大切なデータをお預かりする立場として、
万全の体制で守ります。
「ココ+ナビ」は、社会福祉法人様の理事会資料・規程・職員情報といった機微な情報をお預かりするシステムです。私たちは、技術的な防御策と運用上のポリシーの両面から、皆さまの大切なデータを安全にお守りすることを最重要事項として運営しております。本ページでは、当社が実施しているセキュリティ対策と運用ポリシーの全体像をご案内いたします。
SSL/TLSによる暗号化通信。第三者による盗聴・改ざんを防止します。
万が一の機器トラブルや災害に備え、システムデータは毎日自動でバックアップを保存しています。
他法人様のデータと相互に閲覧されることはございません。
このページの内容
「ココ+ナビ」のセキュリティ対策
通信経路から認証、サーバー基盤、データベース層に至るまで、多層的なセキュリティ対策により、利用者様の大切な情報をお守りしております。
通信の暗号化
全ての通信を SSL/TLS で暗号化しております。ブラウザとサーバー間でやり取りされる情報が第三者に盗聴・改ざんされることを防ぎます。
サーバー環境
運用サーバーは、国際規格である「ISO 27001(ISMS)」および国内の厳格な個人情報保護基準である「プライバシーマーク」の認証を取得しているデータセンターにて、24時間365日厳重に管理・監視されています。
認証・パスワード管理
パスワードを安全に保管し、不正ログインを防止する仕組みを実装しています。
- パスワードは暗号化して保存しており、運用者・開発者であっても元のパスワードを参照することはできません。
- 異常なログイン失敗検知した場合、自動的に一時ロックし、総当たり攻撃を防止します。
セッション・Cookieの保護
ログイン状態を保持するCookieは、強固な属性設定により保護しています。
- ログイン情報を保持するCookieは暗号化されています。
- JavaScriptからの読み取りを禁止する属性を設定しています。
- HTTPS通信時のみ送信する属性を設定しています。
- 外部サイトからの送信を制限する属性を設定しています。
不正アクセス・ハッキング防止
権限管理により、情報への攻撃とアクセスを制御します。
- Webアプリケーションの脆弱性を突いたサイバー攻撃をリアルタイムで検知・遮断します。
- 法人単位でのデータ分離を実装しており、他法人様のデータが相互に閲覧されることはありません。
一般的なWeb攻撃への対策
使用フレームワークの標準機能により、以下の代表的な攻撃を防止しています。
- CSRF:トークン検証を全フォームで実施
- XSS:画面表示時にHTMLエスケープを自動適用
- SQLインジェクション:パラメータバインディングによる安全なクエリ発行
データ保全
誤操作や障害発生時にもデータを安全に保つ仕組みを整えています。
- 主要なデータは、設定により誤操作による完全消失を防ぎます。
- データベースの定期バックアップを取得し、障害発生時の復旧に備えています。
運用ポリシー
技術的な対策に加え、お預かりしたデータの取り扱いに関する運用上のお約束をご案内いたします。
目的外利用(2次利用)の
一切禁止
お客様がシステムに入力・保存されたデータ(職員様の個人情報等)を、第三者へのデータ販売や目的外利用に用いることは一切ございません。
委託先の厳格な管理
システムの開発・保守を委託している企業とは、厳密な機密保持契約(NDA)を締結しております。また、アクセスできる担当者を制限し、適切な監督(操作ログ・パスワード・入退出記録)の下で運用しております。
第三者への提供の
原則禁止
法令に基づく場合等の例外を除き、お客様の同意なしに第三者へデータを提供することはございません。
今後の継続的な強化とご要望に応じた追加対策
業界標準のセキュリティ動向を踏まえ、順次対応を進めてまいります。
大切なデータをお預かりする立場として、
今後も万全の体制で管理してまいります。
その他、ご不明な点やご懸念事項がございましたら、どうぞお気軽にご連絡ください。
法人様の規模やご要件に応じて、専任の担当者が個別にご案内いたします。