1.4.1 WealthForceのセキュリティ対策を確認する
目次
概要
WealthForceが採用しているセキュリティ対策の全体像を確認できます。データの暗号化やバックアップ、アクセス制御、第三者認証の取得状況など、安心してご利用いただくための取り組みをまとめています。
最小権限とMFAで守るアクセス管理
本番データには、IAMに基づく最小権限のみを付与し、GitHubや本番DBへのアクセスにはMFA(多要素認証)を必須化しています。入退社・異動時には即時で権限見直しを行うことで、常に最新・最適なアクセス制御を維持しています。
| 項目 | 内容 |
|---|---|
| 最小権限の原則 | 業務上必要な最小限の権限のみを付与し、不要な権限が残らないよう管理しています。 |
| 多要素認証(MFA) | 社内における本番データベースやソースコード管理など、機密性の高い領域へのアクセスにはMFAを必須としています。 |
| IPアドレス制限 | 管理画面へのアクセス元を特定のネットワーク(社内やVPNなど)に限定できます。すべてのプランで利用可能です。 |
| シングルサインオン(SSO)連携 | お客様の認証基盤と連携し、社内アカウントでの一元的なログイン管理を実現できます。ご要望に応じて対応いたします。 |
AWSベースの高度な暗号化と鍵管理
通信はTLS 1.2以上、保存データはAES-256相当で暗号化しています。重要情報はKMSにより格納前に暗号化され、鍵はAWS Secrets Managerやパラメータストアで厳格に管理しています。金融機関水準の暗号化体制を標準装備しています。
| 保護の対象 | 対策内容 |
|---|---|
| 通信中のデータ | TLS 1.2以上による暗号化通信を必須とし、外部から通信内容を読み取れないよう保護しています。 |
| 保存されたデータ | AES-256等の暗号化方式により、データベースやストレージに保存されるデータを暗号化しています。 |
| パスワード等の重要情報 | KMSにより暗号化した状態で保管しており、平文では保存されません。万が一データが流出しても、内容を読み取ることはできません。 |
| 暗号鍵の管理 | AWS KMS、Secrets Manager、Parameter Store等の安全な領域で管理し、定期的なローテーションを実施しています。 |
24時間365日のログ監査と不正検知
CloudTrailとCloudWatchでアクセスログを完全管理し、改ざん防止と限定的な書き込み権限制御を徹底しています。自動監視とアラートで24時間365日体制の不正検知を実施し、異常は即時エスカレーションされます。
| 項目 | 内容 |
|---|---|
| 常時監視 | DatadogやCloudWatchを活用し、システムの状態をリアルタイムで監視しています。 |
| ログ管理 | アクセスログ、通信ログ、操作ログ、AWS操作ログ(CloudTrail)を取得・保管し、問題発生時の原因特定に活用しています。 |
| 不正検知 | エラーレベルのイベントをほぼリアルタイムで監視し、異常を検知した場合はアラートが即時発生します。 |
ISO27001に基づく運用体制と内部統制
個人データ取扱規程・安全管理方針・内部点検フローを整備し、ISO27001認証に基づいて運用しています。データの取得・利用・保管・移送・廃棄までのプロセスを規定し、全社教育・秘密保持・懲戒規定の運用も含め、組織全体で情報資産を守ります。
| 項目 | 内容 |
|---|---|
| ISO27001 | 情報セキュリティに関する国際規格「ISO27001」(ISO/IEC27001)を取得しています。 |
| 個人データ管理 | 個人データ取扱規程に基づき、利用目的を明確化し、データ分類に応じたアクセス制御を行っています。 |
| セキュリティ教育 | 全従業員を対象に年1回以上のセキュリティ教育を実施し、標的型メールへの対応を含めて周知しています。秘密保持義務・懲戒規定も整備しています。 |
国内(AWS東京リージョン)で完結するデータ管理
すべてのデータはAWS東京リージョンで保管し、国内で安全性と可用性を確保しています。契約終了後は90日以内に復元不可能な方法で完全削除するなど、プライバシー保護に関する運用を徹底しています。
| 項目 | 内容 |
|---|---|
| データ保管場所 | AWS東京リージョン内に保管しており、すべてのデータは国内で管理されています。 |
| テスト環境 | 原則として匿名化またはマスキングされたデータのみを使用し、本番環境との分離を徹底しています。 |
| 解約時のデータ削除 | 契約終了後90日以内を目安に、暗号鍵の破棄を含めすべてのデータを安全に削除します。 |
定期診断・バックアップ・障害対応の万全体制
年1回以上の脆弱性診断、日次バックアップ、復旧手順の整備に加え、インシデント発生時は速やかに関係者へ連絡するルールを確立しています。委託先管理や再委託の基準も明確化し、サービス継続性とリスク低減を両立しています。
| 項目 | 内容 |
|---|---|
| 脆弱性診断 | 第三者機関による脆弱性診断を年1回以上実施し、重大な指摘があった場合は優先的に修正対応を行っています。 |
| バックアップ | データベースは1日1回自動バックアップ(7世代保持)、ファイルストレージは更新のたびに自動保存し、複数のデータセンターに分散保管しています。 |
| 事業継続計画(BCP) | AWSのマルチAZ構成により冗長化されており、障害発生時も別拠点に自動で切り替わる仕組みを採用しています。年1回以上のBCP訓練を実施しています。 |
| インシデント対応 | 情報漏えいやシステム障害が発生した場合は、初報・続報・終報の流れでお客様へ迅速にご報告します。 |
| 委託先管理 | 主要な委託先についてはSOC 2レポートやISO認証等の外部監査報告書を定期的に確認し、安全管理措置の維持を確認しています。 |
※セキュリティ対策の詳細については、WealthForce運営事務局(support@monoinv.com)までお問い合わせください。