ポリシーおよび手順

情報セキュリティポリシーとプロセスは、弊社の情報セキュリティプログラムの根幹を形成します。 Galvanize のセキュリティポリシーは、組織の方向性と方針を設定、情報セキュリティのための役割と責任を割り当て委任し、統制目標を確立して、従業員、ビジネスパートナー、お客様を含むすべての構成員へのコミットメントおよび説明責任を示します。

弊社のソリューションは、以下に関する運用およびセキュリティ上の様々なポリシー、基準、手順に基づいています。

  • アクセス制御
  • 従業員のオンボーディングおよびオフボーディング
  • 情報分類
  • ログ記録と監視
  • 変更管理
  • セキュリティ保護された開発
  • 脆弱性管理
  • カスタマーサービス
  • 問題管理
  • インシデント対応
  • サードパーティ管理

責任分担モデル

Galvanize 側では、全体的なアプリケーションのインフラストラクチャを管理します。一方、お客様側では、エンドユーザーのセキュリティと個々のシステムへのアクセス制御を管理していただきます。 これは責任分担モデルと呼ばれ、以下で構成されています。

  • お客様の責任
  • Galvanize の責任
  • Amazon Web Service (AWS) の責任

責任分担モデル

お客様の責任

お客様は、自身のデータを安全に保管する責任だけでなく、適用される規制法およびプライバシー法に準拠する責任を負います。 お客様は、ユーザーのアクセス制御を完全に管理するとともに、ユーザーデータのライフサイクル全体も管理します。ライフサイクルの管理では、システムに保持するデータとその保持期間、削除するデータ、データへのアクセスを許可するユーザーを決定します。

Galvanize の責任

弊社では、Amazon が提供する物理およびハードウェア上のセキュリティに加えて、お客様データの機密性、整合性、可用性が弊社の求める高い水準と、お客様の厳格な要件を満たすことを保証する、堅牢な情報セキュリティ環境もご用意しております。

Amazon Web Services (AWS) の責任

Amazon は、データストレージおよびコンピューティングの分野で世界最大のベンダーであり、HighBond サービスとお客様データのホスティングを実施するための物理的な施設、サーバーハードウェア、ネットワークの物理的インフラストラクチャ、および関連サービスに対する責任を負っています。

物理的環境、システム環境へのアクセスに関連するセキュリティ

弊社の本社ビルは、他社と共有された物理的施設内にあります。 ビルの入り口は業務時間外は施錠されているだけでなく、警備サービスによって警備されています。 人がよく通る場所や機密性の高い場所には、防犯カメラが見えるように設置されています。

Galvanize のドアを開けて中に入るにはIDカードが必要です。 すべての従業員、請負業者、訪問者は、常に胸の前にIDカードを着用している必要があります。 すべてのドアには警報装置が取り付けられているため、請負業者による入室で不審な点が検出されると、請負業者に警報が発されるだけでなく、警察にも警報が送られます。 物理的な入退室管理は四半期ごとに監査されますが、お客様データは弊社の施設には保管されません。

論理的セキュリティ

弊社の内部管理には最小権限の原則を用いています。 管理アクセス許可が必要な従業員に対する管理権限は、チケット発行システムを通じて要求される必要があります。 この要求が行われてアクセス許可を付与されるには、上級管理職の承認が必要です。

すべてのアプリケーションへの管理アクセスは、従業員に対し、ユーザーの職責に基づいてのみ付与されます。 従業員の退社や、請負業者の契約終了時には、ただちにすべての運用システムおよび社内アプリケーションへのアクセス許可が削除されます。

四半期ごとに、Director of Information Technology(情報技術部部長)がChief Technology Officer(最高技術責任者)および弊社の情報セキュリティ担当者とともに、アクセス権をレビューして、必要な変更およびそれに関連する承認について対応する責任を負っています。

お客様環境へのアクセス

弊社のお客様は、アカウントへのアクセスが必要な個々へのアクセスを制限するためのコントロールが必要です。 コントロールでは、システムにユーザーを登録する前に個人に対してアカウントへのアクセス許可を承認する必要があるほか、ユーザーのアクセス許可が不要になったりユーザーの認証資格情報などの機密情報が漏えいしたりした場合にユーザーのログイン資格情報を取り消す必要があります。

弊社のプラットフォームには、以下の機能など、システムへのエンドユーザーのアクセス許可を管理するお客様の業務を支援する機能が用意されています。

  • 強度の高いパスワードの強制
  • パスワードの有効期限の設定
  • セッションのタイムアウトの設定
  • SAML 2.0 を介した SSO(シングルサインオン)の設定
  • ログインが複数回失敗した後のユーザー アカウントのロック
  • 簡単に実施可能なユーザーアカウントの削除および一時停止
  • アクセス可能なユーザー IP アドレスを具体的に識別
  • 活動追跡を使用したアクセスとシステム使用状況のログ取得

システムレイヤーへのユーザー アクセス

運用データベースは Amazon RDS にあります。 RDS では、標準のデータベースプロトコルインターフェイスを超えるデータベースサーバーへのアクセスは許可していません。

RDS データベースの作成および構成は、弊社の DevOps チームがコードによるインフラ構成管理と AWS 管理インターフェイスを使って行います。

インシデント管理

弊社では、システム環境に影響するインシデントを迅速かつ効果的に管理する、信頼性に優れたインシデント対応プランをご用意しております。 このプランは、データ漏洩に起因して発生する可能性がある損害を最小化するとともに、データ漏洩による影響を受ける関係者に適切に通知して、影響から身を守るための情報提供を行うことを目的として用意されています。

セキュリティインシデント対応チーム(Security Incident Response Team、SIRT)はセキュリティ調査への対応、管理、実施を担当します。 セキュリティ調査には、調査結果をレポートする方法、タイミング、レポート先の決定など、報告の全側面が含まれます。 特定されたセキュリティインシデントの改善は、影響を受けたアセットの組織上およびシステム上の所有者が引き続き担当します。

不正アクセスの通知

インシデントが発生すると、影響を受ける関係者に速やかに通知がなされます。

通知には以下が記載されます。

  • データ漏洩の種類と発生日など、インシデントの概要
  • 漏洩したデータの種類の一般的な記述(個人を特定できない範囲で)
  • 情報漏洩の調査と影響軽減対策に関する現状報告と、今後のインシデントの阻止に向けた改善計画。

インシデント管理ワークフロー

Galvanize における不正アクセスインシデント発生の際の対応ライフサイクルには、次の図に示す 4 つのフェーズがあります。 これらの各フェーズでは、問題への対応と、お客様と従業員に対する適切な通知および案内の提供のため、具体的なアクションが実行されます。

インシデント管理フェーズ

準備

Galvanize では、インシデント対応の準備をするために次の主要ステップを実行してきました。

  • セキュリティ ポリシーと手続きを策定 Galvanize は、ISO 27001/2 に基づき、セキュリティ ポリシー フレームワークを実装し、組織全体の最小セキュリティ要件、およびセキュリティ上の期待事項を定めます。
  • インシデント対応の役割および責任を設定 SIRT では、インシデントが発生したことの確認、必要に応じたアクションの実行、必要に応じた弊社 Senior Leadership Team(上級リーダーチーム)への問題のエスカレーションを行います。
  • 全チームから各領域の専門家を集めた SIRT を設置 - SIRT はコアメンバーを中心に、様々な業務グループ出身の補助メンバーを含む 全体SIRT(Virtual SIRT、VSIRT)を構成しています。 VSIRT のメンバーは、セキュリティインシデント窓口として正式に任命されている、各領域の専門家です。
  • 重要なシステムのセキュリティを評価 - 弊社では、事前に指定したアセットに対して定型的な脆弱性評価を実施し、組織全体で改善努力を推進しています。
  • 情報漏洩対応の際に該当する法的対応要件を調査 - 弊社では、調査中の支援を依頼する法執行機関や各種専門家等、関連する外部連絡先の一覧を管理しています。
  • 適切なトレーニングを定期的に実施 - SIRT メンバーは対応力や対応速度の向上のために、定期的なシミュレーションや訓練に参加し、特別なトレーニングを受け、業界に関する新着情報と動向をモニタリングしています。

検出と分析

弊社は、疑いのあるまたは予期しない活動のあらゆるイベントおよびレポートを監視、調査し、社内のチケット発行システムでこれらをトラッキングします。

インシデントは、確認されると、分析が始まり、重要度を割り当てられ、チケットは適宜エスカレーションされます。

重要度とインシデントの種類に応じ、SIRT は、必要に応じてフォレンジックの専門家の関与を得て、情報を収集、分析し、インシデントの原因、影響度、種類、およびその他の関連情報を特定します。

封じ込め処置および改善

インシデントの影響を抑え、さらなる損害の発生を防ぎ、また影響を受けたシステムを復元するために、SIRT は本フェーズで数多くの措置を講じます。

  • 短期的な封じ込め処置 - 攻撃/インシデントがこれ以上拡大しないよう食い止めます。
  • 証拠の保管 - 調査、反省、および/または告訴に使用できるデータを保管します。
  • 脅威の低減 - 影響を受けたシステムを一時的にオンラインに接続するために、脅威を低減します。
  • 改善 - 影響を受けたシステムを再び本番環境に移行する前に、そのセキュリティを確保します。
  • 回復 - 影響を受けたシステムを再び本番環境に移行した後で、そのシステムをテスト、検証、再導入、および厳密に監視します。

インシデント発生後の活動

インシデントが解決したら、SIRT は次の活動を実施し、徹底して継続的な改善を行います。

  • 継続的な監視 - 影響を受けたシステムを監視し、脅威が根絶され、再発しないよう徹底します。
  • 根本原因分析 - 問題の真の根本原因にしっかり焦点を当てた対応措置を実施します。
  • 反省点のレビュー - インシデント対応プロセスにおける改善領域を特定し、記録します。
  • インシデントをクローズ - 必ずすべてのドキュメントを完了してケースとともにパッケージ化し、インシデントのトラッキングケースをクローズします。

SSDLC(Secure Software Development Life Cycle、セキュア ソフトウェア開発ライフ サイクル)

アプリケーション開発プロセスの全フェーズにおいて、セキュリティは最優先事項です。

Galvanize では、セキュリティをソフトウェアに組み込んでいます。 セキュアなコーディングのベストプラクティスに厳格に従っています。 OWASP のトップ 10 の脆弱性を含む、アプリケーションレイヤーの一般的な脆弱性には、SDLC の全ステージにおいて、全てのユーザー入力の確実なサニタイズ、パラメーター化クエリの使用、セキュア ライブラリなど業界標準の対策を使って、確実な対応が行われています。

コードの変更はすべて管理、承認されており、運用環境にデプロイする前に厳格なコードレビューと QA(Quality Assurance、品質保証)テストを経る必要があります。

デプロイとテスト

弊社では、ペアでのプログラミングおよびコードのレビューなど業界をリードする開発プラクティスと、セキュリティのためのコードの静的解析を含む自動テストを実行する継続的インテグレーションツールを使用しています。

手動テストと自動テストを可能にするために、複数のステージング環境が設定されています。 また、機能、バグ修正、高リスクの変更を環境に導入する場合に、構造的テストを行うための標準化された独立した QA 機能が設定されています。

アジャイル開発を行う会社として、弊社では、運用環境へのデプロイにより問題が発生した場合に備えて、変更をロールバックするプロセスおよびツールを保持しています。

プログラム管理と DevOps

プログラム管理は、弊社カナダ本社の DevOps チームが担当しています。 同グループは、サーバーの管理(プロビジョニング、バックアップ、OS の更新およびパッチ適用、ログ記録、ならびに監視)と、弊社開発チーム (R&D) によるすべての変更の運用環境への展開の管理を行い、変更管理プロセスが順守されていることを保証します。

DevOps と R&D は緊密に連携し、弊社ソフトウェアサービスの品質を保証しますが、責任範囲は分担しています。

職務分掌

弊社では、ソフトウェアライフサイクルの要件定義、設計、構築、 テスト、デプロイの各フェーズの職務が分離されるようにするための手順、統制、監視を行っています。

また、弊社では開発、テスト、運用のためにサードパーティ製の監視ツールを使ってランタイムエラーを検出するとともにパフォーマンスを監視しています。デプロイ時またはエラー発生時に複数の関係者に通知しています。

ワークステーションおよびラップトップのセキュリティ管理

弊社のエンドポイントおよびデータのセキュリティおよび整合性を維持するため、R&D 環境にあるすべてのラップトップおよびワークステーションに対して、次のキーコントロールが行われています。

  • フルディスク暗号化
  • 権限が制限されたアカウント
  • 継続的に更新されるウイルスおよびマルウェア検出
  • 標準化されたパスワード認証要件
  • VPN アクセス
  • リモートバックアップ

アプリケーションコードリポジトリ

弊社では、ソースコード管理専用のソースコードリポジトリを管理しています。 このソースコードリポジトリは、ソースコードの完全なコピー(すべてのバージョン履歴を含む)です。

このソースコードリポジトリの冗長性により、ソースコードの消失によるシステム可用性リスクが大幅に低減します。 このリポジトリは定期的にバックアップされます。

変更管理

Galvanize では、運用システムへの変更を統制、管理するためのポリシーおよび手続きを策定しています。

弊社では、開発環境、テスト環境、および運用環境を分離しています。 プログラムの変更はすべて、開発環境、継続的インテグレーション環境でテストされてから初めてステージング環境に正式に受け入れられ、その後で運用環境にデプロイされます。

デプロイシステムには、デプロイされた変更をロールバックする機能があるため、デプロイ後に問題が発生した場合でも、運用アプリケーションを迅速かつ効率的に安定した状態に戻すことができます。

緊急時の変更管理

緊急時の変更を行うには、標準的な変更要求と同じテストおよび承認プロセスを経る必要があります。 ただし、これらのプロセスは、運用環境の問題ができるだけすみやかに解決されるように、変更内容の運用環境への移行に遡って実行するとともに文書化することができます。

技術トラブルへの対応

お客様が直面した技術トラブルは、サポートチケットを使って Galvanize カスタマーサービスにレポートしてください。

ご依頼を受けた担当者は、問題を直ちに解決するか、または適切な担当者にエスカレーションし、解決手順を書面化します。

また、顧客体験上の問題もアプリケーション レイヤーのエラーを通じて自動的に検出できます。 エラーがアプリケーションで発生すると、プログラムによる通知が行われ、自動的に電子メール通知が生成されます。 通知を受信したら、チケットを使ってエラーの解決をトラッキングできます。

侵入テスト

Galvanize では、社内のセキュリティテストに加えて、サードパーティ製の独立した侵入テストも使用して、HighBondサービスにセキュリティ上の脆弱性がないかどうかをチェックしています。

これらのテストはソフトウェアセキュリティ専門の会社によって行われ、クロスサイトスクリプティング(Cross Site Scripting)、SQL インジェクション(SQL Injection)、セッションおよび Cookie 管理などの脆弱性が HighBond 環境にないかどうかを調査するために使用されます。

弊社では、セキュリティホールとなる脆弱性が重要度と影響度に基づいて速やかに解決されることを保証します。 秘密保持契約 (NDA) の締結を条件として、最新の侵入テストレポートのコピーを提供することができます。

Web のスキャンおよびテスト

弊社では、独立系サードパーティのセキュリティプロバイダーを使って、Web アプリケーションのスキャンおよび自動セキュリティテストを行っています。

脆弱性スキャンは、製品リリース前に、すべてのアプリケーションに対し、セキュリティ上の欠陥がないかどうかを調査するために行われます。

調査結果は直ちにエスカレートされ、速やかに解決されます。 高リスクの脆弱性が検出された場合は、その他すべての運用業務は直ちに中断され、脆弱性の解決が全社的最優先事項として判断されます。

脆弱性についてテストするセキュリティ管理対象エリアの説明

セキュリティ管理対象エリア

説明

ポートの検出

運用ネットワーク全体から開いているポートを検出し、マッピングします。

ネットワークサービスの脆弱性スキャン

ネットワークデバイスを検出、特定、監視し、不正なデバイスやサービスを検出します。

ネットワークでの検出

利用中の全てのポートのサービスを調査し、実行されているソフトウェアとその構成方法を脆弱性ナレッジベースで検索し、サービス固有のテストを起動します。

Web アプリケーションの脆弱性スキャン

危険な可能性のあるモジュール、構成設定 、CGI、その他のスクリプト、およびデフォルトでインストールされたファイルなどがあるかどうか、すべての HTTP サービスおよび仮想ドメインをチェックします。

次に、Web サイトが、Flash が埋め込まれたリンクや、パスワード保護されたページを含めて深いレベルまでクロールされ、入力フォームなど危険な可能性のあるインタラクティブな要素を探します。

その後、コード表示、クロスサイトスクリプティング(Cross Site Scripting)、SQL インジェクション(SQL Injection)など、アプリケーションレベルの各種の脆弱性を探るための各種固有の方法で検査が実施されます。

サブスクリプションの終了

サブスクリプションの終了を選択した場合には、保持したいすべてのデータをコピーしたり抽出したりしていただけるように、システムへのアクセスが 30 日間延長されます。 お客様は、データの抽出後、システムに残っている任意またはすべてのデータを削除する権限および責任を持ちます。

書面でのご依頼により、Galvanize では抽出プロセス後にお客様のシステムおよびすべてのデータコンテンツを破棄します。 90 日経過後もお客様システムの書面での破棄依頼がなかった場合には、Galvanize ではお客様システムを破棄してシステムリソースを取り戻す権利を留保するものとします。