セキュリティセンター
情報保護に関する認証
NAVERクラウドプラットフォームは、最高レベルのセキュリティのための努力を続けています。
このようなコンプライアンス遵守に向けた努力は、国内外の様々な認証機関により認められています。
ISO/IEC 27001、27017、27018、27701、27799、22301認証
情報セキュリティマネジメントシステムに関する国際規格認証/クラウドサービスの情報セキュリティに関する国際規格、
Compliance Guideのご紹介Compliance Guideのご利用
[認証範囲]ITプラットフォームサービス、NAVERクラウドプラットフォーム及びデータセンター「閣」運営認証書は、ログインの後、Compliance GuideサービスのConsoleページにてダウンロードすることができます。
- ISO/IEC 27001認証とは? (情報セキュリティマネジメントシステムに関する国際規格)
- ISO/IEC 27001は、国際標準化機構(ISO)及び国際電気標準会議(IEC)で制定する情報セキュリティマネジメントシステムに関する国際規格に対する認証として、NAVERクラウドプラットフォームの全体的なセキュリティレベルに対して国際規格における基準として認定されたことを意味します。
- ISO/IEC 27017認証とは? (クラウドサービスにおける情報セキュリティマネジメントシステムに関する国際規格)
- 2015年に制定されたクラウドサービスプロバイダー(Cloud Service Provider)のクラウドセキュリティに必要なセキュリティ統制と実現ガイドラインです。情報セキュリティ政策、情報セキュリティ組織、人的セキュリティ、資産管理、アクセス制限、暗号化、運営、セキュリティ、通信セキュリティ、システム開発セキュリティ、サプライチェーン管理、情報セキュリティに関する事故管理、準拠性の統制項目に更にクラウドサービスプロバイダーが備えるべき更なるセキュリティ統制などが主な内容になっています。
- ISO/IEC 27018認証とは? (クラウドサービスにおける個人情報保護に関する国際規格)
- 2014年に制定されたパブリック(public)クラウド環境において、個人識別情報(PII:Personally Identifiable Information)を保護するための実施ガイドラインです。
- ISO/IEC 27701認証とは(個人情報管理システムの国際標準)
- ISO/IEC 27701は、個人情報保護に関連する国際標準認証で個人識別情報(PII)保護、個人情報管理システムの策定、実装、メンテナンスと継続改善のための要求事項および指針です。
- ISO/IEC 27799認証とは? (個人医療情報保護に関する国際規格)
- ISO/IEC 27799とは、医療サービス又は医療情報処理組織が、医療情報保護に基づく経営システムを構築及び運営するための情報セキュリティマネジメントシステムに関する国際規格認証として、NAVERクラウドプラットフォームサービスを利用する医療分野の顧客の個人医療情報保護に寄与することができます。
- ISO/IEC 22301認証とは? (事業継続マネジメントシステムに関する国際規格)
- ISO/IEC 22301とは、事業継続マネジメント(BCM:Business Continuity Management)のための国際規格として、NAVERクラウドプラットフォームサービスの継続性のあるサービス提供の力量に対し、国際規格における基準として検証されました。
- [NAVERクラウドプラットフォームの認証管理について]
- NAVERクラウド(株)は、2010年にITプラットフォームサービスに対するISO/IEC 27001認証を取得した後、毎年厳しい審査システムを経て認証を更新しており、継続的に情報セキュリティマネジメントシステムを維持しています。
なお、ISO/IEC 22301、27017、27018、27701、27799の更なる獲得を通じ、クラウドサービスに対しても、特化した情報保護活動を行っていることを証明しており、ユーザーが個人情報に対して安心してクラウドサービスをご利用いただけるように、信頼される機関から検証を受けています。
SOC 1, 2, 3認証
安全なサービスの提供及び運営のための内部統制監査
Compliance Guideのご紹介Compliance Guideのご利用
[認証範囲]NAVERクラウドプラットフォーム認証書は、ログインの後、Compliance GuideサービスのConsoleページにてダウンロードすることができます。
- SOC(Service Organization Control)認証とは?
- サービス及びサービス組織に対する信頼度を高めるための監査活動により、国際的にも非常に厳しく信頼できるものとして評価されています。米国公認会計士協会(AICPA-The American Institute of Certified Public Accountants)が制定するSSAE 18認証基準により、SOC 1報告書は、ユーザー組織の財務報告に係る内部統制(ICFR-Internal Control over Financial Reporting)に関連する統制目的に合致するように適切に設計され、有効に運営されているかを検証した結果を盛り込んでいます。SOC 2、3報告書は、セキュリティ性、可用性、処理完全性、機密性及び個人情報保護に関連し、サービスを提供する企業の組織及びサービス関連の業務手続がしっかり管理され、信頼できるかを検証した結果を盛り込んでいます。組織が安全なサービスの提供及び運営のための適切な内部統制手続きを備えることは勿論のこと、実際にそれらが業務に反映されているか、又は違反していることはないかなどまで、検証が行われないと認証をもらうことができないため、SOC認証を獲得したということは、グローバルレベルの内部統制が実現・運営されていることを意味し、その結果は詳細な内容を盛り込んだ監査報告書の形で発給が行われます。
- SOC(Service Organization Control) 1認証とは?
- SOC 1報告書は、財務報告に係る統制に対する適切性を検証した結果を盛り込んでいます。ユーザー組織の財務報告に係る内部統制に関連する統制目的に合致するように適切に設計され、有効に運営されているかを検証した結果を盛り込んでいます。
- SOC(Service Organization Control) 2認証とは?
- SOC 2報告書は、サービスのセキュリティ統制に対する適切性を検証した結果を盛り込んでいます。サービス組織の経営陣とユーザー企業などは、本報告書を通じて会社のサービス運営に対するセキュリティに係る内部統制に対する適切性を検討することができます。
- SOC(Service Organization Control) 3認証とは?
- SOC 3報告書は、SOC 2基盤の報告書を公開可能なバージョンで構成したものです。SOC認証は、サービス及びサービス組織に対する信頼度を高めるために考案された監査の一種として、国際的にも非常に厳しく信頼できるものとして評価されています。
- [NAVERクラウドプラットフォームの認証管理について]
- NAVERクラウド(株)は、ユーザー組織の財務報告に係る内部統制に関連するサービスの内部統制に対する適切性に関してSOC 1認証を、サービスに対する安全性とサービス組織の信頼性への検証を受けるためにSOC 2、3認証を獲得しています。ユーザーのプライバシー保護にフォーカスを合わせて、個人情報保護に特化した厳しい監査(audit)を受けており、サービス提供及び全体的な運営にわたって、当社の個人情報保護マネジメントシステム及び内部統制レベルがグローバルレベルを上回るとの結果をいただきました。当社のSOC 3報告書は、セキュリティ及び個人情報保護に対する内部システムレベルを確認できる情報を盛り込んでいます。
※SOC 1、2認証報告書は、その目的上制限された対象にのみ公開するように規定されているため、一般には公開されません。
CSA STAR認証
クラウドサービスのセキュリティ成熟度を評価するグローバルセキュリティ認証、
Compliance Guideのご紹介Compliance Guideのご利用
[認証範囲]NAVERクラウドプラットフォーム/NAVERクラウドプラットフォーム-G認証書は、ログインの後、Compliance GuideサービスのConsoleページにてダウンロードすることができます。
- CSA STAR認証とは?
- 米国CSA(Cloud Security Alliance)は、クラウドセキュリティに係る統制をより具体化したクラウドコントロールマトリックス(Cloud Control Matrix)を通じてSTAR(Security, Trust & Assurance Registry)と呼ばれる認証を与えています。クラウドコントロールマトリックス(CCM v3.01)は、16のドメインと133の統制項目で構成されたフレームワークとして、単に統制項目に対して実行されているか否かを確認するだけでなく、成熟度を評価して点数を与えています。よって、このような評価を経て最終的に認証書が発行されるため、クラウドサービスのセキュリティ管理活動が有効に行われていることが第三者によって客観的に検証されていることを意味します。
- [NAVERクラウドプラットフォームの認証管理について]
- 韓国国内のクラウドサービス提供会社としては初めて、NAVERクラウド(株)のNAVERクラウドプラットフォーム及びNAVERクラウドプラットフォーム[公共機関向け]サービスがCSA STAR Certification認証の要求事項に対する検証を終えており、国際規格制定機構であるBSI(British Standards Institution)から規格に係る要求事項を満たしていることが認証されました。
PCIDSS認証
安全な決済情報保護に対するデータセキュリティに対する国際規格、
Compliance Guideのご紹介Compliance Guideのご利用
[認証範囲]NAVERクラウド(株)ITインフラプラットフォーム運営サービス認証書は、ログインの後、Compliance GuideサービスのConsoleページにてダウンロードすることができます。
- PCIDSS認証とは?
- PCIDSS(Payment Card Industry Data Security Standard)認証とは、クレジットカード会員データセキュリティを強化及び促進し、世界的な一括データセキュリティに関する評価に対する広範囲の採択を促進するために開発されたデータセキュリティに対する国際規格です。主なクレジットカード会社(VISA、MasterCard、Amex、JCB、Diners Club)が認証管理及び認証審査のために設立したPCISSC(PCI Security Standard Council)を通して認証が行われています。
- [NAVERクラウドプラットフォームの認証管理について]
- NAVERクラウド(株)は、2016年にApplication&Software、Hardware、Infrastructure&Networkなどの11の領域に対する厳しい監査を経てPCIDSS認証を獲得しました。
ISMS-P / ISMS認証
情報保護及び個人情報保護管理体系認証 / 情報保護管理体系認証
Compliance Guideのご紹介Compliance Guideのご利用
[認証範囲]
ISMS-P : NAVERクラウドプラットフォーム(NAVER CLOUD PLATFORM)サービス運営
ISMS : ITプラットフォーム運営サービス、インターネットデータセンター運営
[有効期間]
ISMS-P : 2023.10.05 ~ 2026.10.04
ISMS : 2023.12.16 ~ 2026.12.15認証書は、ログインの後、Compliance GuideサービスのConsoleページにてダウンロードすることができます。
- ISMS-P認証とは?
- ISMS-P認証は、情報保護及び個人情報保護のための一連の措置及び活動が認証基準に適合していることをインターネット振興院または認証機関が証明する制度で、企業が全社の情報保護のために持続的な保護活動を行っているか、その保護活動を通じて適切な情報保護水準を維持しているか、企業が運営する情報保護管理体系が法的な基準を満たしているかを判断する基準になります。
- [NAVERクラウドプラットフォームの認証管理について]
- ISMS認証は、情報保護のための一連の措置及び活動が認証基準に適合していることをインターネット振興院または認証機関が証明する制度で、企業が全社の情報保護のために持続的な保護活動を行っているか、その保護活動を通じて適切な情報保護水準を維持しているか、企業が運営する情報保護管理体系が法的な基準を満たしているかを判断する基準になります。
ISMS-Pは、ISMSに個人情報保護が追加されたもので、NAVERクラウドプラットフォームサービスの個人情報保護は、ISMS-Pの認証範囲に含まれています。 - [NAVERクラウドプラットフォームの認証管理現況]
- NAVERクラウド(株)は、2010年に(旧)ISMS認証、2013年に(旧)PIMS認証を取得して以来、持続的に優秀な水準の情報保護管理体系とサービスの個人情報保護管理体系を維持し、認証を持続的に更新してきており、2019年に改定された(新)ISMS-P認証を取得しました。
CSAP認証[IaaS, SaaS, DaaS]
公共機関に安全なクラウドサービス提供のための情報保護水準の評価・認証
Compliance Guideのご紹介Compliance Guideのご利用
[IaaS認証範囲]NAVERクラウドプラットフォーム(公共機関向け)
[SaaS認証範囲] System Security Checker / Web Security Checker / Security Monitoring / NAVER WORKS / Webshell Behavior Detector
[DaaS認証の範囲] Cloud Desktop認証書は、ログインの後、Compliance GuideサービスのConsoleページにてダウンロードすることができます。
- CSAP(クラウドサービスセキュリティ認証) IaaSとは?
- クラウドコンピューティングサービスセキュリティ認証とは、科学技術情報通信部で発表した「クラウドコンピューティングサービス情報保護に関する基準告示」における要件を満たすか否かを評価する認証です。公共機関により安定性及び信頼性の検証されたクラウドサービスを供給することができるかを判断できる基準になります。
- CSAP(クラウドサービスセキュリティ認証) SaaSとは?
- CSAP IaaSの範囲をSaaSに拡大適用する2018年の新規認証制度として、NAVERクラウドプラットフォームのSaaSも公共機関に供給できる高い安全性と信頼性が検証されました。
[国内第1号認証] - CSAP(クラウドサービスセキュリティ認証) DaaSとは
- クラウドサービスで提供されるサービス型デスクトップに対する認証で、管理的・物理的・技術的および公共機関用の追加保護措置として全14の分野、110の制御項目で構成されています。
- [NAVERクラウドプラットフォームの認証管理について]
- NAVERクラウドプラットフォームIaaSは、計14分野、117の統制項目、217の細部点検項目に対し、管理的・物理的・技術的保護措置の遂行点検を実施し、認証機関であるKISAから217の全項目について遵守していることが証明されました。
NAVERクラウドSaaSであるSystem Security CheckerとWeb Security Checker、Security Monitoringも同様に認証を獲得しており、他のSaaS商品も継続して認証を取得する予定です。
NAVERクラウドプラットフォーム Cloud Desktopは、KISAにより110の制御項目を遵守していることが確認されたため、DaaSのリソース管理における効率性とセキュリティ性がいずれも認められました。
MTCS認証
複数階層のクラウドセキュリティを包括するグローバルクラウドのセキュリティ標準
Compliance Guideのご紹介Compliance Guideのご利用
[認証範囲]NAVERクラウドプラットフォーム、NAVERクラウドプラットフォーム金融機関向け認証書は、ログインの後、Compliance GuideサービスのConsoleページにてダウンロードすることができます。
- MTCS(Multi-Tier Cloud Security)認証とは?
- MTCS(Multi-Tier Cloud Security)は、複数階層のクラウドセキュリティを包括するクラウドのセキュリティ標準で、シンガポールIDA(情報通信開発庁)、ITSC(情報技術標準化委員会)で開発した認証制度です。
- MTCSシンガポール標準は(SS 584:2015)複数階層のクラウドセキュリティを扱う世界初のクラウドセキュリティ標準であり、ISO/IEC 27001のような国際標準に基づいて以下のような統制事項が厳しく遵守されていることを保証します。
- MTCSには3段階のセキュリティレベルがあります。基本セキュリティを提供するLevel 1から、機密ビジネスデータ、財務記録、医療記録など特定の要求事項がある規制対象組織で使用する影響力のある情報システムのセキュリティ危険及び脅威を補完するか、解決する能力や成熟度を保有していることを意味するLevel 3段階で構成されています。
- [NAVERクラウドプラットフォームの認証管理について]
- NAVERクラウド(株)は、NAVERクラウドプラットフォームのIaaS(サービス型インフラ)、PaaS(サービス型プラットフォーム)及びSaaS(サービス型ソフトウェア)といった3つのサービスカテゴリに対してMTCS認証主体により厳しい評価を受けた後、2021年7月に韓国企業の中で初めて最も厳しいセキュリティ段階のレベル3認証を取得しました。
Category Control Category Cloud Governance Information security management, Human resources, Risk management, Third party, Legal and compliance, Incident management, Data governance Cloud infrastructure security Audit logging and monitoring, Secure configuration, Encryption, Security testing and monitoring, System acquisitions and development Cloud operations management Physical and environmental, Operations, Change management, Business continuity planning (BCP) and disaster recovery (DR) Cloud services administration Cloud services administration Cloud user access Cloud user access Tenancy and customer isolation Tenancy and customer isolation 
CBPR認証
APEC加盟国間個人情報移転のための個人情報保護管理体系の認証
Compliance Guideのご紹介Compliance Guideのご利用
[認証の範囲]
NAVERクラウドプラットフォームサービス(民間、金融、公共)の個人および企業顧客のデータ、MYBOX(有料会員)サービス利用顧客のデータ認証書は、ログインの後、Compliance GuideサービスのConsoleページにてダウンロードすることができます。
- CBPR認証とは
- APEC CBPR認証は、加盟国間の安全かつ自由な個人情報移転や電子商取引の活性化などをサポートするために開発されたグローバル個人情報保護認証です。認証には韓国、米国、日本、シンガポールなど9か国が参加し、個人情報の越境移転および処理力量を評価します。
- [NAVERクラウドプラットフォームの認証管理状況]
- NAVERクラウド(株)は、韓国内の CSP企業の中で初めて CBPR認証を取得しました。APECプライバシー9原則に基づき、NAVERクラウドプラットフォームおよび MYBOXの有料サービスにおける個人情報管理体系の安全性と信頼性が認められています。