情報セキュリティポリシーとプロセスは、弊社の情報セキュリティプログラムの根幹を形成します。 Galvanize のセキュリティポリシーは、組織の方向性と方針を設定、情報セキュリティのための役割と責任を割り当て委任し、統制目標を確立して、従業員、ビジネスパートナー、お客様を含むすべての構成員へのコミットメントおよび説明責任を示します。
弊社のソリューションは、以下に関する運用およびセキュリティ上の様々なポリシー、基準、手順に基づいています。
Galvanize 側では、全体的なアプリケーションのインフラストラクチャを管理します。一方、お客様側では、エンドユーザーのセキュリティと個々のシステムへのアクセス制御を管理していただきます。 これは責任分担モデルと呼ばれ、以下で構成されています。
お客様は、自身のデータを安全に保管する責任だけでなく、適用される規制法およびプライバシー法に準拠する責任を負います。 お客様は、ユーザーのアクセス制御を完全に管理するとともに、ユーザーデータのライフサイクル全体も管理します。ライフサイクルの管理では、システムに保持するデータとその保持期間、削除するデータ、データへのアクセスを許可するユーザーを決定します。
弊社では、Amazon が提供する物理およびハードウェア上のセキュリティに加えて、お客様データの機密性、整合性、可用性が弊社の求める高い水準と、お客様の厳格な要件を満たすことを保証する、堅牢な情報セキュリティ環境もご用意しております。
Amazon は、データストレージおよびコンピューティングの分野で世界最大のベンダーであり、HighBond サービスとお客様データのホスティングを実施するための物理的な施設、サーバーハードウェア、ネットワークの物理的インフラストラクチャ、および関連サービスに対する責任を負っています。
弊社の本社ビルは、他社と共有された物理的施設内にあります。 ビルの入り口は業務時間外は施錠されているだけでなく、警備サービスによって警備されています。 人がよく通る場所や機密性の高い場所には、防犯カメラが見えるように設置されています。
Galvanize のドアを開けて中に入るにはIDカードが必要です。 すべての従業員、請負業者、訪問者は、常に胸の前にIDカードを着用している必要があります。 すべてのドアには警報装置が取り付けられているため、請負業者による入室で不審な点が検出されると、請負業者に警報が発されるだけでなく、警察にも警報が送られます。 物理的な入退室管理は四半期ごとに監査されますが、お客様データは弊社の施設には保管されません。
弊社の内部管理には最小権限の原則を用いています。 管理アクセス許可が必要な従業員に対する管理権限は、チケット発行システムを通じて要求される必要があります。 この要求が行われてアクセス許可を付与されるには、上級管理職の承認が必要です。
すべてのアプリケーションへの管理アクセスは、従業員に対し、ユーザーの職責に基づいてのみ付与されます。 従業員の退社や、請負業者の契約終了時には、ただちにすべての運用システムおよび社内アプリケーションへのアクセス許可が削除されます。
四半期ごとに、Director of Information Technology(情報技術部部長)がChief Technology Officer(最高技術責任者)および弊社の情報セキュリティ担当者とともに、アクセス権をレビューして、必要な変更およびそれに関連する承認について対応する責任を負っています。
弊社のお客様は、アカウントへのアクセスが必要な個々へのアクセスを制限するためのコントロールが必要です。 コントロールでは、システムにユーザーを登録する前に個人に対してアカウントへのアクセス許可を承認する必要があるほか、ユーザーのアクセス許可が不要になったりユーザーの認証資格情報などの機密情報が漏えいしたりした場合にユーザーのログイン資格情報を取り消す必要があります。
弊社のプラットフォームには、以下の機能など、システムへのエンドユーザーのアクセス許可を管理するお客様の業務を支援する機能が用意されています。
運用データベースは Amazon RDS にあります。 RDS では、標準のデータベースプロトコルインターフェイスを超えるデータベースサーバーへのアクセスは許可していません。
RDS データベースの作成および構成は、弊社の DevOps チームがコードによるインフラ構成管理と AWS 管理インターフェイスを使って行います。
弊社では、システム環境に影響するインシデントを迅速かつ効果的に管理する、信頼性に優れたインシデント対応プランをご用意しております。 このプランは、データ漏洩に起因して発生する可能性がある損害を最小化するとともに、データ漏洩による影響を受ける関係者に適切に通知して、影響から身を守るための情報提供を行うことを目的として用意されています。
セキュリティインシデント対応チーム(Security Incident Response Team、SIRT)はセキュリティ調査への対応、管理、実施を担当します。 セキュリティ調査には、調査結果をレポートする方法、タイミング、レポート先の決定など、報告の全側面が含まれます。 特定されたセキュリティインシデントの改善は、影響を受けたアセットの組織上およびシステム上の所有者が引き続き担当します。
インシデントが発生すると、影響を受ける関係者に速やかに通知がなされます。
Galvanize における不正アクセスインシデント発生の際の対応ライフサイクルには、次の図に示す 4 つのフェーズがあります。 これらの各フェーズでは、問題への対応と、お客様と従業員に対する適切な通知および案内の提供のため、具体的なアクションが実行されます。
Galvanize では、インシデント対応の準備をするために次の主要ステップを実行してきました。
弊社は、疑いのあるまたは予期しない活動のあらゆるイベントおよびレポートを監視、調査し、社内のチケット発行システムでこれらをトラッキングします。
インシデントは、確認されると、分析が始まり、重要度を割り当てられ、チケットは適宜エスカレーションされます。
重要度とインシデントの種類に応じ、SIRT は、必要に応じてフォレンジックの専門家の関与を得て、情報を収集、分析し、インシデントの原因、影響度、種類、およびその他の関連情報を特定します。
インシデントの影響を抑え、さらなる損害の発生を防ぎ、また影響を受けたシステムを復元するために、SIRT は本フェーズで数多くの措置を講じます。
インシデントが解決したら、SIRT は次の活動を実施し、徹底して継続的な改善を行います。
アプリケーション開発プロセスの全フェーズにおいて、セキュリティは最優先事項です。
Galvanize では、セキュリティをソフトウェアに組み込んでいます。 セキュアなコーディングのベストプラクティスに厳格に従っています。 OWASP のトップ 10 の脆弱性を含む、アプリケーションレイヤーの一般的な脆弱性には、SDLC の全ステージにおいて、全てのユーザー入力の確実なサニタイズ、パラメーター化クエリの使用、セキュア ライブラリなど業界標準の対策を使って、確実な対応が行われています。
コードの変更はすべて管理、承認されており、運用環境にデプロイする前に厳格なコードレビューと QA(Quality Assurance、品質保証)テストを経る必要があります。
弊社では、ペアでのプログラミングおよびコードのレビューなど業界をリードする開発プラクティスと、セキュリティのためのコードの静的解析を含む自動テストを実行する継続的インテグレーションツールを使用しています。
手動テストと自動テストを可能にするために、複数のステージング環境が設定されています。 また、機能、バグ修正、高リスクの変更を環境に導入する場合に、構造的テストを行うための標準化された独立した QA 機能が設定されています。
アジャイル開発を行う会社として、弊社では、運用環境へのデプロイにより問題が発生した場合に備えて、変更をロールバックするプロセスおよびツールを保持しています。
プログラム管理は、弊社カナダ本社の DevOps チームが担当しています。 同グループは、サーバーの管理(プロビジョニング、バックアップ、OS の更新およびパッチ適用、ログ記録、ならびに監視)と、弊社開発チーム (R&D) によるすべての変更の運用環境への展開の管理を行い、変更管理プロセスが順守されていることを保証します。
DevOps と R&D は緊密に連携し、弊社ソフトウェアサービスの品質を保証しますが、責任範囲は分担しています。
弊社では、ソフトウェアライフサイクルの要件定義、設計、構築、 テスト、デプロイの各フェーズの職務が分離されるようにするための手順、統制、監視を行っています。
また、弊社では開発、テスト、運用のためにサードパーティ製の監視ツールを使ってランタイムエラーを検出するとともにパフォーマンスを監視しています。デプロイ時またはエラー発生時に複数の関係者に通知しています。
弊社のエンドポイントおよびデータのセキュリティおよび整合性を維持するため、R&D 環境にあるすべてのラップトップおよびワークステーションに対して、次のキーコントロールが行われています。
弊社では、ソースコード管理専用のソースコードリポジトリを管理しています。 このソースコードリポジトリは、ソースコードの完全なコピー(すべてのバージョン履歴を含む)です。
このソースコードリポジトリの冗長性により、ソースコードの消失によるシステム可用性リスクが大幅に低減します。 このリポジトリは定期的にバックアップされます。
Galvanize では、運用システムへの変更を統制、管理するためのポリシーおよび手続きを策定しています。
弊社では、開発環境、テスト環境、および運用環境を分離しています。 プログラムの変更はすべて、開発環境、継続的インテグレーション環境でテストされてから初めてステージング環境に正式に受け入れられ、その後で運用環境にデプロイされます。
デプロイシステムには、デプロイされた変更をロールバックする機能があるため、デプロイ後に問題が発生した場合でも、運用アプリケーションを迅速かつ効率的に安定した状態に戻すことができます。
緊急時の変更を行うには、標準的な変更要求と同じテストおよび承認プロセスを経る必要があります。 ただし、これらのプロセスは、運用環境の問題ができるだけすみやかに解決されるように、変更内容の運用環境への移行に遡って実行するとともに文書化することができます。
お客様が直面した技術トラブルは、サポートチケットを使って Galvanize カスタマーサービスにレポートしてください。
ご依頼を受けた担当者は、問題を直ちに解決するか、または適切な担当者にエスカレーションし、解決手順を書面化します。
また、顧客体験上の問題もアプリケーション レイヤーのエラーを通じて自動的に検出できます。 エラーがアプリケーションで発生すると、プログラムによる通知が行われ、自動的に電子メール通知が生成されます。 通知を受信したら、チケットを使ってエラーの解決をトラッキングできます。
Galvanize では、社内のセキュリティテストに加えて、サードパーティ製の独立した侵入テストも使用して、HighBondサービスにセキュリティ上の脆弱性がないかどうかをチェックしています。
これらのテストはソフトウェアセキュリティ専門の会社によって行われ、クロスサイトスクリプティング(Cross Site Scripting)、SQL インジェクション(SQL Injection)、セッションおよび Cookie 管理などの脆弱性が HighBond 環境にないかどうかを調査するために使用されます。
弊社では、セキュリティホールとなる脆弱性が重要度と影響度に基づいて速やかに解決されることを保証します。 秘密保持契約 (NDA) の締結を条件として、最新の侵入テストレポートのコピーを提供することができます。
弊社では、独立系サードパーティのセキュリティプロバイダーを使って、Web アプリケーションのスキャンおよび自動セキュリティテストを行っています。
脆弱性スキャンは、製品リリース前に、すべてのアプリケーションに対し、セキュリティ上の欠陥がないかどうかを調査するために行われます。
調査結果は直ちにエスカレートされ、速やかに解決されます。 高リスクの脆弱性が検出された場合は、その他すべての運用業務は直ちに中断され、脆弱性の解決が全社的最優先事項として判断されます。
セキュリティ管理対象エリア |
説明 |
---|---|
ポートの検出 |
運用ネットワーク全体から開いているポートを検出し、マッピングします。 |
ネットワークサービスの脆弱性スキャン |
ネットワークデバイスを検出、特定、監視し、不正なデバイスやサービスを検出します。 |
ネットワークでの検出 |
利用中の全てのポートのサービスを調査し、実行されているソフトウェアとその構成方法を脆弱性ナレッジベースで検索し、サービス固有のテストを起動します。 |
Web アプリケーションの脆弱性スキャン |
危険な可能性のあるモジュール、構成設定 、CGI、その他のスクリプト、およびデフォルトでインストールされたファイルなどがあるかどうか、すべての HTTP サービスおよび仮想ドメインをチェックします。 次に、Web サイトが、Flash が埋め込まれたリンクや、パスワード保護されたページを含めて深いレベルまでクロールされ、入力フォームなど危険な可能性のあるインタラクティブな要素を探します。 その後、コード表示、クロスサイトスクリプティング(Cross Site Scripting)、SQL インジェクション(SQL Injection)など、アプリケーションレベルの各種の脆弱性を探るための各種固有の方法で検査が実施されます。 |