GMO API申請書類記入項目
- 公開日:2025年01月17日
- 更新日:2025年02月20日
概要
GMOあおぞらネット銀行のAPI申請を進めて頂くにあたり、NOVASTO及びReCORE側の情報を記載いただく項目をについて案内します。
当ページで説明している項目以外の項目については、貴社自身の情報をご記入ください。
その他記入するうえでご不明な点は、以下の両アドレス宛にご連絡ください。
・GMO様連絡先:
m-hamakawa@gmo-aozora.com
・NOVASTO連絡先:
recore-success@novasto.co.jp
API利用に関わる事前ヒアリングシート
No | 大項目 | 小項目 | 入力内容 |
---|---|---|---|
1 | API連携サービス | API連携を行うサービスまたはアプリケーションの名称 |
ReCORE |
2 | サービスまたはアプリケーションの概要 |
リユースに特化したクラウド型POSシステム |
|
3 | API利用目的 | API連携を行う目的 |
POSシステム上で買取業務を行う際の支払い手段の一つとして利用したい |
4 | API連携を行うアクセスの種別 |
プライベート接続:一般 |
API接続チェックリスト(共通)
【API連携を行うサービスのセキュリティ対策実施状況】については以下の内容をご記入ください。
セキュリティ管理体制の存在有無
番号 | 回答方針 | 確認内容 | 回答欄 |
Sec-1 | NOVASTO側が指定した回答を記載 | <セキュリティ管理責任者の存在有無と権限> API連携サービスにおける情報セキュリティ対策(計画・実施・管理)の責任者には、システム部門の担当役員等、同対策の推進権限がある方を充てられている。 上記に該当しない場合(含:責任者の定めなし)、対策に不足が生じないよう、計画・実施の充分性と進捗をどのように管理されているかを回答欄②にご記載ください。 | Yes |
情報セキュリティ文書の整備
番号 | 回答方針 | 確認内容 |
Sec-3 | 貴社の情報を記載 | <情報セキュリティポリシー/方針とその具体化> ① 方針を定めた文書の策定有無 貴社の情報セキュリティに関する対応や管理の方針(*)を文書化されている。 ② 実現方法や管理方法を定めた文書の有無 上記①に定める各方針について、その実現や管理の方法を文書化されている。 未整備の場合、整備完了予定時期を回答欄②にご記載ください。 (記載例:「〇〇(文書名)」をyyyy年mm月までに整備予定) ※ 「プライバシーポリシー」とは異なります。プライバシー情報に限定せず、貴社で取扱う情報全般を対象とした管理方針になります。 「情報セキュリティポリシー」として定められる会社様が多くございます。 ■「情報セキュリティポリシー」の定義については、以下WEBサイトご参照ください。 総務省「情報セキュリティポリシーの概要と目的」 https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-2.html |
Sec-4 | 貴社の情報を記載 | <情報管理のルール> 貴社の情報セキュリティ文書には、機密性の高い情報(例:お客さま情報)の取得・保管・廃棄の各段階において実施する「情報漏えい防止対策」が明文化されている。 |
インシデント対応準備
番号 | 回答方針 | 確認内容 | 回答欄① |
Sec-6 | NOVASTO側が指定した回答を記載 | <インシデント対応体制> 「情報漏えい」や「サイバー攻撃」等が発覚した際の対応を主導・管理(*)する組織あるいは各担当者様が明確化されている。 (*)対応を主導・管理調査・復旧といったシステム対応に限定せず、お客さまへのご連絡や経営層への報告等も含む対応全般の主導・管理を想定します。例えば、CSIRTのような組織の設置を想定します。 | Yes |
Sec-7 | NOVASTO側が指定した回答を記載 | <インシデント対応フロー等> 「情報漏えい」や「サイバー攻撃」等が発覚した際に遅滞なく対応(被害の拡大防止や復旧等)できるよう、具体的な対応フローや手順を準備されている。 | Yes |
Sec-8 | NOVASTO側が指定した回答を記載 | <連絡体制> 「情報漏えい」や「サイバー攻撃」等が発覚した際に利用する関係者連絡フロー(*)が整備されている。 (*)From/To、連絡方法、連絡手段を昼夜の別に明確化されたものを想定します。インシデント発生に関する報告先や、実対応・調査を外部に依頼する場合のシステムベンダーなどの外部組織についても、同様の整備をお願い致します。 | Yes |
サプラインチェーンリスク対策(外部委託先管理)状況
番号 | 回答方針 | 確認内容 | 回答欄 |
Sec-9 | NOVASTO側が指定した回答を記載 | <外部委託先選定と業務管理のルール整備状況> ① 外部委託先の選定にかかる選定方法および基準を定められている。 ② 委託期間中における外部委託先の管理方法を定められている。 ③ 上記①②それぞれにおいて「情報セキュリティ確保」の観点が含まれている。 | ①Yes ②Yes ③Yes |
Sec-10 | NOVASTO側が指定した回答を記載 | <API連携を行うサービスまたはアプリケーションに関する外部委託先管理> ①当社APIを利用されるシステムに関する業務は外部委託を予定している。 外部委託の予定がある場合、回答欄②に委託業務内容をご記載ください。 ②委託先(*)には貴社と同等の情報セキュリティレベルを要求している。 ③委託先の選定時だけでなく委託期間中にも定期的(最低 1回/年 程度)に、上記情報セキュリティが守られていることを確認している。 (*)委託先当社APIを利用されるシステムの開発・運用・オペレーション・事務業務の他、同システムで利用されるデータセンターや各種のクラウドサービスを想定 | ①No ②選択不要 ③選択不要 |
貴社システム運用におけるセキュリティ対策(API連携を行うサービス以外のシステムも含む)
番号 | 回答方針 | 確認内容 | 回答欄① | 回答欄② |
Sec-12 | 貴社の情報を記載 | <パスワードポリシー> パスワード流出による不正利用を防止するため、システムへログインする際のパスワードは、長さや文字種混合、定期的な変更などのルールを定め、運用している。 | ||
Sec-13 | 貴社の情報を記載 | <共有アカウントの禁止> 不正アクセスを検出できるよう、各利用者(含:一般権限者、高権限者、ID管理者)のログインIDは「個人単位」に作られており、共有アカウントは存在しない。 | ||
Sec-14 | NOVASTO側が指定した回答を記載 | <付与権限の最小化> 不正操作を防止するため、各利用者(含:一般権限者、高権限者、ID管理者)には、必要な権限のみ付与している。 | ||
Sec-15 | NOVASTO側が指定した回答を記載 | <システム運用者のID> 不正操作を防止するため、サービスの各種設定やプログラムの更新、その他システム運用作業に用いるログインIDは、用途に応じた付与権限が最小化している。 | Yes | |
Sec-16 | NOVASTO側が指定した回答を記載 | <環境分離①> 本番環境(システムやサービスが実際に動く環境)と開発用環境(開発環境やステージング環境)がネットワーク分離されており、相互の通信は断絶されている。 | No | 開発環境は分離されているが、ステージング環境についてはIP制限された外部API等、同様のネットワークによる検証が必要なため、本番環境と同じネットワーク内で別環境として構成されている。 そのためステージング環境と本番環境の相互通信は行われない認識です。 ステージング環境についても本番同様必要最小限のアクセスになるように管理しています。 開発担当者と本番環境の設定変更ができる担当者の職務分離は行っています。 |
Sec-17 | NOVASTO側が指定した回答を記載 | <環境分離②> 不正なアクセスを防止するために、OA環境のPCからシステムへの通信や、貴社内システム間の通信等、内部通信についてもFWにより必要最小限に制限している。 | Yes | |
Sec-18 | NOVASTO側が指定した回答を記載 | <システム運用作業の管理①> サービスの各種設定やプログラムの誤更新および悪意ある変更を防ぐために、 変更管理のプロセスが定められている。 | Yes | |
Sec-19 | NOVASTO側が指定した回答を記載 | <システム運用作業の管理②> 上記の変更管理プロセスには、違反を検出する仕組み(例:運用作業のモニタリング)も組み込まれている。 | Yes | |
Sec-20 | NOVASTO側が指定した回答を記載 | <その他> プログラム品質の確保システムのプログラムに機能追加や変更を加える際、「予定された以外の箇所に対する変更」を検出する仕組みを組み込み、誤更新や悪意ある変更を防いでいる。 (例)リグレッションテストの実施、チェックイン対象プログラムの確認 | Yes |
取扱情報の管理(含:システム外の情報)
番号 | 回答方針 | 確認内容 |
Sec-24 | 貴社の情報を記載 | <守秘義務契約> 貴社の業務に従事される全従業者(派遣、業務委託含む)の方と、業務上知り得た情報の守秘義務契約を含む非開示契約(あるいは誓約書)を締結している。 |
API連携を行うサービスのセキュリティ対策実施状況
番号 | 回答方針 | 確認内容 | 回答欄① | 回答欄② |
Sec-26 | NOVASTO側が指定した回答を記載 | <脆弱性把握および対応> インターネット等の外部と通信可能なシステムは、年1回以上の頻度でプラットフォームおよびアプリケーションの脆弱性診断を行い、検出された問題点を解消されている。 なお、貴社による診断を必要とされない構成の場合、具体的な構成を回答欄②にご記載願います。 | Yes | |
Sec-27 | NOVASTO側が指定した回答を記載 | <出入口防御①> インターネット等の外部と通信可能なアプリケーション(*)は、WAFを介した通信としている。 (*)当社APIを利用するアプリケーションに限定せず、当社からの連携情報を利用する貴社サービスも含む | Yes | |
Sec-28 | NOVASTO側が指定した回答を記載 | <出入口防御②> インターネット等の外部と通信可能なシステム(*¹)は、外部からのサイバー攻撃を防御する(*²)IPSを介した通信としている。 なお、サーバレス構成等、IPSを不要とする構成の場合、その旨とご利用サービスを記載願います。 (*¹)当社APIを利用するアプリケーションに限定せず、当社からの連携情報を利用する貴社サービスも含む。 (*²)インターネットからの入口防御の確認になります。 貴社環境に侵入後の通信を検知・防御する対策は、本件での確認対象外でございます。 | Yes | |
Sec-29 | NOVASTO側が指定した回答を記載 | <出入口防御③> 外部からの攻撃成功を検出するために、通信履歴(*)を分析している。 (*)サーバのアクセスログや、セキュリティ機器(IPS・WAF・FW等)のログ | Yes | |
Sec-33 | NOVASTO側が指定した回答を記載 | <内部防御③> 従業者(派遣、業務委託含む)によるシステムの不正利用や、入口防御をかいくぐり、内部に侵入したマルウェアによる不正な通信を検出するために、SIEMやDBアクセス監査システムを導入、あるいは、手動にてログ分析している。 (*¹)サーバアクセスログ、PC操作記録、DB監査ログ 等 | Yes | |
Sec-34 | NOVASTO側が指定した回答を記載 | <内部防御④> 外部委託をご利用の場合、外部委託先の方による不正なアクセスやオペレーションがないことを、確認している。 | No | 環境管理について外部委託を利用していない |
Sec-36 | NOVASTO側が指定した回答を記載 | <認証情報管理②> 当社API用のアクセストークン、リフレッシュトークンは、「特定IDでのみアクセス可能なDBに暗号化した上で保管する」等(*)、厳格に管理される。 (*)平文での保管、多数アカウントからのアクセス許容はNGの意です。 | Yes | |
Sec-37 | NOVASTO側が指定した回答を記載 | <認証情報管理③> 当社API用のアクセストークン、リフレッシュトークンは、有効期限が超過すると物理的に削除される。 | Yes |
OA環境で利用するPCのセキュリティ対策状況
番号 | 回答方針 | 確認内容 | 回答欄① | 回答欄② |
Sec-39 | NOVASTO側が指定した回答を記載 | <アンチマルウェア①> OA環境で利用するPCに、商用提供されるマルウェア対策ソフトを(*)を導入している。 ※無料マルウェア対策ソフトをご利用の場合は、ソフト名称を回答欄②にご記載願います。 | Yes | Norton |
Sec-40 | NOVASTO側が指定した回答を記載 | <アンチマルウェア②> OA環境で利用するPCに導入したマルウェア対策ソフトは、常時稼働させ、パターンファイル等の検知用データは継続的に更新(例:日次で最新化)している。 | Yes |
過去に発生した情報セキュリティインシデントへの対処状況
番号 | 回答方針 | 確認内容 | 回答欄① |
Sec-41 | NOVASTO側が指定した回答を記載 | <情報セキュリティ関連インシデントの発生有無> これまでに、情報の漏えい・改竄等、情報セキュリティに関するインシデントが発生している。 YESとされた場合、発生したインシデントの概要(事象・原因・発生時期)を回答欄②にご記載ください。 | No |
Sec-42 | NOVASTO側が指定した回答を記載 | <発生したインシデントの再発防止策> ※Sec-41をYESとされた場合に、ご回答願います。 発生したインシデントは、発生原因を分析の上で再発防止策を実施済である。 YES(実施済〉とされた場合、再発防止策の内容、完了時期を回答欄②にご記載ください。 NO(実施中、未実施)の場合、再発防止策の実施状況、完了予定時期を回答欄②にご記載ください。 |
API利用申込書
記載されていない項目については貴社側の情報を元にご入力いただく形になります。
基本情報
No | 大項目 | 小項目 | 入力内容 |
---|---|---|---|
1 | お申込者 | API連携を行うサービスまたはアプリケーションの名称 |
ReCORE |
API連携情報
No | 大項目 | 小項目 | 入力内容 |
---|---|---|---|
1 | API利用目的 | API連携を行う目的種別 |
プライベートアクセスを選択 |
2 | API利用目的 | APIでアクセスする口座の人格種別 |
法人を選択 |
3 | アクセスレベル | アクセススコープ |
口座・振込/振替 を選択 |
4 | アクセスレベル | リスクベース認証の利用有無 |
利用しないを選択 |
5 | アクセスレベル | 連鎖接続先の有無 |
なし |
6 | 接続情報 | アクセストークン発行方法(認可方式) |
OAuth2.0 |
7 | 接続情報 | クライアント認証方法 |
パラメーター認証 |
8 | 接続情報 | 【本番環境】ドメイン |
入力不要です |
9 | 接続情報 | 【本番環境】IPアドレス |
13.113.217.217;18.177.65.42 |
10 | 接続情報 | 【開発環境】ドメイン |
入力不要です |
11 | 接続情報 | 【開発環境】IPアドレス |
18.177.192.247 |
12 | 接続情報 | 【本番環境】リダイレクトURL |
NOVASTO側から別途、ご共有させていただいたものをご入力ください。 |
13 | 接続情報 | 【開発環境】リダイレクトURL |
NOVASTO側から別途、ご共有させていただいたものをご入力ください。 |
自社利用に関する情報
No | 大項目 | 小項目 | 入力内容 |
---|---|---|---|
1 | テスト口座情報 | 【口座1】口座の種類 |
法人 |
2 | テスト口座情報 | 設定メールアドレス |
nakamura@novasto.co.jp |
3 | テスト口座情報 | 【口座2】口座の種類 |
個人 |
4 | テスト口座情報 | 設定メールアドレス |
tsutai@novasto.co.jp |
その他情報
No | 大項目 | 小項目 | 入力内容 |
---|---|---|---|
1 | テストサイトにアクセスする際のグローバルIPアドレス | グローバルIPアドレス |
18.177.192.247 |
API連携情報(Webhook)
No | 大項目 | 小項目 | 入力内容 |
---|---|---|---|
1 | 接続情報 | 全て |
入力不要です |
AMLヒアリングシート
No | 大項目 | 小項目 | 入力内容 |
---|---|---|---|
1 | 予定契約 | 弊社と締結を検討されている契約について☑︎を付けてください |
API利用 |
2 | API連携 | API連携を行うアクセスの種別 |
プライベート接続 |
3 | 更新系接続 |
この記事は役に立ちましたか?