あしたのクラウド運用ポリシー

 

2023年4月
サーバーおよび設備

  本システムは、Amazon Web Service(以下AWS)上で稼働しています。

データセンター
  ・ AWS上で稼働し、Amazon社の管理の元、24時間365日監視体制のデータセンターで運用しています。
  ・ データセンターの所在については、Amazon社の方針でセキュリティ上の観点から非公開です。

OS
  ・ Applicationサーバーには、Linuxを使用しています。

サーバーの台数及び構成
  ・ データセンター・WEBサーバーなど2重化を行なっています。(マルチAZ環境)
  ・ なお詳細は、セキュリティ上の理由により非公表です。

セキュリティ(物理)
  サーバーなど物理環境は、A「セキュリティプロセスの概要」を参照ください。
  ・ https://d1.awsstatic.com/whitepapers/ja_JPmazon社にて厳重なセキュリティで管理されています。
  ・ 詳細は、Amazon社が公開している/Security/AWS_Security_Whitepaper.pdf

以下抜粋

AWS のデータセンターは、外部からはそれとはわからないようになっています。ビ デオ監視カメラ、最新鋭の侵入検出システム、その他エレクトロニクスを使った手段を用いて、専門のセキュリティス タッフが、建物の入口とその周辺両方において、物理的アクセスを厳密に管理しています。権限を付与されたスタッフ が 2 要素認証を最低 2 回用いて、データセンターのフロアにアクセスします。すべての訪問者と契約業者は身分証明 書を提示して署名後に入場を許可され、権限を有するスタッフが常に付き添いを行います。
以下のようなセキュリティベストプラクティスに準拠しています。
SOC 1/SSAE 16/ISAE 3402(旧称 SAS70)、SOC 2、SOC 3、FISMA、DIACAP、FedRAMP、DoD CSM レベル 1~5、PCI DSS レベル 1、ISO 27001、ITAR、FIPS 140-2、MTCS レベル 3 、HIPAA、クラウドセキュリティアライアンス(CSA)、アメリカ映画協会(MPAA)

セキュリティ(アプリケーション)
  以下のようなアプリケーション・セキュリティを実施しています。
  ・ SSLによる通信の暗号化
   伝送データについてはすべてSSLを利用し、Webブラウザ・サーバ間の通信を暗号化することで送受信データの盗聴・改竄を防ぐ対策を行っています。
  ・ IPアドレスによるアクセス権限設定
   アプリケーションの機能として、IPアドレス制限をかけることができます。
  ・ ファイアーウォール
   WEBサイトへの一般的な攻撃である SQLインジェクションやXSS、DDoS攻撃など防ぐ対策を取っています。
  ・ セキュリティパッチの適応
   セキュリティ問題に対応したサーバソフトウェアを更新し、安全な状態を確保しています。自動や手動で対応しています。
  ・ 脆弱性診断
   外部の脆弱性診断を受けてチェックしています。
  ・ 強固なパスワードポリシー
   企業ごとにユーザーのログインパスワードの登録ルールを設定できます。
   必須条件として英数字、大文字小文字、文字列の最低値の選択・設定が可能です。
  ・ 暗号化されたURL情報
   社員情報や評価シートの情報を操作する際のURLには、その特定するキーとしてUUIDを用いています。
   これによって、URLから情報を特定すること不可能にしています。

  ※UUIDとは
   ユニバーサリー・ユニーク・アイデンティファイア、作成されたIDは世界中で重複することの限りなく低いIDの事です。

  ・ IPスプーフィング(なりすまし)対策
   WEB/アプリケーションサーバーにて実施しています。
   詳しくは「セキュリティ(物理)」の項にありますAmazon社が公開している「セキュリティプロセスの概要」を参照ください。

データのバックアップと復旧・削除
  データバックアップに関しましては、以下のポリシーで運用を行なっています。
  ・ データベース
   1日1回(4時ごろ)、全ての企業様を対象としてデータベースのバックアップを行なっています。(最低14日分保持しています)。
  ・ アクセスログ
   取得しています。取得後1年間保持していますが各企業様からの開示依頼についてはセキュリティ上の観点から非公開です。
  ・ アップロードファイル
   本システムは、Amazon Web Serviceを利用し、AWS S3上で AWS S3のポリシーに従って管理しています。
  ・ 復旧
   万一システムに障害が発生した場合は、上記バックアップからサービス復旧を行います。
   各企業様からのバックアップデータから復旧する作業依頼に関しましては、ご利用されている全企業様が影響してしまうため現在お受けすることができません。

データの削除に関しまして、以下のポリシーで運用を行なっています。
  ・ 画面操作にて削除したデータについて
   社員情報や各種マスタ、評価シートテンプレート・評価シートなど画面内で削除を行なった場合、データが物理削除されます。

   よってデータを復旧させることはできません。
   なお、注意喚起として、削除する際に「削除しますか?」という警告を出しています。

リリース内容およびメンテナンス、緊急連絡の周知
  あしたのクラウドに関する情報の周知に関しては以下のポリシーで運用しています。
  ・ 新機能のリリースに関する情報
   コーポレートサイトおよびユーザーサイトにてアナウンスします。
  ・ 機能リリースおよびメンテナンスに伴うサーバー停止
   あしたのクラウド内、ユーザーサイト内にてお知らせを掲示して通知します。
  ・ 緊急連絡
   コーポレートサイトおよびユーザーサイトにてアナウンスします。

以上