ヘルプ：boardのセキュリティー対策

boardヘルプセンター

boardでは、お客さまの機密性の高いデータを扱うため、セキュリティー対策を非常に重視し、様々な対策を実施しています。

当ページでは、boardが現在実施しているセキュリティー対策について説明致します。

システム面のセキュリティー

サーバーやアプリケーションの脆弱性を狙った攻撃に対して、以下の対策を行っています。

機密データの暗号化

boardでは、重要なデータを暗号化して保存しています。

暗号化するために使用する暗号化キーは、boardが動作しているサーバーとは別の場所に、さらに暗号化を行った上で保管されています。また、暗号化キーは会社ごとに異なるキーにしているため、万が一データが流出したり、サーバーに侵入されたりした場合でも、簡単に復号できないようになっています。

WAF（Web Application Firewall）

近年、Webサイトを狙った攻撃の中には、クロスサイトスクリプティングやSQLインジェクションなど、Webアプリケーションの脆弱性を狙ったものが急増しています。 boardでは、開発・テストの中で十分なテストを実施していますが、それでも脆弱性を100％排除することは難しく、脆弱性が生じる可能性は残ってしまいます。

そこで、boardでは2014年のリリース当初から、クラウド型WAFで実績No.1の「Scutum」を導入しています。

WAFは、アプリケーションの脆弱性を狙う攻撃をブロックする仕組みで、クロスサイトスクリプティング・SQLインジェクション等、主要な攻撃をブロックすることができます。また、パスワード総当り攻撃など、アプリケーションの脆弱性以外を狙った攻撃も防御することができます。

Scutumはマネージドサービスですので、自社で運用している場合と異なり、常に最新のセキュリティー事情をキャッチアップし、最新の攻撃を想定した対応ができるようになっています。

IDS・IPS

前述のWAFはアプリケーションの脆弱性をブロックする仕組みですが、IDS・IPSはサーバーへの侵入を検知・ブロックするための仕組みです。アプリケーションレイヤー以外の部分でサーバーに攻撃があった場合にこれを防御し、仮に侵入された場合でも攻撃をブロックします。

boardではTrend Micro Cloud Oneを導入しており、IDS・IPSはTrend Micro Cloud Oneの中で提供されています。

不正プログラム対策（ウイルス対策）

boardのサーバーには不正プログラム（ウイルス・スパイウェア等）対策の仕組みが導入されており、不正プログラムがあった場合は、自動的に検知し無効化するようになっています。

不正プログラム対策ソフトウェアは、前述のTrend Micro Cloud Oneの中で提供されています。

サーバーの変更監視

サーバーOSのユーザーやプロセスの変更をリアルタイムに監視し、不正な動きを検知できるようになっています。

社内の運用体制

セキュリティーアップデートの自動検知・対応

OSやサーバーにインストールされているソフトウェア・プログラミング言語・フレームワーク・ライブラリーにも脆弱性があります。

boardでは、これらのセキュリティーアップデートも自動的に通知するようにしており、重要度に応じて、クリティカルな脆弱性の場合は即時、それ以外のものは数日から数週間以内にはアップデートするように運用しています。

サーバー・データベースへのアクセス権

本番環境のサーバー・データベースへのアクセス権は、責任者（弊社代表及びシステム責任者）のみが保有し、他のメンバーは本番環境のサーバー・データベースに直接アクセスできないようになっています。

また、前述の通り、データベースは暗号化されていますので、システムメンテナンス作業等で責任者がデータベースにアクセスする場合でも、中身は閲覧できないようになっています。

暗号化キー保管場所へのアクセス権

暗号化キーの保管場所へのアクセス権も同様に、責任者（弊社代表及びシステム責任者）以外はアクセスできないようになっています。暗号化キーとデータベースへのアクセス権を厳格に管理することで、内部要因でのセキュリティーリスクに対策しています。

監査ログ

データベースに対するすべての操作は、監査ログとして記録されており、不正なデータ持ち出し等があった場合には、調査ができるようになっています。

お問い合わせ対応におけるデータの参照

お問い合わせの回答・調査にあたって、ユーザーの設定状況等を確認した上で回答が必要になることがありますが、この場合は以下の運用を行っています。

機密情報（顧客名・案件名・金額等）を含まない基本的な設定情報は、サポート用の管理画面で確認できるようになっています。
調査が必要なイレギュラーなケースにおいて、ごく稀に暗号化されているデータを確認する必要があることがあります。その場合は、その旨を伝え、許可を頂いた場合のみ、対象のデータを復号し、内容を確認します。なお、前述の通り、復号できる権限は責任者（弊社代表及びシステム責任者）のみが保持しているため、責任者が作業します。

外部のセキュリティー会社によるコンサルティング

外部のセキュリティー会社によるセキュリティーアセスメントを行い、第三者視点で、対策の抜け漏れや強化すべき点などの洗い出しを行っています。

この結果を受けて、随時、対策や脆弱性診断の実施等、継続的に対策を行っていく体制を整えています。

機能としてのセキュリティー対策

ここまでに挙げたセキュリティー対策は、システム全体に対して弊社で実施しているものですが、boardの機能としても、以下のセキュリティー対策を提供しています。

ログイン失敗時のロック

一定回数以上ログインに失敗したら、自動的にアカウントがロックされ、登録されているメールアドレスにメールで通知されます。この仕組みは、第三者が不正ログインを試行した場合に有効です。

IP制限

指定したIP以外からはアクセスできないようにすることができます。オフィスに固定IPがある場合、これを設定することで、オフィス外からのアクセスを制限できます。

2段階認証

ログインのセキュリティーを強化するため、2段階認証を設定できます。また、アカウント内のすべてのユーザーに対して2段階認証を必須化することもできます。

操作履歴の自動記録

内部監査用に、登録・更新・削除・出力などの重要な操作は、自動的に、誰がいつ操作したか記録するようになっています。また、操作ごとのアクセス元のIPアドレスも合わせて記録しています。

パスワード変更時の通知

パスワードが変更された場合には、登録されているメールアドレスに通知するようになっています。これによって、成りすましログイン等で不正ログインされた場合に、パスワードが変更されたら気づくことができるようになっています。

シングルサインオン（SSO）

SAML2.0によるシングルサインオンに対応しています。また、通常のID・パスワードによるログインを無効にし、シングルサインオンのみ有効にすることも可能です。

セキュリティー割引

ログインのセキュリティーを強化する設定を有効にしている場合、月額利用料を5%OFFにする「セキュリティー割引」を行っています。詳しくは「セキュリティー割引」のヘルプをご覧ください。

第三者によるセキュリティーチェック

弊社では、認証の取得・運用にかかる分のリソースを最新のセキュリティー動向に即した対策に向けるため、PマークやISMS等の認証は取得していませんが、銀行とのAPI連携機能の提供にあたって、電子決済等代行業の登録を完了しており、この際の審査として、金融庁・関東財務局・三井住友銀行から、システム面・運用面において詳細なセキュリティーチェックを受けています。

連携企業・サービス

一部の機能は外部の企業・サービスと連携して提供しています。これら連携先の企業・サービスにおけるセキュリティー対策について紹介します。

決済代行

クレジットカードの決済は、PAY.JPを利用しています。

PAY.JPは、クレジットカード情報漏洩防止の国際セキュリティー標準であるPCI DSSに準拠しており、安全にクレジットカード情報が管理されています。また、クレジットカード情報は、boardのサーバーを経由せずに直接PAY.JPに送信され、弊社でも見ることができないようになっていますので、ご安心ください。