セキュリティについて
機微な個人情報を取り扱うsmartroundにとって、セキュリティは最優先事項です。
smartroundではサービスをお客様が安心してご利用いただけるよう、セキュリティの改善に継続的に取り組んでおります。
この記事ではその取り組みに関していくつかご紹介させていただきます。(2021/11時点での情報です)
常に暗号化された通信
smartroundに対する通信は常にSSL/TLSによって暗号化されており、悪意のある第三者によるデータの改ざんやなりすまし、通信内容の漏洩を防ぎます。
smartroundのサービスページだけでなく、smartroundの導入をご検討の方のためのサービス紹介用ランディングページにおいても、通信を常時暗号化しております。
データの保護
大切なお客様の情報を守るため、データベースのフルバックアップを日次で取得し、30日分を保管しております。
またファイルデータに関しても、誤って削除した際に任意のタイミングで復旧できるようになっております。
これらの対応により、プログラムのバグや社内の運用者の操作ミスによる意図せぬデータ変更・削除から復旧可能な状態になっております。
データの暗号化
サービス内で取り扱うユーザ入力データ・ファイルデータはストレージに書き込まれる際に全て暗号化しております。これによりデータセンター内でのディスク盗難・紛失時にデータの復号ができない状態となっております。
インフラ運用体制
smartroundのインフラにはAWSを利用しております。
(AWSは日本政府や大手金融機関も利用する実績を誇っております。)
AWS等のインフラにアクセスできる従業員は、必要最低限の人員のみに制限するポリシーで運用しております。以下は実際に行っている運用の一例となります。
- AWSの本番環境にアクセスできる人員は運用を担当するエンジニアにのみ限定。いずれも二段階認証を設定。
- AWSのルートアカウントは物理MFAキー無しにはログイン不可な設定。
またAWS内での不正操作の監視・検知も行っており、不審な操作があった場合は通知されるようになっております。AWS内での操作ログの保存も同時に行っているため、過去に遡っての操作ミス・不正操作の調査も可能となっております。
セキュリティ関連機能のリリース
IPアドレス制限機能をご利用いただくことで、smartroundへ接続するIPアドレスを制限できます。
(※ IPアドレス制限機能)
(※二段階認証機能はプロプランを契約いただいた方のみご利用可能です)
不正アクセスの監視
サービスで発生したエラーはリアルタイムで社内チャットに通知されるようになっており、社内のエンジニアが常時監視する体制となっております。
例えば「権限が無いデータへのアクセス試行を行った場合」など、不正アクセスがエラーとして検知されることで、不正アクセスを早期に検出・対応できる仕組みが整っております。
またログは一定期間保管されるため、過去のアクセスも調査・解析することが可能になっております。
脆弱性対応の方針
サービス開発に利用しているライブラリに関して脆弱性のアラートを受け取るサービスを利用しており、アラートに対しては3営業日中に対応する体制です。
また社内IT資産に関する脆弱性に関しても、JPCERT/CCのメーリングリストを購読し、重大な脆弱性に関しては社内に注意喚起を行っております。
社内管理体制
smartround社内においても、情報管理・運用体制面等で継続的なセキュリティ向上を行っております。
以下は一例となります。
- サービス・社内管理体制についてセキュリティ面での改善点を四半期毎にレビュー・トリアージ。
- 従業員は業務委託含め全員がGSuiteアカウントを利用(個人アカウントの利用を禁止)。また全員2段階認証必須。
- 社内システムの権限設定の見直し
- 「顧客情報の扱いについてのポリシー」など、各種セキュリティ関連ポリシーの設定・社内啓蒙