは誰が運営していますか?
エネがえるは 国際航業株式会社が運営しています。
国際航業は、品質・環境・情報セキュリティ・個人情報保護・事業継続などを統合的に管理する KKC-IMS(統合マネジメントシステム) に基づき、継続的な改善を行っています。
参考:KKC-IMS方針 https://www.kkc.co.jp/kkc_ims/ (KKC)
2. 第三者認証や外部基準への取り組みはありますか?
国際航業は、情報セキュリティや個人情報保護等に関する認証・登録情報を公開しています(適用範囲は各認証機関の公開情報に準じます)。
参考:会社概要(認証・登録情報の掲載) https://www.kkc.co.jp/company/profile/ (KKC)
参考:個人情報保護方針 https://www.kkc.co.jp/policy/ (KKC)
3. インフラはどこで動いていますか?(AWS / サーバレス)
エネがえるは AWS(Amazon Web Services)上のサーバレスアーキテクチャを基盤として運用しています。
クラウドでは、AWSとサービス提供者(当社)の責任範囲が分かれる 責任共有モデル に基づき、セキュリティを担保します。
参考:AWS 責任共有モデル https://aws.amazon.com/jp/compliance/shared-responsibility-model/ (Amazon Web Services, Inc.)
参考:Well-Architected(Security Pillar)責任共有 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/shared-responsibility.html (AWS ドキュメント)
4. お客様データへのアクセスはありますか?
原則として、当社が日常的にお客様データへアクセスすることはありません。
ただし、障害調査・不具合解析・サポート対応など、お客様の依頼または必要性が明確な場合に限り、最小限の範囲・権限管理・記録の下で対応します。
5. アカウント・権限管理はどうなっていますか?
企業管理者は、管理画面から ユーザー登録/削除/権限変更が可能です。
最小権限の考え方に基づき、必要な権限のみを付与します。
参考:AWS IAM 最小権限(考え方) https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started-reduce-permissions.html
6. パスワード要件・アカウントロックはありますか?
はい。代表的な要件は以下です。
パスワード:8〜24文字(英数字・大文字/小文字を区別)
連続失敗が一定回数を超えた場合:アカウントロック
定期的な変更:変更の案内および管理画面での変更が可能
7. セッションタイムアウト(自動ログアウト)はありますか?
はい。一定時間操作がない場合、自動ログアウトし、再利用時は再認証が必要です(例:無操作状態が一定時間継続した場合)。
8. 多要素認証(MFA)やSSO、IP制限はできますか?
いいえ。標準はID/パスワード認証です。ただし、MFA/SSO/IP制限などがエネがえる導入の必須要件となる場合は、要件(利用規模・運用方式・対象範囲)に合わせて 個別に有償対応を含め対応可否を回答させていただきます。
※「必須要件」や「監査要件」がある場合は、先に要件一覧を共有いただくとスムーズです。
9. 通信・保存データは暗号化されていますか?
はい。
通信経路:暗号化(HTTPS/TLS等)
保存データ:保存時暗号化(KMS等)を適用
参考:AWS KMS 概要 https://docs.aws.amazon.com/kms/latest/developerguide/overview.html
参考:CloudWatch Logs 暗号化(例) https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html
10. 監査ログ(誰が何をしたか)は取得されていますか?
はい。認証・操作・設定変更等について、監査ログを取得し、改ざんや不正アクセスを防ぐ運用を前提にしています。
必要に応じて、お客様の監査・調査に資する情報提供を行います(提供範囲は契約・権限・法令等に依存します)。
参考:AWS CloudTrail https://docs.aws.amazon.com/cloudtrail/
11. 脆弱性対策や攻撃対策はどうしていますか?
エネがえるでは、検出・予防・回復の観点で多層的に対策します。例:
WAF等による防御
セキュリティ更新・監視
定期的な点検・改善
参考:AWS WAF Managed Rules https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html
参考:API Gateway スロットリング(過負荷対策) https://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/api-gateway-request-throttling.html
12. 第三者機関の脆弱性診断は実施していますか?
はい。エネがえるでは、第三者機関による脆弱性・セキュリティ調査(診断)を定期的に実施し、指摘事項があれば改善を継続します。
※診断結果の開示範囲は、再攻撃リスク等を踏まえ、お客様の監査要件に合わせて調整します。
13. バックアップや復旧(DR)はどうなっていますか?
データ消失リスクを低減するため、定期バックアップを実施し、必要に応じて 復旧(リストア)検証も行います。
14. インシデント発生時の連絡や対応は?
インシデント発生時は、影響範囲の把握、封じ込め、復旧、再発防止までを迅速に実施し、必要に応じてお客様へ連絡します。また、法的措置や調査が必要となる場合に備え、関連する記録(ログ等)を保全します。
15. お問い合わせ窓口
セキュリティに関するご質問・チェックシート対応・監査要件の相談は、以下までご連絡ください。
お問い合わせフォーム:https://form.run/@contact-enegaeru
参考(公開情報・クラウドの前提)
KKC-IMS方針:https://www.kkc.co.jp/kkc_ims/ (KKC)
国際航業 会社概要(認証・登録等):https://www.kkc.co.jp/company/profile/ (KKC)
個人情報保護方針:https://www.kkc.co.jp/policy/ (KKC)
Well-Architected(Security Pillar)責任共有:https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/shared-responsibility.html (AWS ドキュメント)