アプリケーションセキュリティ
-
- 稼動状態の監視・モニタリングについて
-
当サービスでは、下記の監視・モニタリングを実施しています。
- ・死活監視(アプリケーションが稼働しているか)
- ・レスポンス時間監視(アプリケーションの表示に、意図しない待ち時間が発生しないか)
- ・エラーレート監視(アプリケーションの動作が正常であるか)
- ・キャパシティモニタリング(アプリケーションの長期的な動作状態の記録)
-
- 障害発生時の運用について
- 当サービスにて障害が発生した場合は、情報セキュリティ責任者に通知され、初動対応チームを編成して対処します。
-
- ウィルス対策について
-
当サービスでは、外部からアップロードされたファイルに対して、シグネチャベースのアンチウィルスソフトでウィルス監視を実施しています。
また、アンチウィルスソフトのパターンファイルは定期的に更新をチェックし、即時反映しています。
-
- 第三者による脆弱性診断について
- 当サービスでは、第三者による脆弱性診断を2年に1回以上実施しています。
-
- バックアップについて
-
当サービスの利用者からお預かりしたデータはバックアップデータを作成し、物理的に離れたデータセンターに暗号化されたネットワークを用いて転送・保存しています。
画像とメールのデータに関しては、データ保存先を複数のディスクに分散することで、冗長化を行っています。
-
- パスワードの保存について
- 当サービスへのログインに利用するパスワードは、電子政府推奨暗号リストにて推奨されているアルゴリズムでハッシュ化して保存しています。
ネットワークセキュリティ
-
- 不正侵入対策について
- 当サービスでは、WAF(Webアプリケーションファイアーウォール)を利用し、Webサーバーに到達する前に不正アクセスの検査を行い、アプリケーションを保護してます。
-
- 盗聴・改ざん対策について
- 当サービスでは、TLS通信を利用してデータを暗号化し、盗聴・改ざんを防いでいます。
安全な開発
-
- 個人情報の保護について
-
個人情報保護に関する組織体制は、GMOペパボ株式会社のプライバシーポリシーに基づいて運用しています。
個人情報の漏洩を発見、あるいはその恐れがある場合、漏洩した情報の内容に応じて適切な手段にて報告します。
当サービスの運用に関わる業務提携先を含むすべての従業員から、利用者情報を漏洩しないことを定めた機密保持誓約書などの署名を取得しています。加えて、利用者情報にアクセスできる従業員を制限しています。
-
- 個人情報の廃棄について
-
個人情報の廃棄・削除を行う場合には、溶解処理など、復元不可能な方法で実施しています。
委託業務の終了後は、不要となった個人情報(記憶媒体・紙・電子データ)が残存していないことを確認し、消去しています。
-
- 業務に使用する端末について
-
当サービスの運用業務に使用するすべての端末は、ウィルス対策ソフトの導入と、最新状態への即時更新、定期的なウイルススキャンを実施しています。
また、有害な動作をするインターネットサイトへのアクセスや、データのダウンロードを制限しています。
-
- セキュリティトレーニングについて
-
当サービスの運用に関わるすべての従業員は、情報セキュリティ研修を受講しています。
加えて、すべてのエンジニアは毎年1回セキュアコーディング研修に参加します。この研修では、インターネット上での攻撃によく用いられる方法や対策方法について学びます。
安全な利用
-
- 本人確認
- 当サービスでは、不正利用防止のための対策として、お申込時にSMSまたは架電による認証を行っています。管理者の身元と電話番号を紐付けることにより一定の担保を実現しています。
-
- アクセス制御
-
当サービスでは、ホームページ生成時に作成する管理者ユーザー以外にも、副管理者ユーザーを任意に作成することができます。
また、設定により副管理者ユーザーの使用ページを制限できるため、柔軟なホームページ運用が可能です。
-
- 決済情報
- 当サービスでは、クレジットカード情報の非保持・非通過化対応を実施済みです。
-
- 二要素認証
- 当サービスでは、ユーザーが記憶しているIDとパスワードによる認証に加えて、ユーザーが所有している電話番号による認証を設定することで、不正ログインのリスクを軽減する仕組みを実現しています。