本ページでは、DX Suite におけるセキュリティ対策について解説します。
この記事を読むことで、以下を確認することができます。
- 各種セキュリティ対策に関する概要
※詳細については「セキュリティチェックシートについて」もご参照ください。
はじめに
DX Suite は個人情報を扱うサービスであるため、当社では社内のセキュリティ体制整備を最優先事項としています。
具体的には、国際標準認証の取得、IT 統制の構築および運用、社内セキュリティポリシーの制定などを行い、セキュリティ対策の指針を規定しています。
また、手順化された厳格なルールに従って開発および運用を行うことで、標準化したサービスを安定的に提供しています。
なお、各手順書及び運用ルールは定期的に見直しを行い、最善な状態の維持に努めております。
セキュリティ
◼︎セキュリティパッチの適用
日々脆弱性情報データベースを確認し、影響範囲・深刻度を精査し、必要に応じてセキュリティパッチを適用しています。
関連記事:セキュリティパッチと各種診断について教えてください。
◼︎通信の暗号化
SSL通信TLS1.2/TLS1.3で暗号化をしています。
※TLS1.0/1.1は無効化しています。
◼︎不正アクセス対策
DX Suite では、不正アクセス対策として不正アクセスの検知、不正アクセスのブロック、万が一不正アクセスされた場合の調査用にログを管理しています。
関連記事:
不正アクセス対策について教えてください。
不正行動の対策を教えてください。
◼︎Webサーバ設定の対策
パラメータに不正文字がないか、不要なソフトウェアをインストールしないように設定しているのかなど、Webサーバ設定に関する様々な対策をしています。
関連記事:Webサーバ設定に関する対策について教えてください。
◼︎マルウェア対策
ウイルス対策ソフトウェアを導入しており、ウイルスパターンファイルの更新およびウイルススキャンを定期的に自動実行しています。
関連記事:マルウェア対策について教えてください。
◼︎フィッシングサイト対策
CSP(コンテンツセキュリティポリシー)によるXSS対策を行っています。
関連記事:悪意のある第三者によるなりすましサイト(フィッシングサイト)の対策について教えてください。
◼︎取得済み認証
| 認証名 | 認証番号 | 認証概要 |
|
ISMS (ISO27001) |
ISA IS 0167 |
組織の情報資産を識別し、セキュリティ対策を実施します。 |
|
ISMS (ISO27017) |
ISA ISC 0008 | クラウドサービスの提供及び利用に関する情報セキュリティ管理策を実施します。 https://inside.ai/security/ |
|
QMS (ISO9001) |
ISA Q1047 | 品質を保つための管理対策を実施します。 |
|
プライバシーマーク |
第17003344号 |
組織が取り扱う個人情報を特定し、個人情報の保護対策を実施します。 |
関連記事:第三者認証や、コンプライアンス体制を含めた組織体制について教えてください。
◼︎使用ミドルウェアバージョンの隠蔽
エラーページや HTTP ヘッダに使用ミドルウェアのバージョンを表示させず、どのようなサービスが稼働しているかを特定されないようにしています。不必要な情報を表示しないことで、攻撃対象となるリスクを減らしています。
関連記事:社外へ公開しているサーバーOS、ミドルウェアの種類・バージョンおよび脆弱性の確認状況を教えてください。
◼︎オプション機能
別途有償で下記IP制限サービス、VPN(IPsec)接続サービス、Direct Connect 接続サービス(50Mbps / 1Gbps)、Private Link 接続サービス、SSO 認証サービス(Single Sign On)等のオプション機能を提供しています。
関連記事:クラウド利用のセキュリティを高める方法はありますか?
ネットワーク管理
◼︎ウェブアプリケーションファイアウォール (WAF) の設置
WAF をサービス用エンドポイントに導入し、ウェブアプリケーションの脆弱性を狙うサイバー攻撃を防御します。定期的に最新の脅威情報を取り込んで対応しています。
関連記事:インターネットセキュリティ対策を実施していますか。
◼︎ファイアウォールの設置
セキュリティ確保のため、アプリケーションレイヤーでのIP制限とポート制限を行なっております。
関連記事:外部との通信について教えてください。
ID/パスワード管理
◼︎サービス利用者・サービス提供者のID/パスワード管理方法
IDの発行・変更・削除やパスワードポリシーなど、サービス利用者とサービス提供者の管理方法をそれぞれ明確に定めております。
関連記事:
データ管理
◼︎データセンターの運用管理
DX Suiteでアップロードしたデータは弊社利用のクラウドインフラサービスへ保存し、それ以外の場所への保存はしておりません。
◼︎データ保護
DX Suite はマルチテナントサービスですが、下記機能によりデータを論理的に分離しています。
- DX Suite ログイン URL の企業識別ドメイン
- データベース内の企業キー
関連記事:クラウドサービス内で他社とのネットワークとデータの隔離は行われていますか?
データベースへのアクセスは、下記設定により制限されています。
- アクセスには SSL を用いた暗号化通信を使用
- ファイアウォールによる最小限のトラフィック許可
- データベースアクセス端末利用の適切なフロー策定
- 必要最低限の仮想環境コンソールアカウントの払い出し
関連記事:データベースへのアクセス制御について教えてください。
データの暗号化を行っています。
- データベースディスクの暗号化をしています。
- パスワードはソルト付きハッシュ値(単方向関数を使い元に戻せない形式)で保持しています。
バックアップ
- 1日1回スナップショット形式で自動バックアップを取得しています。
- 9世代まで保管しています。
- 分散型ストレージにて暗号化を行い保管しています。
関連記事:バックアップ体制について教えてください。
◼︎データ削除
読取ユニット・読取ページ・読取パーツは、アップロードから45日後に物理削除されます。また、利用契約終了後は、全データが物理削除されます。
※削除証明書の発行は行っていません。
関連記事:データ保持期間について教えてください。
可用性
◼︎冗長化
システム障害の影響を最小限に抑えるために、様々な冗長化対策に取り組んでおります。
◼︎災害対策
弊社が使用しているクラウドインフラサービスに準拠しております。
関連記事:災害対策について教えてください。
信頼性
◼︎ログ管理
利用者のアクセスログを取得しています。適切な権限が付与されている利用者はDX Suite 画面上からアクセスログを照会できます。
※アクセスログは3年間保管しています。
関連記事:ログの種類、保管期間、改ざん防止策を教えてください。
その他
◼︎ウェブアプリケーションのセキュリティ実装
ウェブサイト全体の安全性を向上させるために、セッションハイジャック対策、SQL インジェクション対策、クリックジャッキング対策などのセキュリティ実装をしています。
関連資料:DX Suite セキュリティチェックシート専用ページ>『セキュリティチェックシート(情報処理推進機構版)』
◼︎監査
第三者機関による DX Suite の脆弱性診断を1年に1回実施しています。
関連記事:監査の取組体制について教えてください。