三谷産業が提供するデータセンター・アウトソーシングサービス 情報セキュリティ格付け最高位「AAAis」を維持
一般社団法人日本セキュリティ格付機構
三谷産業株式会社(本社:石川県金沢市)が提供するアウトソーシングサービス(*1)に対して、一般社団法人日本セキュリティ格付機構(略称:JaSRO、本社:東京都中央区)は、情報セキュリティ格付け最高位の「AAAis」(*2)を付与しました。
三谷産業株式会社は昭和3年に金沢で創業し、多業種・他エリアへの展開を進める企業です。情報システム関連事業として、クラウド、ホスティング、ハウジングやデータ保管の各種サービスを提供しています。2010年4月に情報セキュリティ格付を取得しており、今回15回目の更新審査を実施することとなりました。今般の格付更新において、マネジメントの成熟度及びセキュリティ管理策強度が極めて高い水準を維持しているため、継続して「AAAis」を付与いたしました。
また、昨年(2024年1月1日)発生した能登半島地震で、三谷産業データセンターも最大震度5強の激しい揺れに襲われましたが、今回の更新審査においても格付対象の安心・安全なセキュリティ重視サービスは地震の影響はなく、安定稼働を継続していることを確認しました。
<格付結果>
企業名 :三谷産業株式会社
格付の種別 :情報セキュリティ格付
格付IDコード:10000230115C2516
格付スコープ:アウトソーシングサービス *1
格付対象 :安心安全推進本部
コンフィデンシャルサービス株式会社
(三谷産業株式会社の子会社)
想定リスク :情報漏えい
格付符号 :AAAis(トリプルA) *2
格付の方向性:安定的
有効期間 :2025年6月9日から2026年6月8日まで(交付日から1年間)
*1:クラウド、ハウジング、ホスティング、運用支援業務及びデータ保管業務
*2:AAAisは全17段階中最高位の格付。AAAisに求められるセキュリティ水準は「リスク耐性は極めて高く、多くの優れた要素がある」状態であり、次の2つの要件を満たす必要がある。
要件1「新たな脅威に迅速に対応し、常時、高水準の管理状態を維持、発展させている。」
要件2「常時、リスクをモニタリングし、即時に柔軟な対応ができる。」
画像1:
https://www.atpress.ne.jp/releases/438462/LL_img_438462_1.jpg
シンボルマーク「AAAis」
三谷産業株式会社は、情報セキュリティに対しても積極的に取り組んでおり、2004年2月に全社におけるプライバシーマークを取得している他、アウトソーシング業務をスコープとしてISMS認証、ITSMS認証を取得しています。また、データセンターは、FISCの「金融機関等コンピュータシステムの安全対策基準(コンピュータセンター)2022年7月」(第10版)に準拠しています。
マネジメント成熟度の観点から見れば、全社的に三谷グループとしての統制に加えてアウトソーシング事業のためのISMS推進組織である情報セキュリティフォーラムが機能しており、管理組織体制、情報セキュリティ規程類の整備、情報資産の識別、リスクアセスメント、人的セキュリティ、物理的アクセス管理、アクセス制御、委託先(子会社)管理、インシデント対応・危機管理、コンプライアンス等では非常に高いレベルで統制が進められてきています。
また、データセンターを運営する現場部門においても、顧客からの預かり資産を確実に守るため、情報セキュリティに関する情報収集の強化と周知の徹底、マニュアルでは分かりづらい操作については動画による教育の導入などを含め、物理的アクセス管理やITシステムの運用管理等を着実に実施しています。
セキュリティ管理策強度の観点から見れば、高水準の指針に準拠したデータセンター内において、セキュリティ区画の方針および境界、入退アクセス権管理では高い強度を維持しています。また、情報機器・機密情報の持込・持出管理、廃棄処理、外部媒体への記録制限、コンピュータウイルス管理、特権ID管理等の管理策でも高い水準を維持し、さらに強化に向けた取り組みが確認され、現場レベルでの対策浸透が図られています。また、記憶媒体の廃棄は専用ツールや磁気データ消去マシンを利用しデータセンター内で実施するなど、外部環境の変化に伴う脅威に対応する取り組みの強化を確認しました。
総じて、マネジメント成熟度では、リスクアセスメントの実施から改善への継続的なプロセスを有し、高水準の管理状態を維持・発展させています。また、セキュリティ対策強度では、悪意のある外部者・内部者に対する管理策について講じられているレベルにあると評価できます。
これまで、自然災害(地震・台風・洪水・雪害等)の発生を想定した対応策を策定し、定期的な見直しを行ってきました。また、地震対策マニュアルの策定、グループ全社震災訓練の実施、新型インフルエンザ対策マニュアル策定、新型コロナウイルス感染症対策マニュアル策定等、充実した取り組みを継続して実施してきました。これらの取り組みは、経済産業省等の政府ガイドラインに則ったITサービスの継続を維持するための対策であり、また、そのファシリティ対策は、日本データセンター協会のファシリティスタンダードに準拠しています。
また、今回の更新審査においても、地震による影響はなく格付対象のすべてのサービスが安定稼働を継続していることを確認しました。安定稼働を継続している要因として、以下の3点が重要事項としてあげられます。
● 耐震強度と立地:データセンターの心臓部と言えるサーバー棟は最大震度7にも耐えられる免振構造であることに加え、石川県能美市の丘陵地域に位置し、海抜100mで水害の心配がなく、固い地盤の上に立地しているため、耐震性にも優れています。
● 周知徹底と訓練:非常時に実行する設備点検のリストを平時から全員で共有し、訓練で動きを互いに確認しています。例えば、年に2回、データセンターの電源を落とす訓練を実施しています。データセンターに電力を供給する2系統の電源を同時に落とし、正しく非常用電源に切り替わることを、机上演習にとどまらず、本番さながらの状況で確認しています。
● マネジメント力:大規模災害発生時には、通常のオペレーションを超える困難が生じることが一般的に想定されます。昨年の地震では、広域交通渋滞による到着遅延や、休暇・被災に伴う人員確保の困難さが課題として顕在化しました。これに対し、経営陣と現場が密に連携し迅速な意思決定を行うことで、必要な人員再配置やリソース活用を実施し、継続稼働を維持した実績があります。引き続き人的リソース確保や指揮命令系統確立を含む組織的な危機管理体制を整えています。
加えて、データセンターの利用者がカーボンニュートラルの実現に向けた意向を持つ場合には、再生可能エネルギーを用いた電力供給を選択できます。また、これまでに仮想基盤技術の習得に取り組んできた結果、利用者の選択肢が拡がり、急激なコスト増加のリスクが抑制され、サービスの継続性向上につながる実績を確認しました。
〇格付結果
アウトソーシングサービスの格付結果は当機構HP(下記リンク)を参照ください。
http://jasro.org/client/index.html
同社の「ITサービス継続・ファシリティスタンダードの第三者証明書」は当機構HP(下記リンク)を参照ください。
http://jasro.org/client/index_third.html
〇三谷産業株式会社・アウトソーシングサービス
アウトソーシングサービスについては同社HP(下記リンク)を参照ください。
https://www.mitani.co.jp/business/it
<お問い合せ先>
一般社団法人日本セキュリティ格付機構
企画部
E-mal:
info@jasro.org
〇JaSROは、世界初の情報セキュリティ格付を行う第三者評価機関です。
〇情報管理の対策水準を「格付」で確かめ合う社会システム作りに取り組んでいます。
〇政府情報システムのためのセキュリティ評価制度(ISMAP)対応の構築支援・内部監査支援を行っています。
○政府ガイドライン、NIST SP800-171/172等への対応の構築支援・内部監査支援を行っています。
○ISMSの構築支援、脆弱性診断(Webアプリケーション診断・プラットフォーム診断)、教育研修等を行っています。
情報セキュリティ格付は、被格付組織等から入手した情報に依拠して形成した当機構の意見であり、その正確性、完全性、網羅性等は必ずしも保証されてはいません。格付事由書、格付レポート等は、原則として被格付組織または被格付組織の格付けを要請した者からの依頼に基づき有償で作成されたものであり、被開示者、閲覧者等には参考情報としてご提供されるものです。格付事由書および格付レポート等は、被格付組織の事業やサービス、被格付組織との取引や情報共有等を推奨するものではありません。当機構は、情報セキュリティ格付に関するクレーム、訴訟その他の紛争、被格付組織その他の第三者に関して生じうる一切の損害、損失、費用等について責任を負うものではありません。
なお、情報セキュリティ格付に関する一切の著作権その他の知的財産権、営業秘密、ノウハウその他の権利・利益は当機構に留保され、当機構に専属的に帰属するものとします。
Copyright (C) 2025 JaSRO All rights reserved.
詳細はこちら
記事提供:@Press
