RWSのセキュリティ
RWSは、お客様にとって情報セキュリティが重要であることを理解しています。グローバルな組織である当社は、自社の情報セキュリティ管理システム(ISMS)の構造としてISO27001のフレームワークを採用しています。
広く認知され、業界でも認められているこのフレームワークを使用することで、RWSはお客様の要件に対応するための堅牢なベースラインを設定することができます。こうしたアプローチにより、当社は多くの製品やサービスのISO 27001:2013認定を取得し、人、プロセス、テクノロジーをサポートしています。詳細は、当社の最新のISO 27001認定書でご覧いただけます。
このページには、製品ごとのセキュリティ関連ドキュメントに加えて、当社の高度な情報セキュリティポリシーの一部を掲載しています。情報セキュリティに関するご質問については、当社までお問い合わせください。
FAQ
サプライヤ/ベンダーの最初の選定とリスク評価のプロセスについて説明してください。
RWSの調達プロセスでは、新しいサプライヤはオンボーディングの前にセキュリティリスク評価を受ける必要があります。サプライヤには、提供する商品/サービスの重要性およびアクセスする情報や施設の機密性など、多くの基準に従ってリスクカテゴリが割り当てられます。
RWSにはセキュリティに関するサプライヤ管理プログラムがありますか?
はい。RWSのグループサプライヤセキュリティ管理ポリシーでは、サードパーティのサプライヤのセキュリティ要件を規定しています。
変更管理プロセスなどのITシステムにおける情報セキュリティの脆弱性を特定、管理する方法について説明してください。
RWSは、公共インフラストラクチャの脆弱性スキャンを毎月実施しています。脆弱性に対してはリスク評価が行われ、グローバルセキュリティテストポリシーに従って適切な緩和策が適用されます。情報セキュリティチームのメンバーは、グローバルIT変更諮問委員会に所属し、提案された変更によるセキュリティへの影響を評価します。
アプリケーション変更の開発およびテスト方法など、システム開発のライフサイクルを通じてアプリケーションを保護する方法について説明してください。
「RWSのグループセキュアソフトウェア開発ライフサイクルポリシーでは、製品の安全な開発方法を規定しています。セキュリティは、要件の収集、設計、実装、検証、リリースの各開発ステップの一部として組み込まれています。変更はリリース前にテストされます。
ツールを使用してインシデント、変更、問題を管理していますか?
はい。RWSはService CentreとServiceNowの両方を使用して、チケットの発行から割り当てや解決までのワークフローを管理しています。SLAは、インシデント/変更または問題の重要度に応じて設定されます。
RWSには利用規定がありますか?
はい。RWSにはITセキュリティに関する規定と利用規定があります。
顧客データの保持ポリシーとは何ですか?
RWSは、サービスの実施に必要な場合、また契約で合意された場合にかぎり、顧客データを保持します。
資産管理プロセスはありますか?
はい。RWSは専任のソフトウェアおよび資産管理(SAM)チームを設置するとともに、RWSネットワーク上でLansweeperおよびFlexeraという資産ツールを使用しています。Lansweeperは、所有者、資産タイプ、インストール済みのソフトウェア、保証、構成の詳細情報など、RWSの企業ネットワーク上の項目を自動的に検出して記録します。すべての資産には所有者が割り当てられています。
パッチ管理プロセスはありますか?
はい。パッチは、一元化されたパッチ適用アプリケーションを使用して、エンドポイントに自動的に適用されます。サーバーのパッチ適用は、年1回以上実行される更新によって行われます。このパッチ適用は通常、毎月の定期メンテナンス期間中に実行されます。その他のタイプ(SQL、アンチウイルスなど)のパッチは、必要に応じてその都度実行されますが、開発システムやステージングシステムが存在する場合は、それらを稼働する前にテストする必要があります。
変更管理プロセスはありますか?
はい。変更管理の役割と責任は、経営陣のほかIT担当者やRWSシステムのテスターなどの関係者が含まれるCABのプロセスによって管理されます。システムの変更は、実装/導入の前にテストされます。緊急的な変更は、標準的な変更管理プロセスと同様の方法で実行され、変更の記録、テスト、合意、実施が確実に行われるようになっています。変更の実施はリリース管理の任務ですが、大規模なプロセスはCABの任務です。
RWSは、最小権限の原則に基づき、論理アクセス要求に対して正式な承認プロセスを実施していますか?
はい。RWSには、論理アクセスの管理に使用するプロセスを規定する論理アクセスポリシーがあります。
経営陣によって承認され、関連する社員およびプログラム管理者として指名された所有者に伝達されているリスク評価プログラムはありますか?
はい。RWSのリスク評価プログラムはRWSのエグゼクティブが所有し、関連する社員に伝達されています。
RWSのセキュリティリスク管理プログラムの主な要素について説明してください。
RWSのセキュリティリスク管理プログラムの概要は、グループセキュリティリスク管理ポリシーに記載されています。この中では、セキュリティリスクの特定と管理に使用する手法についても言及されています。たとえば、資産の特定、影響分析、リスク評価、管理の特定と適用、管理の有効性の監視などです。リスクの評価は定期的に、またはRWSの情報や資産の機密性、完全性、可用性に影響を与える可能性のある重大な変更が生じた場合に行われます。リスク管理プロセスの監督とガバナンスは、必要に応じて、セキュリティガバナンス、リスクおよびコンプライアンス担当のマネージャーと情報セキュリティ運営委員会が実行します。
RWSはデータプライバシーを考慮していますか?
はい。RWSはデータプライバシーを非常に重視しています。RWSのプライバシーポリシーについては、www.rws.com/about/privacyのプライバシー情報でご確認いただけます。
RWSはISO 27001認証を取得していますか?
はい。www.rws.com/jp/securityでISO 27001認証をご確認いただけます。
RWSはSOC 2 Type II認証を取得していますか?
はい。RWSのクラウド運用部門がホストするRWSソフトウェアは、SOC 2 Type IIレポートの対象となっています。レポートの概要は、ご要望に応じてご覧いただけます。
セキュリティプログラムが確立され、公開され、毎年承認が行われていますか?
はい。RWSの情報セキュリティプログラムは、Chief Information Officerが所有しており、年間を通じてエグゼクティブレベルの情報セキュリティ運営委員会が管理し、ビジネス目標を継続的に支援できるようになっています。
RWSには、情報セキュリティを担当する専任の情報セキュリティ所有者/チームがいますか?
はい。RWSのChief Information Officerが、情報セキュリティのエグゼクティブスポンサーです。RWSの情報セキュリティ管理システムの管理とセキュリティ要件への継続的なコンプライアンスに関する日々の任務は、RWSのセキュリティガバナンス、リスクおよびコンプライアンス担当のマネージャーが率いる小規模なチームが担当しています。
経営陣によって承認され、すべての担当者に伝達されている情報セキュリティポリシーはありますか?
はい。RWSの情報セキュリティポリシーは、情報セキュリティのエグゼクティブスポンサーによって承認および署名されており、その中で、RWSが情報セキュリティ管理システムを維持し、継続的に開発するための高度なセキュリティ要件が設定されています。
RWSの情報セキュリティポリシーを挙げてください。それらのポリシーは定期的にレビューと更新が行われており、すべてのRWSの担当者がアクセスできますか?
RWSのポリシーは毎年1回以上見直されています。社内文書は、NDA/MNDAの下での監査中に、オンサイトまたはリモートで閲覧することができます。
RWSグループISMS情報セキュリティポリシー
RWSグループ情報セキュリティポリシー
RWSグループセキュリティリスク管理ポリシー(社内)
RWSグループセキュリティテストポリシー(社内)
RWSグループ論理アクセスポリシー(社内)
RWSグループビジネス継続性ポリシー(社内)
RWSグループグローバル分類および処理ポリシー(社内)
RWSグループ情報セキュリティインシデント管理ポリシー(社内)
RWSグループ物理的セキュリティポリシー(社内)
RWSグループプライバシーポリシー(社内)
RWSグループITシステムポリシー(社内)
RWSグループ暗号化制御ポリシー(社内)
RWSグループサプライヤセキュリティ管理ポリシー(社内)
RWSグループセキュアソフトウェア開発ポリシー(社内)
RWSグループ情報セキュリティ管理システム利用規定(社内)
RWSグループ情報セキュリティ管理システムセキュリティ例外ポリシー(社内)
RWSのポリシーは社内のイントラネットで公開されており、RWSの全社員が閲覧できます。ポリシーは、必須のセキュリティおよびプライバシーの意識向上トレーニングを通じて、RWSの社員に定期的に伝達されます
RWSはサイバーセキュリティ保険を保有していますか?
はい
RWSには、セキュリティポリシーの例外プロセスとポリシーがありますか?
はい。RWSにはセキュリティポリシーの例外プロセスとポリシーがあります。
情報セキュリティに関するポリシーと手順に違反した職員に適用される、正式な懲戒手順はありますか?
はい。RWSの情報セキュリティポリシーのコンプライアンス違反については、グローバル情報セキュリティチームがレビューや調査を行い、その後、経営陣や関連する人事チームに回されて、必要に応じさらなる調査や対応が行われます。制裁はインシデントの重大度に応じて異なり、解雇を含む懲戒処分に発展する場合もあります。
RWSには、関連する法域の規制要件の変更を監視し、コンプライアンス確保のためにセキュリティプログラムを調整するプロセスがありますか?
RWSの法務部門は、RWSに適用される、関連の法的要件や規制要件を監視します。情報セキュリティに関する規制要件については、法務部門の責任者と情報セキュリティのグローバル責任者の間で協議され、必要に応じてセキュリティプログラムが変更されます。
RWSには、政府またはサードパーティからのテナントデータの要求に対応するための文書化された手順がありますか?
そうした法的要求はすべてRWSの法務チームが処理し、そこでは契約上の義務や法的要件が考慮されます。
RWSには、公開され、伝達されている情報セキュリティインシデント対応ポリシーおよび手順がありますか?
はい。RWSのグループ情報セキュリティインシデント管理ポリシーは、RWSのイントラネット上で公開されており、全社員がアクセス可能です。内容としては、監視と準備、特定、封じ込め、緩和、復旧、フォローアップなどの項目があります。
RWSには、インシデント対応/データ侵害に関するプロセスがありますか?
はい。RWSのグループ情報セキュリティインシデント管理ポリシーは、RWSのイントラネット上で公開されており、全社員がアクセス可能です。内容としては、監視と準備、特定、封じ込め、緩和、復旧、フォローアップなどの項目があります。
RWSには、インシデント発生時にそれを検出するメカニズムに加え、インシデントとその共通の攻撃ベクトルを特定するプロセスがありますか?
はい。RWSのネットワークサプライヤはトラフィックを監視し、異常なアクティビティが発生した際にはアラートを発信します。RWSは、ネットワークの主要な領域にIDS/IPSを導入し、侵入の検出と防止を行っています。またエンドポイントには、適切な予防/検出ソフトウェアがインストールされています。
情報セキュリティ意識向上トレーニングは、すべての社員とコンサルタントに対して定期的に実施されていますか?
はい。情報セキュリティ意識向上トレーニングは、RWSの担当者、契約翻訳者、個人翻訳者のオンボーディングプロセスの基礎をなす部分です。受講後は、コンピュータを使った情報セキュリティトレーニングが、専用の学習モジュールで毎年全社員に提供されます。さらに、情報セキュリティ意識向上トレーニングが年1回の行動規範トレーニングの一環として、また当社の「Think Security」キャンペーンを通じて実施されます。
RWSは社員に対して経歴確認を行っていますか?
はい。新規の社員全員に身元確認と「就労権」チェックを行っています。組織内での職務や国の義務で必要とされる場合は、関連する法律に従ってそれ以上の経歴確認を行うこともあります。
RWSは個人翻訳者に対して経歴確認を行っていますか?
RWSの個人翻訳者は通常、経歴確認の対象とはなりません。ただし個人翻訳者とは、最低限のセキュリティ対策と個人翻訳者の機密保持を含むベンダー契約を締結しています。また、個人翻訳者の経歴スクリーニングが、現地の法律に従い、契約上の合意として顧客から要求される場合があります。
RWSは、社員のオンボーディングおよび解雇プロセスにおいて情報セキュリティを考慮していますか?
はい。新規社員は全員、必須の情報セキュリティ意識向上トレーニングと行動規範トレーニングを修了する必要があり、これらのトレーニングにはセキュリティ要素も含まれています。また解雇時には、社員に対し雇用関係終了後のセキュリティに関する責任について注意喚起しています。さらに、資産はすべて回収され、アカウントはレビューと削除が行われるまで一時停止されます。
RWSにはデータの破壊やメディアの無害化のプロセスがありますか?
はい。RWSのグループ分類および処理ポリシーは、データの破壊やメディアの無害化の領域を対象としています。ポリシーを実施するための具体的なプロセスは、それぞれのテクノロジー所有者が所有し、管理します。