boardのセキュリティー対策

 

boardでは、お客さまの機密性の高いデータを扱うため、セキュリティー対策を非常に重視し、様々な対策を実施しています。 

当ページでは、boardが現在実施しているセキュリティー対策について説明致します。 

 

システム面のセキュリティー 

サーバーやアプリケーションの脆弱性を狙った攻撃に対して、以下の対策を行っています。

■機密データの暗号化 

boardでは、重要なデータを暗号化して保存しています。 

暗号化するために使用する暗号化キーは、boardが動作しているサーバーとは別の場所に、さらに暗号化を行った上で保管されています。また、暗号化キーは会社ごとに異なるキーにしているため、万が一データが流出したり、サーバーに侵入されたりした場合でも、簡単に復号化できないようになっています。 

 

■WAF(Web Application Firewall) 

 

近年、Webサイトを狙った攻撃の中には、クロスサイトスクリプティングやSQLインジェクションなど、Webアプリケーションの脆弱性を狙ったものが急増しています。 boardでは、開発・テストの中で十分なテストを実施していますが、それでも脆弱性を100%排除することは難しく、脆弱性が生じる可能性は残ってしまいます。  

そこで、boardはリリース当初から、クラウド型WAFで実績No.1の「Scutum」を導入しています。 

WAFは、アプリケーションの脆弱性を狙う攻撃をブロックする仕組みで、クロスサイトスクリプティング・SQLインジェクション等、主要な攻撃をブロックすることができます。 また、パスワード総当り攻撃など、アプリケーションの脆弱性以外を狙った攻撃も防御することができます。 

この対策の重要な点は、Scutumを運用しているのが弊社ではなく、第三者のセキュリティー専門家であるということです。自社で運用している場合と異なり、常に最新のセキュリティー事情をキャッチアップし、最新の攻撃を想定した対応ができるようになっています。 

 

■IDS・IPS 

前述のWAFはアプリケーションの脆弱性をブロックする仕組みですが、IDS・IPSはサーバーへの侵入を検知・ブロックするための仕組みです。 アプリケーションレイヤー以外の部分でサーバーに攻撃があった場合にこれを防御し、仮に侵入された場合でも攻撃をブロックします。 

IDS・IPSは、従来、金融機関などの極めて高いセキュリティーが求められるシステムで導入されてきた仕組みで、サーバーへの攻撃に対して有効です。 

boardではTrend Micro Cloud Oneを導入しており、IDS・IPSはTrend Micro Cloud Oneの中で提供されています。 

 

■不正プログラム対策(ウイルス対策) 

boardのサーバーには不正プログラム(ウイルス・スパイウェア等)対策の仕組みが導入されており、不正プログラムがあった場合は、自動的に検知し無効化するようになっています。 

不正プログラム対策ソフトウェアは、前述のTrend Micro Cloud Oneの中で提供されています。 

 

■サーバーの変更監視

サーバーOSのユーザーやプロセスの変更をリアルタイムに監視し、不正な動きを検知できるようになっています。

 

■継続的セキュリティーテスト 

 

boardでは、第三者によるセキュリティーテストを実施していますが、機能追加が頻繁にあり、その都度外部にセキュリティーテストを依頼することは現実的ではないため、継続的セキュリティーテストを実現するクラウドサービス「VAddy」を利用しています。 

VAddyで検出可能なアプリケーションの脆弱性は、WAFでもブロックすることは可能ですが、より確実に脆弱性をブロックするために、二重でアプリケーション脆弱性対策を実施しています。 

 

社内の運用体制 

大手企業でデータの内部持ち出しの事件があったように、社内のアクセス管理は非常に重要と考えています。元々、弊社代表が一部上場のIT企業出身のため、その時の経験などをふまえ、アクセス管理は非常に厳しく行っています。

 

■セキュリティーアップデートの自動検知・対応 

 

OSやサーバーにインストールされているソフトウェアにも脆弱性があります。

boardでは、脆弱性検知ツール「Vuls」 を活用して毎日サーバーの脆弱性スキャンを実施しています。「Vuls」は、Linuxサーバー上に存在する脆弱性をチェックし、その内容・重要度を通知してくれます。

また、開発で使用しているフレームワークやライブラリーなどのセキュリティーアップデートも自動的に通知するようにしています。

重要度に応じて、クリティカルな脆弱性の場合は即時、それ以外のものは数日から数週間以内にはアップデートするように運用しています。

 

■サーバー・データベースへのアクセス権

以前、大手企業で内部からの持ち出しによるセキュリティー事故がありましたが、こうした問題への対策として、本番環境のサーバー・データベースへのアクセス権は、責任者(弊社代表及びシステム責任者)のみが保有し、他のメンバーは本番環境のサーバー・データベースに直接アクセスできないようになっています。  

また、前述の通り、データベースは暗号化されていますので、システムメンテナンス作業等で責任者がデータベースにアクセスする場合でも、中身は閲覧できないようになっています。  

 

■暗号化キー保管場所へのアクセス権 

暗号化キーの保管場所へのアクセス権も同様に、責任者(弊社代表及びシステム責任者)以外はアクセスできないようになっています。 暗号化キーとデータベースへのアクセス権を厳格に管理することで、内部要因でのセキュリティーリスクに対策しています。 

 

■監査ログ

データベースに対するすべての操作は、監査ログとして記録されており、不正なデータ持ち出し等があった場合には、調査ができるようになっています。

 

■お問い合わせ対応におけるデータの参照

お問い合わせの回答・調査にあたって、ユーザーの設定状況等を確認した上で回答が必要になることがありますが、この場合は以下の運用を行っています。 

・機密情報(顧客名・個人情報・金額等)以外の基本的な設定情報は、サポート用の管理画面で確認できるようになっています。

・回答・調査にあたって、どうしても暗号化されているデータを確認する必要がある場合は、ユーザーにその旨を伝え、許可を頂いた場合のみ、対象のデータを復号化し、内容を確認します。なお、前述の通り、復号化できる権限は責任者(弊社代表及びシステム責任者)のみが保持しているため、責任者が作業します。

 

■セキュリティー顧問

外部のセキュリティーの専門家を技術顧問として招聘し、最新の動向やセキュリティー強化のための相談を随時行っています。

また、万が一セキュリティーインシデントが発生した場合でも、セキュリティー顧問に対応の相談を行える体制を整えています。

 

機能としてのセキュリティー対策 

ここまでに挙げたセキュリティー対策は、システム全体に対して弊社で実施しているものですが、boardの機能としても、以下のセキュリティー対策を提供しています。  

 

■ログイン失敗時のロック 

一定回数以上ログインに失敗したら、自動的にアカウントがロックされ、登録されているメールアドレスにメールで通知されます。この仕組みは、第三者が不正ログインを試行した場合に有効です。 

 

■IP制限 

指定したIP以外からはアクセスできないようにすることができます。 オフィスに固定IPがある場合、これを設定することで、オフィス外からのアクセスを制限できます。

 

■2段階認証 

ログインのセキュリティーを強化するため、2段階認証を設定できます。また、アカウント内のすべてのユーザーに対して2段階認証を必須化することもできます。

 

■操作履歴の自動記録 

内部監査用に、登録・更新・削除・出力などの重要な操作は、自動的に、誰がいつ操作したか記録するようになっています。 また、操作ごとのアクセス元のIPアドレスも合わせて記録しています。

 

■パスワード変更時の通知

パスワードが変更された場合には、登録されているメールアドレスに通知するようになっています。これによって、成りすましログイン等で不正ログインされた場合に、パスワードが変更されたら気づくことができるようになっています。

 

■シングルサインオン(SSO)

SAML2.0によるシングルサインオンに対応しています。また、通常のID・パスワードによるログインを無効にし、シングルサインオンのみ有効にすることも可能です。

 

■セキュリティー割引

ログインのセキュリティーを強化する設定を有効にしている場合、月額利用料を5%OFFにする「セキュリティー割引」を行っています。詳しくは「セキュリティー割引」のヘルプをご覧ください。

 

第三者によるセキュリティーチェック

弊社では、認証の取得・運用にかかる分のリソースを最新のセキュリティー動向に即した対策に向けるため、PマークやISMS等の認証は取得していませんが、銀行とのAPI連携機能の提供にあたって、電子決済等代行業の登録を完了しており、この際の審査として、金融庁・関東財務局・三井住友銀行から、システム面・運用面において詳細なセキュリティーチェックを受けています。

  

連携企業・サービス

一部の機能は外部の企業・サービスと連携して提供しています。これら連携先の企業・サービスにおけるセキュリティー対策について紹介します。

■決済代行

クレジットカードの決済は、PAY.JPを利用しています。

PAY.JPは、クレジットカード情報漏洩防止の国際セキュリティー標準であるPCI DSSに準拠しており、安全にクレジットカード情報が管理されています。また、クレジットカード情報は、boardのサーバーを経由せずに直接PAY.JPに送信され、弊社でも見ることができないようになっていますので、ご安心ください。

 

■郵送代行

郵送代行機能は、アイシーエクスプレス社と連携して提供しています。

郵送依頼を受けた書類データは1日1回アイシーエクスプレス社へ送信され、そこで自動的に印刷・封入封緘・郵送されるため、弊社の目に触れることはありません。

また、アイシーエクスプレス社においても、基本的に自動で封入封緘されるため、同社の作業担当者が中身を見ることはありません。

なお、印刷・封入封緘処理時に何かしらの問題が発生した場合は、状況把握のために確認を行うことはあり得ます。ただし、その場合でも、アイシーエクスプレス社はプライバシーマーク・ISO27001などを所有し、厳格なセキュリティー体制・教育を行っていますので、ご安心ください。



‹‹ 2段階認証を必須にする SAML認証によるシングルサインオン(SSO) ››
一覧に戻る
はじめての方へ 最初に設定すること 全般 案件管理
案件登録
案件一覧
書類登録
請求一覧
案件原価一覧
顧客別入金一覧
顧客・担当者
 発注管理
発注登録
発注一覧
書類登録
支払一覧
源泉徴収一覧
発注先・担当者
 案件・発注共通
書類登録
捺印申請
 メール送信・郵送 ダッシュボード 分析機能 通知 設定 セキュリティ 外部サービス連携・会計連携 有料プラン・退会 API FAQ
全般
案件管理
発注管理
メール送信・郵送
設定
セキュリティ
外部サービス連携・会計連携
有料プラン・退会