強固なセキュリティ対策〜暗号化・WAF・運用など

boardに登録される情報は非常に重要な情報ですので、システム的な対策からユーザ向けのセキュリティ強化機能など、様々なセキュリティ対策を実施しています。

一般的なアプリケーションレベルでのセキュリティ対策・サーバへのアクセス制限・セキュリティアップデートへの対応などは当然として、プラスαで実施しているセキュリティ対策について紹介したいと思います。


会社ごとに異なるキーを使った暗号化

氏名・顧客名・案件名・住所など個人情報・機密性の高い情報はDBに暗号化して保存しています。そのため、直接DBを検索しても、中身は見ることができないようになっています。

また、単に暗号化するだけではなく、万が一漏洩した場合の影響範囲を最小限にするため、暗号化キーは会社ごとに異なるものを使用し、またその暗号化キーは別のセキュアな場所に保管しています。


第三者によるセキュリティテスト

実装段階からセキュリティを意識した実装を行っていますが、より確実にセキュリティを担保するため、セキュリティ対策を専門に行なっている会社によるセキュリティテストを実施しています。

ツールによる自動テストだけでなく、ツールではカバーしきれない箇所は人によるテストを実施しています。


WAF(Web Applicatdion Firewall)の導入

第三者によるセキュリティテストを実施していますが、さらに万全を期すため、アプリケーションレイヤでの脆弱性を防ぐことができるWAF(Web Application Firewall)を導入しています。これにより、情報漏洩の原因として多いアプリケーションレイヤでの脆弱性をブロックすることができます。

なお、WAFは、Saas型WAFでトップレベルの実績がある「Scutum」を利用しています。


パスワード総当り攻撃への対策

boardでは、一定回数ログインに失敗すると自動的にロックされるようになっており、パスワード総当りによる乗っ取りを防ぐために仕組みを用意しています。

また、それだけでなく、前述のWAF「Scutum」の運営会社にて、パスワード総当り攻撃と思われる通信が発生した場合に自動的に検知し、人によるチェックを行い、その可能性が高い場合は通信をブロックするようになっています。


運用におけるアクセス管理

情報漏洩は、外的要因だけでなく内部要因でも起こりえます。そこで、システム的なセキュリティ対策だけでなく、社内の運用面においてもアクセス管理を厳しく行っています。

DBへのアクセス、暗号化キーへのアクセス、ソースへのアクセスなど、各メンバーが業務を行う上で必要最低限に制限しています。



また、システム的なセキュリティ対策を実施しても、どこかからかパスワードが流出したり、わかりやすいパスワードになっていたり等で、正常なログインで入られてしまうケースがあります。そこで、よりセキュアに運用して頂けるような機能も準備しています。

2段階認証

昨今のセキュリティを取り巻く状況を考えると、IDとパスワードのみの認証では十分と言えない状況になってきました。そこでboardでは、2段階認証機能を提供しています。

くわしくは「セキュリティを強化しよう〜2段階認証とIP制限の設定手順」をご参照ください。


IP制限

さらにセキュリティを高められるように、IP制限を設定できるようになっています。固定IPをお持ちの場合は、オフィスからのアクセスのみに限定することができますので、より安全になります。


2段階認証またはIP制限はユーザ様単位で実施できるセキュリティ対策ですので、ぜひご活用ください。

board事例インタビュー

決め手は、UIの使いやすさと見積書・請求書のフォーマットの美しさ・カスタマイズ性
メディアプローブ 代表取締役 渡辺泰氏

使うことにした決め手は、「UIが使いやすい」という点と、「見積書や請求書のフォーマットが美しい、かつカスタマイズできる」という点。本当に求めていたサービスが出てきたと思っていて、スタートアップやSOHOはみんな使うべし、という感じです。

続きを読む
‹‹ 権限設定・操作履歴 【ベータユーザ向け】メニュー等の一部配置換え... ››

  • このエントリーをはてなブックマークに追加
一覧に戻る

最新情報の確認はFacebook・Twitterが便利です