編集用_DX Suite 2.0 セキュリティ仕様書_第1.1版

10  Download (0)

Full text

(1)

DX Suite 2.0 セキュリティ仕様書

2022年2月28日 第 1.1 版 AI inside 株式会社

本書の内容については、

無断転載・無断使用を固く禁じます。

(2)

目次

1.概要 3

2.ポリシーと外部認証 3

3.データ管理 4

(1)データ保護 4

(2)データ削除 4

4.不正アクセス対策 6

(1)通信の暗号化 6

(2)ファイアウォールの設置 7

(3)ウェブアプリケーションファイアウォール (WAF) の設置 7

(4)セッションハイジャック対策 7

(5)SQL インジェクション対策 7

(6)クリックジャッキング対策 8

(7)パラメータの処理 8

5.脆弱性対策 8

(1)不要なデーモンの排除・サービスエージェントの排除 8

(2)自動脆弱性スキャン 8

(3)セキュリティパッチの適用 8

(4)使用ミドルウェアバージョンの秘匿 8

6.サービス機能 9

7.監査 9

(3)

改版履歴

版数 発行日 変更内容

第1.0版 2021/9/28 初版

第1.1版 2022/2/28 脆弱性診断の実施日を追加

- 2 -

© AI inside Inc, All rights reserved.

(4)

1 .概要

 このドキュメントでは、DX Suite 2.0 (以下「本サービス」という)のセキュリティ仕様につい て説明をしています。

 AI inside (以下「弊社」という)では、お客さまに本サービスを安心してご利用いただくた めに、情報漏えいやサイバー攻撃からお客さまの情報を守れるよう、徹底した情報管理と セキュリティ対策を行っています。

2 .ポリシーと外部認証

  弊社では、お客さまの情報を保護するための取り組みを内部ポリシーとして厳格に定め 運用しており、客観的な視点でこれを評価するため、セキュリティ・プライバシーに関する国 際的な外部認証を取得・維持しています。

<取得済み認証>

認証名 認証番号 認証概要

ISMS (ISO27001)

ISA IS 0167 組織の情報資産を識別し、セキュリティ対策を

実施します。

https://inside.ai/security/

QMS (ISO9001)

ISA Q1047 品質を保つための管理対策を実施します。

プライバシー マーク

第17003344号 組織が取り扱う個人情報を特定し、個人情報の 保護対策を実施します。

https://inside.ai/privacypolicy/

(5)

3 .データ管理

 本サービスは個人情報などの重要情報へのアクセスは全て管理されており、必要な場合 にのみ必要最低限のアクセスが許可されます。

(1)データ保護

 本サービスはマルチテナントサービスであり、下記機能によりデータを論理的に分離して います。

● データベース内の組織キー

データベースへのアクセスは、下記設定により制限されています。

● ファイアウォールによる最小限のトラフィック許可

● データベースアクセス端末利用の適切なフロー策定

● 必要最低限の仮想環境コンソールアカウントの払い出し データの暗号化を行っています。

● データベースとの通信は暗号化通信を使用

● データベースディスク、自動バックアップ及びスナップショットは256ビットの高度 暗号化規格ガロアカウンターモード(AES-256-GCM)を使用して暗号化実施

● 読み取りページは256 ビットの高度暗号化規格 (AES-256)を使用して暗号化 を実施

● パスワードはソルト付きハッシュ値(単方向関数を使い元に戻せない形式)で保 持

  ※組織ごとで暗号化キーを変更することは行っていません。

バックアップ

● 1日1回スナップショット形式で自動バックアップを取得しています。

● 7世代まで保管しています。

● 分散型ストレージにて暗号化を行い保管しています。

※アクセスログ管理のデータベースは対象外です。

(2)データ削除

削除対象 データ保持期間

読取ユニット 45日間

※ユーザ操作により削除を行った場合は、保 持期間を待たず削除されます。

読取ページ 45日間

※ユーザ操作により削除を行った場合は、保 持期間を待たず削除されます。

- 4 -

© AI inside Inc, All rights reserved.

(6)

読取パーツ パーツとして保持はいたしません。

ただし学習データを除く

・プライバシーコントロールで設定

アクセスログ 3年間

 読取ユニット・読取ページ・読取パーツは、アップロードから45日後に物理削除されます。

 ※削除証明書の発行は行っていません。

(7)

4 .不正アクセス対策

 本サービスでは、不正アクセス対策として不正アクセスの検知、不正アクセスのブロック、

万が一不正アクセスされた場合の調査用にログを管理しています。

1) 監視

対策 内容

脅威検出 悪意のある操作や不正な動作を継続的にモニタリングす る脅威検出サービスを導入しています。アカウント侵害の 可能性を示す異常な API コールや不正なデプロイなど の悪意のあるアクティビティのモニタリングも実施してい ます。

侵入防御対策 脅威検出サービスで検出された IP アドレスをブロックし ています。

DDoS 対策 ウェブアプリケーションファイアウォール (WAF) と、分散

サービス妨害に対する保護サービスを導入しています。

ウェブサイトやアプリケーションを標的にした、最も一般的 で頻繁に発生するネットワークおよびトランスポートレイ ヤーの DDoS 攻撃を防御しています。

他、ファイアウォールや負荷分散などにより DDoS 攻撃 の対策を行っています。

2) ログ管理

対策 内容

ログ保管ポリシー システムログは3年間保管します。

※利用者の操作ログ(アクセスログ)も3年間保管していま す。

ロードバランサー アクセスログ

暗号化されたストレージに保管します。

担当者によるログ分析を実施しています。

作業ログ 担当者によるシステム作業ログを記録しています。

アクティビティログ API 使用状況のログや仮想サーバーマネジメントツール での行動履歴を記録しています。

(1)通信の暗号化

 外部との通信はSSLを使用し、平文での通信は行っておりません。

 お客様との通信はサーバ証明書を利用したHTTPS通信を行っており、不正ログインやな りすましを防止しています。

- 6 -

© AI inside Inc, All rights reserved.

(8)

 SSLはTLS 1.2を利用しており、送受信データを漏えいや改ざんから保護する機能を提 供しています。TLS1.3およびTLS1.2 未満のバージョンはサポートしていません。

 

(2)ファイアウォールの設置

(1) IP 制限

 外部とネットワーク接続しているのはサービス用エンドポイントのみです。

 その他の内部通信のみを行うリソースについては、インターネットゲートウェイとパブリッ ク IP アドレスの発行を行わず、制限されたプライベート IP アドレスからのみアクセス可能 な設定をしています。

(2) ポート制限

 顧客情報を送受信するサービス用プロトコルは HTTPS に限定しています。

 内部の通信については、不要なポートを全て閉じています。

(3)ウェブアプリケーションファイアウォール (WAF) の設置

 WAF をサービス用エンドポイントに導入し、ウェブアプリケーションの脆弱性を狙うサイ バー攻撃を防御します。定期的に最新の脅威情報を取り込んでおり、常に最新の脅威情 報に対応しています。

 下記攻撃の対策を実施しており、アプリケーション部分での対策と併用し、多重の対策を 行っています。

● SQL インジェクション

● クロスサイトスクリプティング

● 既知のエクスプロイト

 また、リクエストを分析し、ウェブアプリケーションに対するリスクとして特定された不適切 なクライアントをブロックします。

(4)セッションハイジャック対策

 HTTPS プロトコルを利用し通信を暗号化することに加えて、TLS 1.2 をサポートしてお り、TLS1.3およびTLS1.2 未満のプロトコルはサポートしません。

 電子証明書の発行会社から発行されたサーバー証明書を使用しています。

 Cookie のセキュア属性を強制しています。

 セッション ID はワンタイムのみの利用であり、セッション ID は URL に含めません。

(5)SQL インジェクション対策

 プリペアドステートメントを必須としています。

(6) クリックジャッキング対策

 X-Frame-Options を有効化しています。

(9)

(7) パラメータの処理

 パラメータに不正文字がないかどうか、パラメータの入力チェック処理を入れています。

 パラメータのエスケープ処理(サニタイジング処理)を入れており、悪意のあるユーザから のアクセス対策をしています。

5 .脆弱性対策

(1)不要なデーモンの排除・サービスエージェントの排除

 初期サービス構築時に不要なソフトウェアをインストールしない、不要なソフトウェアは起 動・常駐させない設定を実施しています。

(2)自動脆弱性スキャン

 開発段階から自動脆弱性スキャンを実施しています。潜在的な脆弱性を発見し、影響範 囲・深刻度を精査し排除をしています。

(3) セキュリティパッチの適用

 日々脆弱性情報データベースを確認し、影響範囲・深刻度を精査し必要に応じてセキュ リティパッチを適用しています。

(4) 使用ミドルウェアバージョンの秘匿

 エラーページや HTTP ヘッダに使用ミドルウェアのバージョンを表示させず、どのような サービスが稼働しているかを特定されないようにしています。不必要な情報を表示しないこ とで、攻撃対象となるリスクを減らしています。

- 8 -

© AI inside Inc, All rights reserved.

(10)

6 .サービス機能

1) 認可

 本サービスへのログイン前には、ログイン画面以外の情報は表示されません。ログイン 完了後、メイン画面や設定画面にアクセス可能になります。

2) 認証

 BASIC 認証は使用しておりません。

 アカウント情報、または API キーでログイン認証を行なっています。

3) 権限

 管理者アカウントと作業アカウントの2つのロールが設定できます。

 管理者アカウントとして、IDに全権限を付与したロールを紐づけることは可能ですが、権 限はアカウント単位で有効なものであるため、他社データの閲覧ができるような特権アカウ ントはございません。

4) ログ

 利用者のアクセスログを取得しています。適切な権限が付与されている利用者が本サー ビス画面上からアクセスログを照会できます。

 アクセスログは3年間保管しています。

5) アクセス制限

 本サービスへのアクセス元のIPアドレスを制限する機能を提供しています。適切な権限 が付与されている利用者にて、本サービスの画面上で設定が可能です。

※IPアドレス制限機能を利用した場合、価格表に基づく料金が発生します。

7 .監査

 以下の監査を実施しています。

1) 第三者機関による1年に1回の脆弱性診断

2) 内部機関による1年に4回の管理対象ログに対する内部監査  ※監査結果の公表は行っていません。

<脆弱性診断>

最新実施日 2021 年 12 月 09 日 ~ 2022 年 01 月 14 日

以上

Figure

Updating...

References

Related subjects :