ロゴスウェア株式会社は下記認証登録範囲の情報セキュリティマネジメントシステムについて、ISMS認証を取得しています。

SaaSサービスの構築及び運営

• 適用規格：JIS Q 27001 : 2014 (ISO/IEC 27001 : 2013)
• 認証番号MSA-IS-208
• 認証日: 2017年6月26日

＊ロゴスウェアのクラウド型サービスは、情報セキュリティ方針に基づき運用されています。

LOGOSWAREクラウドお手軽サービスのログインパスワードは、アルファベットと記号の組み合わせ、アクセス時間の制限など管理者によって設定できます。

パスワード保護

• パスワードは、ハッシュ値のみデータベースに格納するため、漏洩することはありません
• パスワードを忘れた場合は、パスワードの変更（登録されたメールアドレスを受信できる人）となります

SSO（シングルサインオン）

グループウェアなど、他のシステムでアカウントを一元管理している場合は、そのアカウントによるログインが可能です。LDAP、SAML、JWTなど、さまざまな方式に対応しています。

IPアドレスによる閲覧制限有料オプション

LOGOSWARE Libraは、クラウド型でも接続元IPによるアクセス制限が可能です。アクセス元を制限すれば、社外秘のコンテンツでも安心してご利用いただけます。

LOGOSWARE のクラウド型サービスは、Webサーバーのアクセスログを解析し、不正な侵入や、データ漏洩などの監視を行っています。

通信の暗号化

LOGOSWAREお手軽サービスでは、通信はTLS1.2以上の暗号化通信を使用します。弊社提供のドメインでの使用の場合は、証明書は弊社で準備します。お客さまのドメインで運用する場合は、お客さまに証明書を準備していただきます。

データベースへのアクセス

データベースへの侵入を防止するために、以下の対策を講じています。

• お客さまごとにデータベースは独立しています。
• データベースは暗号化しています。
• データベースは内部ネットワークからのアクセスに限定し、外部からのアクセスはできません。

アクセスログ監視

お手軽サービスでは、すべてのアクセスログを記録しています。
このアクセスログを定期的に監査し、サーバーに対して不正なアクセスが行われていないことを確認します。
なお、このアクセスログは、システム内での識別された個人の操作ではなく、利用者のPCからサービスサーバーへのアクセスを記録しています。このアクセスログに個人情報は一切含まれていません。

情報を保護する為、ロゴスウェアでは以下のような取り組みを実施しています。

データベースのバックアップ

データベースは常にバックアップしています。バックアップは以下の条件で保管しています。

• バックアップは過去7日分保存しております。
• 復旧ポイントは過去7日の任意のタイミングで可能です。

データベースの復旧

データベースの復旧は、以下の手順で実施します。

1. 正常状態の復旧ポイントをご連絡します。
2. 復旧作業日時をお客さまと弊社で合意します。
   • 復旧に要する時間（見込み作業時間をご案内します）は、システムの利用を停止してください。
3. 復旧が完了しましたら、メールにてご連絡しますので、システムの利用を再開してください。

コンテンツのバックアップ

コンテンツは毎日午前2時にバックアップしています。バックアップは以下の条件で保管しています。

• 1日1回のフルバックアップを7日間保管

コンテンツの復旧

コンテンツの復旧は、以下の手順で実施します。

1. 復旧ポイントをお客さまと弊社で合意します。
   
   • バックアップを保管している7日間で、正常状態の中で最新のデータに復旧します。
2. 復旧作業日時をお客さまと弊社で合意します。
   
   • 復旧に要する時間（見込み作業時間をご案内します）は、システムの利用を停止してください。
3. 復旧が完了しましたら、メールにてご連絡しますので、システムの利用を再開してください。

企業や組織を対象にしたサイバー攻撃を防ぐために、LOGOSWAREクラウドお手軽サービスは、階層ごとに次のようなセキュリティ対策を施しているため、安心してご利用いただけます。

第１階層：ポート制限

サーバー到達パケットは全拒否の設定で最小限のポート・プロトコルのみの許可。
また許可するポート・プロトコルも、管理用であればアクセス元を制限しているため、LOGOSWAREクラウドお手軽のサービス領域に到達することなく破棄されます。Libraのご利用サービスにとって何の影響もありません。
攻撃例）NTP リフレクションや ICMPフラッドなど

第２階層：典型的な攻撃への対策

許可するポート・プロトコルを使用した典型的な攻撃はLOGOSWAREクラウドお手軽サービスに到達する前に遮断されます。Libraのご利用サービス領域に到達することなく破棄されます。
攻撃例）DNSリフレクション、SYNフラッド、HTTPフラッド、slowlorisなど

第3階層：プログラムによる対応

ポート・プロトコルを使用した攻撃は全ログを取得します。
正しいアクセス要求に対してはプログラム対策を実施します。
攻撃例）XSS、CSRF、SQL インジェクション、パストラバーサルなど

脆弱性と呼ばれる、コンピュータのオペレーティングシステム（OS）や、各種ソフトウェアにおけるセキュリティ上の欠陥を利用した不正アクセスの被害を防ぐため、ロゴスウェアでは以下のような取り組みを実施しています。

組織のセキュリティ対策

ロゴスウェア製品は、お客さまへのサービスご提供前に品質テストチームにおいて脆弱性検証を行っています。

脆弱性検査

• 年１回のシステム監査の1つとして、脆弱性検査を実施します 。
• 製品バージョンアップのリリース前には、随時脆弱性検査を実施します

一般的な攻撃ツールを使用し、脆弱性リスクの上位2段階（全4段階）については、完全対策します。

お客さまが実施する脆弱性検査有料オプション

お客さまの社内規定等により、お客さま独自の脆弱性検査が必要な場合は、ご連絡ください。
本サービス環境での検査はできませんが、検査用の専用環境をご提供します。

世の中のセキュリティ動向に合わせ、毎月の定期メンテナンスに加えて、重大な問題や緊急性を要する事象が発生した場合には臨時メンテナンスを行います。 ロゴスウェアでは以下のような取り組みを実施しています。

定期メンテナンス

• LOGOSWAREお手軽サービスは、事前に周知した日程（毎月1回）に従って、定期メンテナンスを実施します。
• 定期メンテナンスは、お客さまの利用時間帯を考慮して、午前6時30分から午前8時30分の予定で実施します。
• 定期メンテナンスの内容、サービスの停止の有無は、2週間前にお知らせします。

臨時メンテナンス

LOGOSWAREお手軽サービスは、以下の事象が発生し、緊急性を要すると判断した場合、臨時メンテナンスを実施します。

• 重大な不具合が発見され、お客さまの利用に支障が生じる場合
• 重大なセキュリティホールが発見された場合

臨時メンテナンスの実施は、事前に周知しますが、セキュリティホールへの対策の場合は、その詳細を説明しない場合（対策前に公表すると攻撃リスクが高まるため）がありますのでご承知ください。

情報収集・最新のセキュリティパッチ

LOGOSWAREお手軽サービスは、常に世界のセキュリティ情報を収集しています。利用しているOS、ミドルウェアに関してセキュリティホールが発見された場合は、速やかに情報収集、リスクを評価し、対応します。
必要であれば臨時メンテナンスで対応します。
なお、毎月の定期メンテナンスでは、常に最新のセキュリティパッチを適用します。

専用サーバで毎日バックアップ

ロゴスウェアでバックアップ専用のストレージサーバーを用意し、1日１回サーバーからデータを受け取って補完しています。万が一のときにも、データの復旧が可能です。

分散データ保管

LOGOSWARE お手軽サービスのサーバーを管理しているデータセンターは、日本、アメリカ国内に拠点を持っています。データを地理的に分散保管することで、自然災害も含めたシステム障害時のデータ損失リスクを低減しています。

• 環境的リスクに対する物理的保護を備え、ISO27002のベストプラクティスに準拠することが承認されています。
• 水道、電気、通信、インターネット接続すべてが冗長性を持つよう設計され、災害発生時の影響を最小限にしています。
• 停電の際は、施設全体へ無停電電源装置（UPS）がバックアップ電力を供給します。

システム監視・復旧対策

LOGOSWARE お手軽サービスは、メモリ利用率しきい値超過、MySQL・Apacheのプロセス停止を監視し、問題の発生を即座に検知します。問題が検知されると、システムが自動的に再起動して復旧する仕組みになっています。

自動障害検知

LOGOSWARE お手軽サービスのサーバーを管理しているデータセンターは、生存維持システムおよび機器に対して電気的、機械的、物理的にモニタリングしており、問題が発生した場合は即座に検知します。