サービス
プライバシーポリシー
情報セキュリティポリシー
サービスサイト
Classiのセキュリティ キービジュアル

トップページ > Classiのセキュリティ

Classiの
セキュリティSecurity

Classiは、先生、生徒、保護者、パートナーに安心・安全にサービスをご利用いただくために、セキュリティ対策の継続的な強化に取り組んでいます。

Classiの情報セキュリティ基本方針

Classiは情報の適切な管理が重要な経営課題であることを認識し、お客さまをはじめとする社会全体の信頼に応え、安心してClassiのサービスをご利用いただくために、情報セキュリティに関するClassiの取り組みとして「情報セキュリティポリシー」を宣言し、遵守してまいります。

情報セキュリティポリシー

Classiサービスを安全にご利用いただくために

より安全にご利用いただくため、ヘルプページにてノウハウをまとめています。

Classiヘルプページ:セキュリティについて

Classiサービスのセキュリティホワイトペーパー

Classiのセキュリティへの取り組みとご利用いただく際の留意事項を記載しています。

Classiセキュリティホワイトペーパー

セキュリティ対策、安全性への取り組み

セキュリティの第三者認証

Classiでは、毎年以下の3つの第三者認証の取得・維持をしています。
関係者だけでのセキュリティ対策では危うさがあることを認識しており、専門的な第三者の深く厳しい目でチェックしていただくことで、より安全なサービス提供ができるように努めています。ISO/IEC27001とISO/IEC27017については、文部科学省が公開している「教育情報セキュリティポリシーに関するガイドライン」において、クラウド事業者の選定時に求める内容に応じた認証規格の例に挙げられているなど、信頼度の高い認証です。

JIS Q 15001

組織として利用者の個人情報保護をより強化するため、個人情報保護マネジメントシステム(JIS Q 15001:2017)を取得しています。

ISO/IEC 27001

組織としてのセキュリティガバナンスをより強化するため、情報セキュリティマネジメントシステム(ISO/IEC 27001:2013 / JIS Q 27001:2014)を取得しています。

ISO/IEC 27017

Classiサービスのクラウドサービスとしてのセキュリティガバナンスをより強化するため、ISMSクラウドセキュリティ(ISO/IEC27017:2015)を取得しています。

サービスセキュリティ

外部委託による脆弱性診断の実施

Classiのサービスへの定期的な脆弱性診断を外部の実績ある企業にて実施しております。システムの弱点となり得る脆弱性を定期的に実施することによってシステムの安全性を向上しています。

ツールによる自動脆弱性診断の実施

Classiのサービスへのツールを使った自動脆弱性診断を毎日実施しております。ツールの導入によって多くのページを少ない時間で毎日診断できるようになり、より安全性が向上しています。

通信の暗号化

TLS(Transport Layer Security)はインターネットバンキングやインターネットショッピングの際のクレジットカード情報転送にも利用されている、信頼性の高い通信技術です。ユーザ端末とClassiのサービス間の通信は全てTLS方式で暗号化されています。

WAFの利用

WAF(Web Application Firewall)は「Webアプリケーションの脆弱性を悪用した攻撃」からWebサイトを保護するセキュリティ対策です。ClassiではWebサーバーの前段にWAFを設置して通信を解析・検査し、攻撃と判断した通信を遮断することで、Webサイトを保護しています。

侵入検知システムの利用

Classiのサービス環境には侵入検知システムを導入しています。悪意のあるアクティビティや不正な行動など潜在的な脅威からサービス環境を守るため、サービス環境を継続的にモニタリングしています。

不正ログイン対策

Classiサービスでは学校の判断で以下のような不正ログイン対策を導入できます。

  • IPアドレス制御により、学校外からの先生によるアクセスを制限できます。公衆無線LANや自宅などからアクセスができなくなり、重要データの持ち出しリスクを低減できます。また、学校外の悪意のある攻撃者からのアクセスを防止することも可能です。
  • reCAPTCHAにより、機械的なアクセスによる不正ログイン試行を防止できます。悪意のあるソフトウェアによる総当たり攻撃や機械的なパスワードリスト型攻撃等のログイン試行はブロックされます。
  • SSO(Single Sign-On)にも対応しており、Google / Microsoftが提供する認証基盤でのログインが可能です。管理するパスワードが減り、同じパスワードの使い回しのリスクを低減できます。また多要素認証の設定をすることで、なりすましのログインへの対策も可能です。

組織セキュリティ

アクセス権限管理

サービス環境へのアクセス権限を管理する仕組みが導入されており、従業員のリテラシー教育だけでなく、システムとしてデータ持ち出しが制限されています。個人情報などの重要情報へのアクセスは全て管理されており、必要な場合にのみ必要最低限のアクセスが許可されます。また個人情報へのアクセスは常に記録され、追跡できるようになっています。

従業員利用PCのセキュリティ対策

従業員利用のPCにはEDR(Endpoint Detection and Response)をインストールしています。本機構により、従業員が利用する業務システムへのマルウェア感染によるサイバー脅威のリスクを低減し、被害を最小限に抑えます。

全従業員に対するセキュリティ教育

全従業員には入社時に必ず情報セキュリティのオンボーディング教育を実施しています。また、全従業員向けに年次で情報セキュリティの研修と標的型メール攻撃等の訓練を実施しています。

ここに記載した内容はClassiが行なっている情報セキュリティの対策の一部です。詳しくはClassiセキュリティホワイトペーパーをご覧ください。