セキュリティ
当社及び当社サービスにおけるセキュリティ対策について記載します。ご不明点などございましたらお気軽にsales@onebox.tokyoまでご連絡いただけると幸いです。
システム構成
1.本サービスの利用イメージ・仕組みについてはこちらをご参照下さい。
2.サービスの提供で利用している外部サービスとして、Google Cloud (Firebase, Cloud Function など)やsendgridがあります。また、エラー監視のためにsentry、開発環境ではgithubを利用しています。
3.SaaSサービスのため、サーバーやネットワーク構成は、顧客ごとに論理的な分離をしており、Googleクラウドが推奨するベストプラクティスに従って提供しています。
4.サーバーで対策されている物理的セキュリティー対策については公式ドキュメントp6-7をご確認下さい。
データについて
1.データは全てGoogleが提供するクラウドサーバー上に暗号化された状態で保管されています。日時でバックアップを行なっており、一定期間が過ぎるとバックアップを削除する運用としています。
2.サービスの利用が終了した時(解約時)は、データをサーバー上から完全削除します。必要に応じて、お客さまの方で一部データをダウンロードすることが可能です。
データへのアクセス(当社)
1.データは外部からアクセスできない仕組みで運用しています。お客様からの要請があった場合には、ビジネス及び開発責任者がアクセスする可能性がございます。
2.データへアクセスする場合は、使用している端末からインターネット経由でアクセスし、アクセス経路は暗号化されています。
3.データへのアクセスは、個別のアカウントごとに権限を管理しています。(アカウントを共有していません。)アカウントIDやパスワードに加え、認証アプリを利用した二要素認証を使用しています。
4.データへアクセスする際は、IDやパスワードの入力時に一定回数間違えた場合は、一定期間ロックされるようになっており、推測しやすいパスワードは禁止するなどパスワードポリシーをもっています。
yaritoriへのアクセス(お客様)
1.yaritoriへアクセスする場合は、お使いの端末からインターネット経由でweb画面にアクセスします。アクセス経路は暗号化されています。
2.yaritoriへアクセスする際の認証方法は、IDとパスワードによる認証及び、SMSによる2段階認証があります。IPアドレスによるアクセス制限も可能です。
3.yaritoriアカウントのパスワードポリシーは、お客様のセキュリティルールに則ります。パスワードの設定では6文字以上の入力が必須となります。
サーバーについて
1.クラウドセキュリティ設定は、Googleクラウドが推奨するベストプラクティスに従って提供しています。アプリケーションレイヤーのセキュリティは、リリースのタイミングなどで適宜アップデートしています。
2.サーバーの監視や障害検知については、GCPとは別の外形監視の仕組みを使っています。
3.GCPやFirebaseのログについては、IPアドレスを含むアクセスログを取得しています。お問い合わせをいただいた際には、必要に応じてセキュリティインシデントのサポートをさせていただいております。
4.GCPやFirebaseの取得したログについては、最低1年間は保持する形で運用しております。
5.顧客データはすべて日本国(東京)のサーバに保管されます。
サービスの安定性・信頼性
1.Google社の提供するサーバで、 オートスケールを利用した設計となっているため安定してサービスを提供出来ます。
2.稼働率は99.9%で、これまで全社的にサービスが停止するレベルでの障害は発生したことはございません。
3.計画的にサービスを停止する場合は、1週間以上前にお客さまへ周知いたします。
4.障害が発生した場合は、速やかに全ユーザーへ通知及びメール配信を行います。
5.状況により異なりますが、テキストメインのサービスのためネットワーク負荷は大きくありません。
Web脆弱性対策
1.OWASP資料に準拠した標準設計マニュアルを整備し、教育しています。
2.SSLサーバー証明書は、Googleが提供しているSSLサーバー証明書を利用しています。
3.Githubのdependabotを使用した診断・チェックを実施しています。
端末について
1.使用端末は、Windows DefenderやファイアウォールMac PCの「ファイアウォール」の使用を推奨していますが、開発環境への影響もあるため使用は任意としています。
2.使用端末には、ウイルス対策ソフトを導入し、定期的に検索、パターン更新をしています。また、OSやソフトウェア、ウイルス対策ソフトウェアのアップデートを実施しています。
3.業務で外部記憶媒体(USBメモリ、SDカード、ポータブルHDD)などは利用を禁止しています。
情報セキュリティ管理体制
1.社内に情報セキュリティ担当者を決めています。
2.社内に文書化された情報セキュリティーポリシーやルール、ガイドラインなどを用意し、従業員に対して、情報セキュリティ教育を実施しています。
3.情報セキュリティ事件・事故が発生した場合は、サービス・サービスサイト・メールマガジン・SNSなどを通じて全体への周知を行います。
業務委託先への対応
1.弊社が他社に業務を委託する場合は、委託先と秘密保持や情報の取り扱い、セキュリティ事故対応、再委託などのセキュリティに関する内容が含まれた契約を交わしています。
2.弊社が他社に業務を委託する場合は、委託先や再委託先に、弊社と同等のセキュリティ管理・対策の実施を求め、状況の確認を行っています。