2025年3月
- サーバーおよび設備
- 本システムは、Amazon Web Service(以下AWS)上で稼働しています。
- データセンター
- ・ AWS上で稼働し、Amazon社の管理の元、24時間365日監視体制のデータセンターで運用しています。
- ・ データセンターの所在については、Amazon社の方針でセキュリティ上の観点から非公開です。
- OS
- ・Applicatioが動作するサーバーOSは、Linuxを使用しています。
- サーバーの台数及び構成
- ・データセンター・WEBサーバーなど2重化を行なっています。(マルチAZ環境)
- ・ なお詳細は、セキュリティ上の理由により非公表です。
- セキュリティ(物理)
- ・サーバーなど物理環境は、Amazon社にて厳重なセキュリティで管理されています。
- ・詳細は、Amazon社が公開しているホワイトペーパーを参照ください。
- セキュリティ(アプリケーション)
- 以下のようなアプリケーション・セキュリティを実施しています。
- ・ SSLによる通信の暗号化
伝送データについてはすべてSSLを利用し、Webブラウザ・サーバ間の通信を暗号化することで送受信データの盗聴・改竄を防ぐ対策を - 行っています。
- ・攻撃対策(SQLインジェクション・XSS・DDoS等)
- アプリケーションへの一般的な攻撃である SQLインジェクションやXSS、DDoS攻撃など防ぐ対策を取っています。
- ・セキュリティパッチの適用
- セキュリティ問題に対応したサーバソフトウェアを更新し、安全な状態を確保しています。自動や手動で対応しています。
- ・脆弱性診断
- 外部の脆弱性診断を受けてチェックしています。
- ・強固なパスワードポリシー
- パスワードには次の文字を必要とします。
- 長さ8文字以上で、次のうち少なくとも3種類の文字:小文字(a-z)大文字(A-A)数字(0-9)特別文字(例 !@#$%^&*)。
- ・暗号化されたURL情報
- 従業員情報や評価シートの情報を操作する際のURLには、その特定するキーとしてUUIDを用いています。
- これによって、URLから情報を特定することを不可能にしています。
- ※UUIDとは
ユニバーサリー・ユニーク・アイデンティファイア、作成されたIDは世界中で重複することの限りなく低いIDの事です。 - ・ IPスプーフィング(なりすまし)対策
WEB/アプリケーションサーバーにて実施しています。
詳しくは「セキュリティ(物理)」の項にありますAmazon社が公開している「セキュリティプロセスの概要」を参照ください。
- データのバックアップと復旧・削除
- データバックアップに関しましては、以下のポリシーで運用を行なっています。
- ・データベース
- 1日1回(4時ごろ)、全ての企業様を対象としてデータベースのバックアップを行なっています。(最低35日分保持しています)。
- ・ アクセスログ
- 取得しています。取得後1年間保持していますが各企業様からの開示依頼についてはセキュリティ上の観点から非公開です。
- ・ アップロードファイル
- 本システムは、Amazon Web Serviceを利用し、AWS S3上で AWS S3のポリシーに従って管理しています。
- ・ 復旧
- 万一システムに障害が発生した場合は、上記バックアップからサービス復旧を行います。
- 各企業様からのバックアップデータから復旧する作業依頼に関しましては、ご利用されている全企業様が影響してしまうため
- 現在お受けすることができません。
- データの削除に関しまして、以下のポリシーで運用を行なっています。
- ・ 画面操作にて削除したデータについて
- 社員情報や各種マスタ、評価プロジェクト・評価シートなど画面内で削除を行なった場合、データが物理削除されます。
- よってデータを復旧させることはできません。
- なお、注意喚起として、削除する際に「削除しますか?」という警告を出しています。
- リリース内容およびメンテナンス、緊急連絡の周知
- Caterasに関する情報の周知に関しては以下のポリシーで運用しています。
- ・ 新機能のリリースに関する情報
- ユーザーサイトにてアナウンスします。
- ・ 緊急連絡
- コーポレートサイトおよびユーザーサイトにてアナウンスします。
以上