セキュリティの取り組み
国土交通省のセキュリティ要件に対応
KOLC+は、国土交通省の「受発注者間の情報共有システム機能要件」に定められたセキュリティ要件に対応しています。 また、ご契約の準拠法が「日本法」となることを利用規約にて明記しています。
国際的なセキュリティ基準に則った運用体制
KOLC+は、国際規格 ISO27001(ISMS)認証を取得するとともに、情報セキュリティ方針を策定して運用をおこなっています。 また、アプリケーションにセキュリティの問題がないかを外部の脆弱性診断サービスを用いて定期的に確認しています。
ISO27001(ISMS)登録証
高い信頼性を持つデータセンター
(ISMAP 登録済み)
KOLC+は、さくらインターネット株式会社が提供する「さくらのクラウド」の日本国内データセンター(SLA 99.95%以上)で稼働しています。 さくらインターネット社は「ISO27001(ISMS)認証」および、クラウドセキュリティの国際規格「ISO27017認証」を取得しており、高速なネットワークと堅牢なファシリティを備えたデータセンターを自社で運営しています。 なお、「さくらのクラウド」は ISMAP(政府情報システムのためのセキュリティ評価制度)のクラウドサービスリストに登録されています。
出典:さくらインターネット
バックアップ体制
KOLC+のデータ領域は、万一の障害に備え、地理的に離れたデータセンター(日本国内の別リージョン)に毎日バックアップしています。
通信を暗号化
KOLC+では、全ての通信を「SSL/TLS」を用いて暗号化しています。 また、ファイアウォールによるパケットフィルタリングによって不適切な通信を遮断しています。
機密情報を暗号化
パスワードなどの機密情報は復号できない方式で暗号化(電子政府推奨暗号リストに準拠)して保存しており、万が一流出した場合でも影響を最小限にできます。
不正アクセス対策
KOLC+は、2段階認証を標準で有効化するなど、ログインに関わるセキュリティ対策にも力を入れています。
2段階認証に対応
KOLC+では、ログイン時にワンタイムパスワードの入力を要求する「2段階認証」が標準で有効になっています。万が一、ログインのパスワードが意図せず流出した場合でも不正ログインを防止することができます。 運用ポリシーに応じて、管理者が2段階認証を必須化することもできます。QRコードで簡単ログイン
スマートフォンやタブレット端末では、2段階認証や複雑なパスワード入力はユーザーの負担になります。そこで、KOLC+では「QRコード」を用いたログイン機構を搭載しており、安全に簡単にログインできるようになっています。連続失敗でロックアウト
ログインを連続で失敗すると一定時間ロックアウトされます。ブルートフォースアタック(総当たり攻撃)を防ぐことができます。ログイン端末管理
各ユーザーはログインしている端末やアプリを把握・管理することができます。端末を紛失した場合は、即座に強制ログアウトできます。管理者によるユーザーアカウントの無効化
管理者は、指定したユーザーのアクセス権限を即座に無効化できます。操作履歴を監査ログに記録
ログイン認証やアクセス権限の付与など、ユーザーの重要な操作は監査ログに保存され、CSV形式でダウンロードできます。SAML認証(SSO)に対応
KOLC+のログインが「SAML2.0」に対応し、IDプロバイダ(AzureAD、Soliton OneGateなど)によるシングルサインオンが可能になりました。これにより、SAML認証が必須となるセキュリティ要件の厳しい発注者や案件でもKOLC+を導入頂けます。
