堅牢な情報セキュリティ体制
- 項目
- 対応
- ISMS(ISO27001)
- ISMSクラウドセキュリティ(ISO27017)
- FISC版API接続チェックリスト対応
- 社内体制・プロセス
- 暗号化
- サイバー攻撃対策
- 二段階認証
- 脆弱性診断
- システムの冗長化
- サーバのオートスケール
- DDoS対策
- アカウント無効化
WealthParkは、お客様・社員から預かる情報資産に対し漏洩、き損、滅失等のリスクを認識し情報資産の機密性、完全性、可用性といった情報セキュリティを維持するための活動を実践します。
-
認証・ガイドライン対応
- ISMS(ISO27001)及びISMSクラウドセキュリティ認証(ISO27017) 取得済
- FISC版「API 接続チェックリスト(2018年10月版)」への対応完了(金融機関と Fintech 企業が Open API で連携する場合に行うべき安全対策の方針がまとめられた業界標準のガイドライン)
- 企業様へのサービス提供時にヒアリングを受けることの多い「セキュリティチェックシート」について,重要な項目はすべてクリアできるように対策を実施
-
社内体制・プロセス
- 情報セキュリティ担当役員を責任者とし,情報セキュリティ管理委員会を常設し必要な全社施策やプロセスの策定,ヒヤリハットやインシデントの対応を機動的に行っている
- セキュリティ管理ルール・文書の整備
- 社員への継続的なセキュリティ教育・啓蒙の実施
- 社内の情報資産の一覧化,リスクごとの重要度のスコアリング
- セキュリティインシデント発生時の対応フロー作成及び利用者向けの対応窓口の設置
- 物理・システム上の情報漏えい対策やFirewall,アンチマルウェアソフト,社員PCのHDDの暗号化といった必要な機器,ソフトウェアや対策の導入
- システム開発時のセキュアなコーディング等の開発ルールの整備
-
インフラ・サービス・開発
- 暗号化 - Webアプリケーションとの通信は,安全性の高いSHA-2暗号化アルゴリズムを用いてhttps(TLS1.2)通信を実行
- サイバー攻撃対策 - 不正アクセスからの防御及びWebの改ざん防止のため,FirewallとWAFの導入
- 二段階認証 - 管理会社様からのご要望に応じて、オーナーアプリのログインには二段階認証を導入しております。この認証は、SMSまたは電話番号を使用して行われ、不正なアクセスの防止に効果的です。
- サードパーティによるWealthParkのアプリ,プラットフォームに対する脆弱性診断の実施
- 冗長化 - サーバはHigh Availability(HA)構成を採用し,ロードバランサとともに耐障害性を向上
- オートスケール - 負荷に応じて自動でサーバー数が追加され、サーバの安定性を維持
- DDoS対策ソリューションを導入し,DDoS(Distributed Denial of Service attack)からインフラ,サーバを保護
- アカウントの無効化 - オーナー様のスマホの紛失時などに管理会社様側から当該アカウントを(一時的に)無効化して不正なアクセスを防止することが可能