セキュリティポリシー

信頼性の高いデータセンター

 manaable はサービスを提供するデータセンターとして、アマゾン ウェブ サービス(以降、AWS)を利用しています。AWSは世界一のECサイトAmazonがもつデータセンター運用の設計、構築、運用のノウハウが詰まったサービスで、非常に高い信頼性とセキュリティを有しています。

 デジタル庁は日本政府の共通クラウド基盤「ガバメントクラウド」として、AWSを選びました。セキュリティや業務継続性など350の項目を満たしたことが選定理由となります。

 またAWS は、グローバル認証規格であるISO 27001 認証をはじめ、Payment Card Industry(PCI)データセキュリティ基準(DSS)のレベル1サービスプロバイダとして第三者機関より認定されています。AWS は、毎年 SOC1監査を受け、米国連邦政府システムの Moderate レベルおよび DoD システムの DIACAP Level 2 としての評価を獲得しています。いずれの認証も、特定のセキュリティ管理が目的どおりに実施、運用されていることが監査人によって検証されたことを意味しています。(AWS が取得している認証についての詳細はこちらから)

 manaable にあるデータ(利用者名、メールアドレス、研修受講履歴など)につきましては、日本国内のデータセンターに保管しています。

manaableの安心のデータ管理方法

 AWS上に構築している環境には、ファイアーウォールで弊社環境からのみアクセス出来るように制限しており、また、サーバーにアクセスする事ができるのは、システム運用担当のスタッフに限定しています。

 サーバーに保管されているデータには調査目的など、お客様から依頼があった場合のみアクセスを行います。その他、個人情報の扱いについてはプライバシーポリシーに従った運用をおこなっております。

 障害や人的ミスによるデータ損失に備え、manaableのデータは一日一回のフルバックアップを行い、世代管理を行っています。万一人的ミスなどでデータ損失が発生したとしても、過去4日間のバックアップ取得時点へのデータに復元できます。バックアップファイルはS3に保存されるため、バックアップが障害によって失われる確率はほぼゼロとなっています(※)。
 また、manaable を運営しているmanaable株式会社は、独立行政法人情報処理推進機構(以降、IPA)様のシステムも管理しており、十分な実績があると考えております。各国際基準の認証に準拠した情報セキュリティマネジメント体制を確立し、セキュリティ対策の徹底と意識向上に努めています。

※AWS が公開しているS3のストレージの耐久性は 99.999999999%

不正アクセス対策を実施

 悪意のある第三者がmanaable 上の不正にアクセス出来るということはあってはならないことです。manaable では、アプリケーションの脆弱性対策はもとより、様々な観点で不正なアクセスを防ぐ対策を講じています。

ネットワークセキュリティ対策詳細

基本方針

 非公表データの漏洩や改ざん、システムへの不正アクセスを防ぐため、サーバー等のソフトウェアバージョンは脆弱性のない安全な状態に保ちます。また、ネットワークの入り口にファイアウォールを設置し、サーバーにはWAFやアンチウィルスを設定し安全を保ちます。

通信の暗号化

 manaable では、閲覧者や管理者が接続するWebサイト(管理システム含む)への通信は常時SSLを導入し、暗号化することで、通信の盗み見やなりすましを防いでいます。管理機能への接続に関しては、SSLに加え、接続元のIPアドレスを制限し、特定のネットワーク環境からしか接続できないようにします。たとえば、会社からのみのアクセスに制限する事で、情報漏洩を防ぐ一助とすることが出来ます。
 SSL仕様については、IPAの公表するガイドラインに沿って、安全な方式を採用します。

障害対策を万全にしてご提供

 オンライン研修ツールとして、毎日、いつでも、使える事は基本的な事です。平常時の監視から、障害対応、計画停止の時まで、常に今 manaable を使いたいと考えている皆様の存在を意識しています。

監視対象

安定的にシステムが稼働するために、24時間365日監視を行います。また、各監視には閾値を設け、閾値を超えた場合には、manaable のシステム管理者へ自動的に通知します。

  • サーバー性能監視:CPU使用率、メモリ使用率
  • リソース監視:CPU、メモリ、HDD、ポート監視
  • ソフトウェア状態監視:ポート監視、プロセス監視
  • ネットワーク監視:トラフィック量、エラーパケット
  • ジョブ異常終了監視:ログ監視

自動復旧

リソースまたはプロセスの停止を検知した場合には、事前の設定により、停止したサービスの自動復旧を試みる仕組みとします。

公表・収集画面への自動通知

サーバーへhttpsでの接続ができなくなった場合にはメンテナンス画面を自動的に表示します。また、httpsでの接続はできても、データベースへの接続ができなくなった場合には、検索結果画面等、データベースから情報を表示している画面に、障害発生あるいはデータベースメンテナンス中のメッセージを自動的に表示します。

セキュリティチェックシートの提供

経済産業省による「クラウドサービスレベルのチェックリスト」、及びIPA(独立行政法人情報処理推進機構)による「安全なウェブサイトの作り方 改訂第7版」に準拠したセキュリティチェックシートを提供しています。manaable の導入検討にご活用ください。

なお、お客様独自のチェックリストへの回答をご希望の場合は、別途有料オプションを提供しております。

制定日 2021年4月1日
manaable株式会社
代表取締役 山田 宏樹

©️2021 ITRA Co., Ltd.