クラウドセキュリティ基本方針

1. はじめに
Fairy Devices株式会社（以下「当社」といいます。）は、クラウドサービスの提供及び利用に必要な情報セキュリティ水準を維持向上するため、情報セキュリティ基本方針に加え、以下のクラウドセキュリティ基本方針を定め、お客様の信頼に応えるべく、継続的に各種取り組みを実施します。

2. クラウドサービス提供のためのクラウドセキュリティ基本方針
当社がクラウドサービスを提供する際のクラウドセキュリティ基本方針は以下の通りとします。

2.1 クラウドサービスの設計及び実装に適用する情報セキュリティ要求事項
クラウドサービスの設計及び実装においては、ISO/IEC 27001、ISO/IEC 27017に従い当社が定めた情報セキュリティ方針、クラウドセキュリティ方針を適用します。

2.2 クラウドサービスのリスク
クラウドサービスに対して、ISO/IEC 27001、ISO/IEC 27017の管理策に基づく、リスクアセスメントを定期的に実施し、検出されたリスクに対しては、リスクを低減する対応策を講じます。

2.3 マルチテナント環境におけるクラウドサービスカスタマの隔離
 マルチテナント環境では、ネットワークやデータベースのキー等で分割することにより、論理的な資源の分離を実施します。

2.4 当社からクラウドサービスカスタマ資産へのアクセス制限
当社からクラウドサービスカスタマ資産へのアクセスについては、サービス利用規約に定める場合を除き、お客様の事前許可なくお客様の情報資産へアクセスいたしません。

2.5 クラウドサービスへの管理アクセスのためのアクセス制御
クラウドサービスの管理者のためのアクセスについては、以下のような強固な認証や制限などを設けアクセス制御を実装します。
－ワンタイムパスワードなどの多要素認証
－アカウント権限による閲覧・変更の制限

2.6 クラウドサービスの変更管理
クラウドサービスの仕様変更やアップデートなどに伴う変更については、当社ウェブサイトへの掲載等を通じて事前にお客様へ通知を行います。

2.7 仮想化セキュリティ
クラウドサービスで提供する仮想マシン、仮想ネットワークの要塞化を行うことにより仮想化セキュリティを実現します。

2.8 アカウント管理
お客様のアカウントは、当社が定めるサービス利用規約に基づき、お客様の責任で作成し、管理いただきます。
又は
お客様のアカウントは、定められた手順に従い、発行・管理します。

2.9 情報共有
クラウドサービスの利用に関わる違反を検知した場合並びに情報セキュリティを損なう事象を検知した場合は、当社のサービス利用規約等に定める範囲において、違反の通知、並びにお客様の調査及びフォレンジックを支援するための情報共有を行います。

3. クラウドサービス利用のためのクラウドセキュリティ基本方針
当社がクラウドサービスを利用する際のクラウドセキュリティ基本方針は以下の通りとします。

3.1 クラウドコンピューティング環境のセキュリティ
外部のクラウドサービスを利用する際は、クラウドコンピューティング環境について以下を確認の上、当社のセキュリティレベルを満たしていることを確実とします。
－クラウドコンピューティング環境に保管されるクラウドサービスカスタマ資産に対するセキュリティ対策（アクセス制御、暗号化等）
－クラウドコンピューティング環境に保持されるアプリケーションプログラムに対するセキュリティ対策（アクセス制御、暗号化等）
－マルチテナント環境に対するセキュリティ対策（環境の分離、アクセス制御等）
－提供される仮想環境の要塞化

3.2 クラウドサービスのアカウント管理
クラウドサービスを利用する際は、特権アカウントと一般アカウントをそれぞれ作成し、特権アカウントが付与された管理者がアカウント管理を行うものとします。
クラウドサービスユーザのクラウドサービス利用の用途を考慮します。

3.3 クラウドサービスの提供場所
クラウドサービスを利用する際は、以下が当社の許容する安全な地域であることを確認します。
－クラウドサービスプロバイダの所在地
－クラウドサービスカスタマデータが保存される国

制定日:2023年12月27日