エネがえるのセキュリティ・運用体制について
発注前に確認いただきたいFAQ
エネがえるは、国際航業株式会社が提供する再エネ設備導入効果シミュレーションサービスです。対象は、エネがえるASP / Biz / EV・V2H / コーポレートPPA / API / BPO・BPaaSです。
国際航業は、品質・環境・情報セキュリティ・ITサービス・個人情報保護・事業継続などを統合的に管理する KKC-IMS に基づき、継続的な改善を行っています。KKC-IMSは、情報セキュリティ、ITサービス、個人情報保護、事業継続など10のマネジメントシステムを整理・統合する国際航業独自の活動として公開されています。(KKC)
また、国際航業の公式WEBサイトでは、ISO 9001、ISO 14001、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 20000-1、プライバシーマーク等の認証・登録情報が公開されています。ただし、各認証の適用範囲は認証機関の公開情報に準じます。(KKC)
まず確認いただきたい要点
確認項目 | 回答 |
運営会社 | 国際航業株式会社 |
管理体制 | KKC-IMSに基づき、品質・情報セキュリティ・ITサービス・個人情報保護・事業継続等を統合管理 |
クラウド基盤 | AWSの日本リージョンを利用 |
通信暗号化 | HTTPS/TLSにより暗号化 |
保存データ | 主要保存データに保存時暗号化を適用 |
認証方式 | 標準はID・パスワード認証 |
MFA / SSO | 標準機能では未対応。必須要件の場合は個別確認 |
IP制限 | Stansardプラン以上のみ提供 |
ログ | 操作・認証・設定変更・セキュリティ事象等のログを取得。原則3ヶ月保持 |
バックアップ | 主要データは毎日バックアップ |
脆弱性診断 | 年1回、第三者専門事業者による診断を実施 |
サポート | 平日9:00〜17:00、チャット・メール・電話で対応 |
FAQ
1. エネがえるは誰が運営していますか?
エネがえるは、国際航業株式会社が提供・運営しています。
国際航業は、品質・環境・情報セキュリティ・ITサービス・個人情報保護・事業継続などを統合的に管理する KKC-IMS(統合マネジメントシステム) に基づき、継続的な改善を行っています。(KKC)
2. 第三者認証や外部基準への取り組みはありますか?
はい。国際航業として、ISO 9001、ISO 14001、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 20000-1、プライバシーマーク等の認証・登録情報を公開しています。
ただし、各認証の適用範囲は認証機関の公開情報に準じます。エネがえる単体での認証適用有無や、貴社セキュリティチェック上の確認が必要な場合は、個別に確認します。(KKC)
3. ISMAPには登録されていますか?
現時点で、エネがえる単体を ISMAP登録サービス としては案内していません。
国際航業としての情報セキュリティ方針、KKC-IMS、各種認証、AWS基盤のセキュリティを組み合わせて運用しています。
4. エネがえるはどのクラウド基盤を利用していますか?
エネがえるは、Amazon Web Services(AWS)の日本リージョンを利用しています。
AWSの物理セキュリティ、冗長化、監視、可用性を前提に、エネがえる側ではアプリケーション、アクセス制御、ログ管理、運用管理を行っています。
AWSでは、AWSがクラウド基盤・物理設備・グローバルインフラ等を管理し、サービス提供者がクラウド上のアプリケーション、データ、アクセス制御、設定、運用を管理する 責任共有モデル が前提になります。(Amazon Web Services, Inc.)
5. AWSの責任共有モデルとは何ですか?
AWSの責任共有モデルでは、AWSが「クラウドのセキュリティ」、サービス提供者が「クラウドにおけるセキュリティ」を担います。
具体的には、AWSは物理設備、基盤インフラ、ネットワーク、リージョン、アベイラビリティゾーン等を保護します。一方、エネがえる側では、アプリケーション、顧客データ、アクセス制御、設定、運用管理等を担います。(Amazon Web Services, Inc.)
6. 通信は暗号化されていますか?
はい。
利用者端末とエネがえる間の通信は、HTTPS/TLS により暗号化されています。
7. 保存データは暗号化されていますか?
はい。
主要な保存データには、保存時暗号化を適用しています。AWS KMS等のクラウド標準の暗号鍵管理機能を活用し、データ保護を行っています。AWS KMSは、データ暗号化や署名に使用するキーの作成・制御を容易にするAWSのマネージドサービスです。(AWS Documentation)
詳細な暗号化方式や鍵管理構成は、セキュリティ上の理由により、個別確認または非公開となる場合があります。
8. どのようなデータを扱いますか?
主に以下の情報を扱います。
ユーザーID
メールアドレス
氏名
診断入力情報
診断結果
サービス特性上、財務データ、医療情報、要配慮個人情報、マイナンバー等の機微情報を主目的として扱うサービスではありません。
貴社運用上、入力を禁止したい情報がある場合は、社内利用ルールとして入力対象を制限してください。
9. お客様データへ国際航業がアクセスしますか?
原則として、当社が日常的にお客様データへアクセスすることはありません。
ただし、障害調査、不具合解析、サポート対応、BPO・BPaaS業務など、お客様の依頼または対応の必要性が明確な場合に限り、最小限の範囲・権限管理・記録の下で対応します。
10. 入力データを第三者提供・販売・目的外利用しますか?
いいえ。
顧客企業が入力した情報を、許可なく第三者提供・販売・目的外利用することはありません。契約、利用規約、個人情報保護方針に基づき取り扱います。
国際航業は個人情報保護方針を公開しており、個人情報保護法等の法規制を順守するとともに、個人情報保護マネジメントシステムを法規制に適合させる方針を示しています。(KKC)
11. 個人情報保護の方針はありますか?
はい。
国際航業は、個人情報保護方針を公開しています。同方針では、情報資産の管理徹底を企業活動上の重要事項として位置づけ、個人情報に関するセキュリティ対策の確立と個人情報保護の実践を定めています。(KKC)
12. ログイン方式は何ですか?
標準では、ID・パスワード認証です。
企業ドメインの個人メールアドレスを原則IDとし、共有アドレスやフリーメールの利用は原則不可としています。
13. パスワード要件やアカウントロックはありますか?
はい。
代表的な要件は以下です。
パスワード:8〜24文字
英数字を利用
大文字・小文字を区別
ログイン失敗が一定回数を超えた場合はアカウントロック
パスワード変更は管理画面等から実施可能
14. セッションタイムアウトはありますか?
はい。
一定時間操作がない場合は自動ログアウトし、再利用時には再認証が必要です。
15. ユーザー登録・削除・権限変更はできますか?
はい。
企業管理者は、管理画面からユーザー登録、削除、権限変更を行えます。
最小権限の考え方に基づき、利用者に必要な権限のみを付与する運用を推奨しています。
16. 多要素認証(MFA)やSSOには対応していますか?
標準機能としての多要素認証(MFA)およびSSOには、現時点では対応していません。
MFA、SSO、SAML連携等が導入の必須要件となる場合は、以下を確認のうえ、個別に対応可否・費用・時期を回答します。
対象サービス
利用規模
対象ユーザー数
希望する認証方式
希望時期
監査上の必須要件かどうか
17. IPアドレス制限は可能ですか?
標準はID・パスワード認証です。
ただし、Standardプラン以上など一部契約条件では、送信元グローバルIP制限をオプション対応できる場合があります。
利用対象サービス、IP範囲、運用方法、費用、対応時期は個別確認となります。
18. 不正アクセス対策はありますか?
はい。
AWS基盤、ファイアウォール、WAF等のクラウドセキュリティ機能を活用し、不正アクセスや一般的なWeb脅威への対策を行っています。
AWS WAFのマネージドルールは、アプリケーションの脆弱性や不要なトラフィックに対する保護を提供するマネージドサービスとして説明されています。(AWS Documentation)
詳細な構成、検知条件、ルール内容は、セキュリティ上の理由により原則非公開です。
19. DDoSや過負荷への対策はありますか?
はい。
AWS基盤およびサーバレス構成の特性、WAF、API Gateway等の制御を活用し、過負荷・DDoS等への耐性を高めています。
APIでは必要に応じてリクエスト制御・スロットリング等を活用します。Amazon API Gatewayでは、APIのスロットリングやクォータを設定し、多すぎるリクエストによってAPI負荷が高くなりすぎないよう保護できると説明されています。(AWS Documentation)
20. 可用性や冗長化はどうなっていますか?
エネがえるは、AWSサーバレスアーキテクチャを活用しており、高可用性、耐障害性、自動スケールの特性を持つクラウド構成を前提に運用しています。
AWS Well-Architected FrameworkのServerless Applications Lensは、サーバレスアプリケーションをAWS上でベストプラクティスに沿って設計・運用するための観点を整理した公式ドキュメントです。(AWS Documentation)
ただし、SLAや稼働率保証はエネがえる利用規約をご参照ください。
21. 監査ログは取得していますか?
はい。
以下に関するログを取得しています。
利用者操作
認証
設定変更
例外処理
セキュリティ事象
管理操作
監査ログの保存期間は、原則 3ヶ月 です。
お客様へのログ提供範囲は、契約、権限、法令、セキュリティ上の制約により個別確認となります。
22. バックアップは取得していますか?
はい。
主要データについては、毎日バックアップを取得し、一定期間保持しています。
対象例は以下です。
企業・ユーザー・グループ等の設定データ
世帯情報・診断結果などのユーザーデータ
主要API実行ログの集計データ
なお、全APIの実行詳細ログはバックアップ対象ではなく、原則3ヶ月保持です。
保持期間や対象範囲は、運用状況により変更される可能性があります。
23. DR・復旧対応はどうなっていますか?
データ消失リスクを低減するため、定期バックアップを実施し、必要に応じて復旧対応を行います。
復旧手順、復旧目標、復旧検証結果、個別SLAの有無は、契約条件や対象範囲に応じて個別確認となります。
24. 第三者機関の脆弱性診断は実施していますか?
はい。
年1回、第三者の専門事業者による脆弱性・セキュリティ調査を実施し、必要な対策を行っています。
対象は、アプリケーションおよびクラウド管理領域です。
診断結果そのものは、再攻撃リスク等を踏まえ、セキュリティ上の理由により原則非公開です。監査要件がある場合は、開示可能範囲を個別確認します。
25. 脆弱性対策やセキュリティ更新はどうしていますか?
検出・予防・回復の観点で、以下を組み合わせて対策しています。
WAF等による防御
セキュリティ更新
監視
定期点検
第三者診断結果に基づく改善
具体的な検知ルール、診断結果、設定値は、攻撃悪用を防ぐため原則非公開です。
26. インシデント発生時の連絡や対応は?
重大なセキュリティインシデントが発生した場合は、以下の対応を行います。
影響範囲の把握
封じ込め
復旧
再発防止
必要に応じたお客様への連絡
法的措置や調査に備えた関連ログ等の記録保全
27. 重大なセキュリティインシデントはありますか?
当社把握範囲では、2015年のサービス開始以来、エネがえるにおいて重大なセキュリティインシデントは確認されていません。
重大インシデント発生時は、社内方針に基づき、影響範囲の確認、封じ込め、復旧、再発防止、お客様への必要な連絡を行います。
28. 解約時にデータ削除はできますか?
はい。
解約時にお客様からデータ削除依頼がある場合、アカウント情報・診断情報等の削除は個別対応可能です。
削除範囲、削除証明の有無、対応手順、バックアップ上の残存期間等は、契約内容・対象データ・運用状況により個別確認となります。
29. サポート体制は?
基本サポート時間は、平日9:00〜17:00です。
チャット、メール、電話で対応しています。
回答時間・解決時間はベストエフォートです。
30. 利用規約はどこで確認できますか?
エネがえるでは、SaaS、API、BPO・BPaaSの各利用規約を公開しています。
SaaS利用規約は、エネがえるASP・Biz・EV/V2H・コーポレートPPAその他オプションサービスを対象としています。API利用規約は、エネがえるAPIサービス向けの規約として公開されています。BPO・BPaaS利用規約は、準委任契約型の業務代行サービス向けの規約として公開されています。(エネガエル)
31. セキュリティチェックシート提出が必要な場合は?
本FAQで基本事項をご確認いただいたうえで、貴社指定のセキュリティチェックシートが必要な場合は、弊社担当者までご依頼ください。
以下の項目は、内容により確認・個別回答となります。
個別要件
認証範囲
IP制限
MFA / SSO
ログ提供
削除証明
脆弱性診断結果の開示
SLA
貴社指定フォーマットへの回答
お問い合わせ先:info@enegaeru.com
お問い合わせフォーム:form.run / contact-enegaeru