デジサートはセキュリティに対して
多層アプローチを採用

ポリシー

デジサートは、情報セキュリティポリシー、事業継続計画、災害復旧計画、インシデント対応プロセスを保持し、最低でも年に 1 回は見直してテストを行っています。年に 1 回、包括的なリスクアセスメントを実施し、セキュリティ、機密保持、完全性に対する合理的に予見可能な内部および外部の脅威をすべて特定します。

ネットワークセキュリティ管理

デジサートのシステム管理者は、一般にアクセス可能な情報システムコンポーネント（公共 Web サーバーなど）が、物理的に独立したネットワークインターフェースを持つ、独立したサブネットワーク上に存在することを保証します。また、ネットワーク境界を保護する制御されたインターフェースが、特定タイプのパケットをフィルタリングして、デジサートの内部ネットワーク上のデバイスがサービス拒否攻撃の影響を直接受けないようにします。ファイアウォールと境界制御デバイスは、デジサートの業務遂行に必要なアドレス、ポート、プロトコル、コマンドによるアクセスのみを許可するように設定されています。

データベースセキュリティ管理

デジサートのデータベースへのアクセス（システム経由または担当者による直接アクセス）はすべてログに記録され、不正な変更がないかどうか監視されます。機密データは、業界推奨の暗号を使ってデータベース内で暗号化され、直接のアクセスはデジサートの情報セキュリティポリシーと証明書運用規定で指定されている役割に限定されます。

物理セキュリティ管理

機密情報を含む各オフィス、コンピュータルーム、作業エリアへのアクセスは、物理的に制限されています。オフィスのドアにはすべてロックがかかっており、施設の出入口のドアはすべて常にロックされています。これらのドアの開閉には、身辺調査で問題がないことが確認されたときに発行されるアクセスカードが必要です。デジサートのデータセンター、ケージ、オフィスは監視カメラで監視されています。保護されたケージへのアクセスには、生体認証と二重の管理者が必要です。すべてのアクセスは記録されます。

アクセス制御

役割は、デジサートの情報セキュリティポリシーによって定義されています。デジサートのシステムで行われるすべてユーザー操作から、その操作を行った個人を追跡することができます。すべてのユーザーは、デジサートシステムと通信する前に、本人であることを証明しなければなりません。デジサートの社員は、信頼された役割を果たすために必要なシステムのコンポーネントへのアクセスを許可される前に、まずデジサートシステムに対して自分自身を認証する必要があります。デジサートのコンピューターシステムへのユーザーアカウントその他のタイプのアクセスは、ユーザーアクセスポリシーに基づいて承認されなければなりません。

脆弱性管理/パッチ

月例スキャンは、デジサートのすべての資産に対して実行されます。修正が必要なシステムには、グローバルセキュリティ事業部が定めた期限内にパッチを適用してください。タイムラインは、割り当てられた CVSS スコアに基づいています。重大な脆弱性に対しては 96 時間以内に、高～中程度の脆弱性に対しては 30 日以内に、低～情報系の脆弱性に対してはデジサートの裁量で（通常は 180 日以内に）パッチが発行されます。

侵入審査/外部審査

毎年少なくとも 1 回、第三者による侵入審査を実施します。デジサートは通常、コード、インフラストラクチャ、システムに対して複数の侵入テストを行い、レッドチームによる評価も行います。