ITセキュリティガイド

送信した契約書への不正アクセスの防止

送信者から受信者宛に契約書を送られる際、クラウドサインは契約書を閲覧・確認するためのユニークURLを都度発行し、受信者に通知します。

このURLに悪意を持った第三者が不正にアクセスするためには、1秒間に1億回ランダムなURLを作成してアクセスを試みても、宇宙の寿命よりはるかに長い期間が必要です。クラウドサインでは、ユニークなURLを都度発行することで、このURLにアクセスできるのはメールで受信した本人であるとして、不正アクセスを防止しています。

電子署名と認定タイムスタンプを利用することによる完全性と真正性の確保

契約締結の方式については、書面に押印を施して合意する方法に限らず、口頭での合意や、Eメール、クラウドサービスなど電磁的方法による合意も認められます（民法における契約方式の自由）。

クラウドサインでは、合意したPDFファイルの証拠力を担保し、安心して長期保管していただけるよう、弁護士ドットコム株式会社による電子署名に加え、認定タイムスタンプを付与しています。

時刻認証業務認定事業者の認定タイムスタンプを施しています。これにより、確定時刻に電子データが存在していたこと、並びに電子データがその時点から改ざんされていないことを証明可能です。

クラウドサインでは、総務大臣認定(※)を取得したタイムスタンプサービスが付与されます。
※時刻認証業務の認定に関する規程(令和3年総務省告示第 146号)

電子署名の有効期間は、タイムスタンプの付与により、10年間に延長されます（長期署名）。
このことで、10年間に渡って改ざんを検知可能になります。

※2023年5月5日(金)、クラウドサインで付与されるタイムスタンプを発行する「アマノタイムスタンプサービス 3161」から、総務大臣認定を取得したタイムスタンプサービスに切り替わりました。詳しくは総務省ホームページからご確認いただけます。

• 暗号化通信

  お客様とクラウドサインとの通信は TLS で常に暗号化されております。
  通信における盗聴や傍受、改ざんやなりすましのリスクに対応しております。

• 保存ファイルの暗号化

  アップロードされたファイルは暗号化して保存されており（AES-GCMによる暗号化）、データの漏洩や、内部不正による持ち出しを防いでいます。

• ファイアウォール

  外部のネットワークからの攻撃や不正なアクセスからデータの機密を保護するために、ファイアウォールにより機密情報をインターネットから隔離して保管しています。

• バックアップ

  契約書データは常に自動バックアップしています。複数の施設にまたがる複数のデバイスにて多重にバックアップしているため災害時等でも紛失の心配がありません。

• 機密保持ポリシー

  お客さまの同意を得たとき、または法令により要求される場合など、特定のごく限られた状況を除いて当社スタッフがお客さまの書類内容やタイトルを第三者に提供することはありません。ただし、クラウドサインの機能開発などを目的として、お客様より取得した書類のタイトル、メールアドレス、書類情報などを利用する場合があります。

• アカウント保護

  パスワード設定時に短いパスワードや推測されやすいパスワードが登録できないようパスワード強度のチェックを行っております。またパスワード認証に加えてスマートフォンアプリで発行されるワンタイムパスワードを用いた2要素認証を設定することが可能です。

• IPアドレス制限

  ビジネスプラン・エンタープライズプランをご選択のお客様は、特定のIPアドレスのみクラウドサインへのアクセスを許可することが可能です（複数IPアドレス設定可能）。第三者による不正利用を防ぐことができます。

• ISO27001 / ISO27017取得

  情報セキュリティマネジメントシステム（ISMS）の認証（ISO/IEC 27001）ならびにクラウドサービスに関する情報セキュリティの認証（ISO/IEC 27017）を取得し、情報の機密性・完全性・可用性の維持・改善に取り組んでいます。

  

• SOC2 Type1保証報告書を受領

  内部統制の国際認証「SOC2（Service Organization Control 2）Type1保証報告書」を受領し、継続的に内部統制の整備・確立に取り組んでいます。

  

• ISMAP登録

  「政府情報システムのためのセキュリティ評価制度（ISMAP）」において、政府が求めるセキュリティ要求を満たしているサービスであると認定され、ISMAPクラウドサービスリストに登録されました。
  詳細はこちら（ISMAPのトップページ）でご確認いただけます。