boardでは、お客さまの機密性の高いデータを扱うため、セキュリティ対策を非常に重視し、様々な対策を実施しています。
現在実施しているセキュリティ対策について説明致します。
システム面のセキュリティ
サーバやアプリケーションの脆弱性を狙った攻撃に対して、様々対策を行っています。
■機密データの暗号化
boardでは、重要なデータを暗号化して保存しています。
暗号化するために使用する暗号化キーはboardが動作しているサーバとは別の場所にさらに暗号化されて保管されています。また、暗号化キーは会社ごとに異なるキーにしているため、万が一データが流出したりサーバに侵入された場合でも、簡単に復号化できないようになっています。
■WAF(Web Application Firewall)
近年、Webサイトを狙った攻撃は、クロスサイトスクリプティングやSQLインジェクション等のWebアプリケーションの脆弱性を狙ったものが急増しています。 当然、開発・テストの中で十分なテストは実施していますが、100%脆弱性を排除することは難しく、脆弱性が残ってしまう可能性はあります。
そこで、boardでは、リリース当初から、クラウド型WAFで実績No.1の「Scutum」を導入しています。
WAFは、アプリケーションの脆弱性を狙う攻撃をブロックする仕組みで、クロスサイトスクリプティング・SQLインジェクション等、主要な攻撃をブロックすることができます。 また、パスワード総当り攻撃など、アプリケーションの脆弱性を狙った攻撃以外のものも防御することができます。
重要な点として、Scutumは、弊社ではなく、第三者のセキュリティ専門家が運用しています。自社で運用しているのと異なり、常に最新のセキュリティ事情をキャッチアップし、最新の攻撃に対して、随時対応できるようになっています。
■IDS・IPS
前述のWAFはアプリケーションの脆弱性をブロックする仕組みですが、IDS・IPSはサーバへの侵入を検知・ブロックするための仕組みです。 アプリケーションレイヤ以外の部分でサーバへ攻撃があった場合に防御し、仮に侵入された場合にブロックします。
IDS・IPSは、従来、金融機関などの極めて高いセキュリティが求められるシステムで導入されてきた仕組みで、サーバへの攻撃に対して有効です。
boardでは、トレンドマイクロ社が提供するDeep Securityを導入しており、IDS・IPSはDeep Securityの中で提供されています。
■不正プログラム対策(ウイルス対策)
boardのサーバは、不正プログラム(ウイルス・スパイウェア等)対策の仕組みが導入されており、不正プログラムがあった場合は自動的に検知し無効化するようになっていますので、ファイルアップロード機能なども安心してご利用頂けます。
不正プログラム対策ソフトウェアは、前述のトレンドマイクロ社のDeep Securityの中で提供されています。
■サーバの変更監視
サーバOSのユーザやプロセスの変更をリアルタイムに監視し、不正な動きを検知できるようになっています。
これにより、例えばサーバに侵入され何か権限の改変や不正プログラムのインストール・起動などを行ったり、バックドアを仕掛けようとした場合に検知することができます。
■継続的セキュリティテスト
boardでは、第三者によるセキュリティテストを実施していますが、機能追加が頻繁にあり、その都度外部にセキュリティテストを依頼することは現実的ではないため、継続的セキュリティテストを実現するクラウドサービス「VAddy」を利用しています。
VAddyは、前述のクラウド型WAF「Scutum」の開発チームが開発しているセキュリティテストサービスで、機能追加や改修のたびにセキュリティテストが実施できます。
VAddyで検出可能なアプリケーションの脆弱性は、WAFでブロック可能ではありますが、より確実に脆弱性をブロックするため、二重でアプリケーション脆弱性対策を実施しています。
社内の運用体制
大手企業でデータの内部持ち出しの事件があったように、社内のアクセス管理は非常に重要と考えています。
元々、弊社代表が一部上場のIT企業出身のため、その時の経験などをふまえ、アクセス管理は非常に厳しく行っています。
■セキュリティアップデートの自動検知・対応
OSやサーバにインストールされているソフトウェアにも脆弱性があります。
boardでは、脆弱性検知ツール「Vuls」 を活用して毎日脆弱性スキャンを実施しています。
脆弱性検知ツール「Vuls」は、Linuxサーバ上に存在する脆弱性や、開発で使用しているフレームワーク(Ruby on Rails)の脆弱性をチェックし、その内容・重要度を通知してくれます。
重要度に応じて、クリティカルな脆弱性の場合は即時、それ以外のものは数日から数週間以内にはアップデートするように運用しています。
■サーバ・データベースへのアクセス権
以前、大手企業で内部からの持ち出しによるセキュリティ事故がありましたが、そのような内部持ち出しの対策として、本番環境のサーバ・データベースへのアクセス権は、責任者(弊社代表及びシステム責任者)のみが保有しており、他のメンバーは、本番環境のサーバ・データベースに直接アクセスできないようになっています。
また、前述の通り、データベースは暗号化されていますので、システムメンテナンス作業等で責任者がデータベースにアクセスする場合でも、中身は閲覧できないようになっています。
■暗号化キー保管場所へのアクセス権
暗号化キーの保管場所へのアクセス権も同様に、責任者(弊社代表及びシステム責任者)以外はアクセス出来ないようになっています。
暗号化キーとデータベースへのアクセス権を厳格に管理することで、内部要因でのセキュリティリスクに対策しています。
■監査ログ
データベースに対するすべての操作は、監査ログとして記録されており、不正なデータ持ち出し等があった場合には、調査ができるようになっています。
■お問い合わせ対応におけるデータの参照
お問い合わせの回答・調査にあたって設定等を確認した上で回答が必要なことがありますが、この場合は以下のようになっています。
・機密情報(顧客名・個人情報・金額等)以外の基本的な設定情報は、サポート用の管理画面で確認できるようになっています
・回答・調査にあたって、どうしても暗号化されているデータを確認する必要がある場合、その旨を伝えた上で、許可を頂いた場合のみ、対象のデータを復号化し、内容を確認します。なお、それにあたっては、復号化できる権限は前述の通り、責任者(弊社代表及びシステム責任者)のみとなっていますので、責任者が作業します。
機能としてのセキュリティ対策
これまではシステムとして弊社で実施しているセキュリティ対策ですが、boardの機能としてもセキュリティ対策の機能を提供しています。
■ログイン失敗時のロック
一定回数以上ログインに失敗したら、自動的にアカウントがロックされ、登録されているメールアドレスにメールで通知されます。
この仕組みは、第三者が、トライアンドエラーでログインを試行した場合に有効です。
■IP制限
指定したIP以外からのログインはできないようにすることができます。 オフィスに固定IPがある場合は、設定することをお勧めします。
■2段階認証
固定IPがなくIP制限をかけられない場合のために、2段階認証を設定できるようになっています。
■操作履歴の自動記録
内部監査用に、登録・更新・削除・出力などの重要な操作は、自動的に、誰がいつ操作したか記録するようになっています。 また、操作ごとのアクセス元のIPアドレスも合わせて記録しています。
■パスワード変更時の通知
パスワードが変更された場合には、登録されているメールアドレスに通知するようになっています。これによって、成りすましログイン等で不正ログインされた場合に、パスワードが変更されたら気づくことができるようになっています。
連携企業・サービス
boardでは、一部の機能は外部の企業・サービスと連携して提供しております。連携している外部の企業・サービスでのセキュリティについて紹介致します。
■決済代行
クレジットカードの決済は、PAY.JPを利用しています。
PAY.JPは、クレジットカード情報漏洩防止の国際セキュリティ標準であるPCI DSSに準拠しており、安全にクレジットカード情報が管理されています。
また、クレジットカード情報は、boardのサーバを経由せず直接PAY.JPに送信され、弊社でも見ることができないようになっていますのでご安心ください。
■郵送代行
郵送代行機能は、アイシーエクスプレス社と連携して提供しています。
郵送依頼頂いた書類データは1日1回アイシーエクスプレス社へ連携され、そこで自動的に印刷・封入封緘・郵送されるため、弊社の目に触れることはありません。
またアイシーエクスプレス社においても基本的に自動的に封入封緘されるため、作業担当者が中身を見ることはありません。
なお、印刷・封入封緘処理時に何かしらの問題があった場合は確認のため見ることはあります。その場合でも、アイシーエクスプレス社は、プライバシーマーク・ISO27001などを所有し、厳格なセキュリティ体制・教育を行っていますのでご安心ください。
‹‹ 2段階認証
