情報セキュリティへの取り組み

※通訳翻訳ジャーナル2022WINTER冬号に当サイトの代表者がセキュリティについて記事を書きました。
※有名翻訳スクールで、当サイトの代表者が翻訳学習者向けのセキュリティ講座講師を担当しました。

【第1版 令和3年1月制定】
【第2版 令和4年5月改訂】

情報セキュリティ基本方針

翻訳者ディレクトリを運営する翻訳者ディレクトリ管理グループ（以下当サイト）は、翻訳・通訳に特化したWebアプリケーション・サービスの開発、提供と運営を通して、当サイトをご利用になる法人事業者様ならびに個人事業主様（以下、利用者様）の業務支援を事業目的としています。 当サイト利用者様の業務には機密情報を扱う内容が多く含まれ、利用者様はもちろん、そのお取引先の情報資産を適切に保護するセキュリティ対策が不可欠です。
これを実現するため、当サイトでは、以下の情報セキュリティ基本方針を定め、情報セキュリティ・システムの構築、維持ならびに改善に絶え間なく取り組むことで、信頼されるWebアプリケーション・サービスの提供を続けることを最重要ミッションとしています。

1. 情報保全に関係する法令、規制、および社会規範を遵守します。
2. 利用者様の機密情報、個人情報、当サイトのソフトウェア資産やデータ資産、業務ノウハウ、その他の各種情報資産を、守るべき情報資産と位置づけ、その機密性、完全性、および可用性を保護するための管理策を実施し、継続的に改善していきます。
3. 情報資産のリスクを洗い出した上で優先順位を付し、迅速かつ的確な対策を継続的に実施していきます。
4. 運営上で蓄積される個人情報や機密情報は、不要となり次第、速やかに消去して保持しない方針を徹底し、堅実かつ確実な情報保全を実施します。
5. 社会情勢の変化に柔軟かつ迅速に対応するために、常に情報収集を怠らず、より実効性のある施策を行っていきます。
6. セキュリティ対策の本質は人の心にあることを常に意識し、危険な心理誘導への耐性を錬成するなど、セキュリティ・マインドの維持、向上に努めます。
7. 万全の情報保全のためには、利用者様のご理解とご協力が欠かせないため、利用者様への情報提供や啓発活動を実施していきます。

Webアプリケーション・セキュリティへの取り組み

当サイトのサービス主体は、WebアプリケーションおよびMailアプリケーションであるため、以下に示すアプリケーション・セキュリティ施策を、着実に実施していきます。

1. ファイヤーウォールhw/sw、IPS/IDS、WAF、server-basedメールフィルター、2段階認証、ワンタイムパスワード、セキュアOSなど、現状で導入可能なセキュリティ手段を極力投入し、多層的で強靭なセキュリティ・システムを構築しています。
2. 主観的な判断だけに頼らず、第三者機関による診断・客観的評価に基づいてリスクを洗い出し、充分な結果が得られるまでPDCAサイクルを回します。
▶主要な評価項目
• 暗号化通信の安全性評価
• レスポンスヘッダーによるセキュリティ評価
3. 定評あるOSSベースのペネトレーション・テストを定期的に実施し、脆弱性を抽出。迅速に改善策を講じます。
▶代表的なテスト項目
• SQLインジェクション
• クロスサイト・スクリプティング
• CSRF（クロスサイト・リクエスト・フォージェリ）
• ブルートフォース・アタック
• OSコマンド・インジェクション
• HTTPヘッダ・インジェクション
• クリック・ジャッキング
• パス・トラバーサル
4. サイト利用状況の監視を365日体制で怠らず、サイバー攻撃などのリスクが検知された場合、直ちに防御態勢を敷き、被害防止に全力で取り組みます。
5. 強制アクセス制御を実装したセキュアOSを導入し、強固なセキュリティ・システムを構築しています。
6. システムのソフトウェアならびに情報機器には、利用可能な更新を迅速に適用して最新の状態に保ち、新たに発見された脆弱性の修正を遅滞なく行います。

▶各種検査結果のスクリーンショット

Qualys. SSL labs. Server Test

Mozilla Observatory

OWASP ZAP

Mailアプリケーション・セキュリティへの取り組み

Mailアプリケーションならびにメール・サーバーには、以下に示すセキュリティ施策を実施しています。

1. 送信メールには、SPF情報の公開、DKIM署名の付加、DMARC情報の公開により、送信元の詐称を防ぎ、メール本文の偽造や改変を防止しています。主要な送信先から提供されるDMARCレポートを解析し、送信メールが確実に宛先に届くよう最適化しています。
2. 受信メールに対しては、SPFの認証チェック、DKIM署名の認証チェックを含む、強力なserver-basedメールフィルターの高度な運用によって、スパムメール、悪意あるメールを極めて高率に遮断しています。
3. 送信メール・受信メールともにSTARTTLS規格によるTLS暗号化通信（TLS 1.3、TLS 1.2）をデフォルト設定にしています。※通信先がSTARTTLSに未対応の場合は平文となります。
4. メールサーバーに対する異常アクセスや攻撃を自動検知してリアルタイムで防御するツールを導入しています。

翻訳者ディレクトリのホーム