ロゴスウェアでは、組織、技術、製品、サービスとしてのセキュリティ対策を推進しています。
LOGOSWARE Xeのクラウドサービスにおいても、
お客さまの情報を守るために組織のプロセス、実行、監視、改善の活動を実施していきます。
1 不正ログイン防止
LOGOSWARE Xeのログインパスワードは、アルファベットと記号の組み合わせ、アクセス時間の制限などを管理者によって設定できます。
パスワード保護
- 仮パスワードを発行し登録されたメールアドレスを受信できる人のみ本パスワードに変更できます。
- 本パスワードは、ハッシュ値のみデータベースに格納するため、漏洩することはありません。
- 本パスワードは、登録されたメールアドレスを受信できる人によって、常に新しいものに変更されます。
- 本パスワードを忘れた場合は、パスワードの変更(登録されたメールアドレスを受信できる人)となります。
パスワードポリシー設定
パスワードの文字数
パスワード文字数は最小で8文字です。255文字まで設定可能です。
パスワードの文字種組み合わせ
パスワードに使用できる文字は半角英数字、記号です。
パスワード誤入力のアカウントロック
パスワードを連続して誤入力した場合、アカウントにロックがかかります。
SSO(シングルサインオン)
グループウェアなど、他のシステムでアカウントを一元管理している場合は、そのアカウントによるログインが可能です。SAML方式に対応しています。
2 暗号化・不正アクセス監視
LOGOSWARE Xeのクラウド型サービスは、Webサーバーのアクセスログを解析し、不正な侵入や、データ漏洩などの監視を行っています。
通信の暗号化
LOGOSWARE Xeでは、通信はTLS1.2以上の暗号化通信を使用します。当社提供のドメインでの使用の場合は、証明書は当社で準備します。お客さまのドメインで運用する場合は、お客さまに証明書を準備していただきます。
データベースへのアクセス
データベースへの侵入を防止するために、以下の対策を講じています。
- データベースは暗号化しています。
- データベースは内部ネットワークからのアクセスに限定し、外部からのアクセスはできません。
アクセスログ監視
LOGOSWARE Xeでは、すべてのアクセスログを記録しています。
このアクセスログは、システム内での識別された個人の操作ではなく、利用者のPCからサービスサーバーへのアクセスを記録しています。このアクセスログに個人情報は一切含まれていません。
3 バックアップ・データの分散保管
LOGOSWARE Xeは、データ消失対策として毎日のバックアップ、データの分散保管を実施しています。
情報を保護するため、データベースのバックアップ・復旧を兼ね備えた運用を実施しています。
データベースのバックアップ
データベースは常にバックアップを取っています。バックアップは以下の条件で保管しています。
- バックアップは過去7日分保存しております。
- 復旧ポイントは過去7日の任意のタイミングで可能です。
データベースの復旧
データベースの復旧は、以下の手順で実施します。
※障害時を除くお客さま個別の問題(人的エラー等)の場合には、復旧対応はいたしかねます。
- 正常状態の復旧ポイントをご連絡します。
-
復旧作業日時をお客さまと当社で合意します。
- 復旧に要する時間(見込み作業時間をご案内します)は、システムの利用を停止してください。
- 復旧が完了しましたら、メールにてご連絡しますので、システムの利用を再開してください。
コンテンツ(教材)のバックアップ
コンテンツを格納したデータベースは毎日バックアップを取っています。
コンテンツ(教材)の復旧
コンテンツの復旧は、以下の手順で実施します。
※障害時を除くお客さま個別の問題(人的エラー等)の場合には、復旧対応はいたしかねます。
- 正常状態の復旧ポイントをご連絡します。
-
復旧ポイントをお客さまと当社で合意します。
- 正常状態の中で最新のデータに復旧します。
-
復旧作業日時をお客さまと当社で合意します。
- 復旧に要する時間(見込み作業時間をご案内します)は、システムの利用を停止してください。
- 復旧が完了しましたら、メールにてご連絡しますので、システムの利用を再開してください。
分散データ保管
LOGOSWARE Xeのサーバーを管理しているデータセンターは、日本国内に拠点を持っています。データを地理的に分散保管することで、自然災害も含めたシステム障害時のデータ損失リスクを低減しています。
4 脆弱性の対策
脆弱性対策として、脆弱性検査を適宜行い、組織としてのセキュリティ対策チームが構築された下記の運用を実施しています。
脆弱性と呼ばれる、コンピュータのオペレーティングシステム(OS)や、各種ソフトウェアにおけるセキュリティ上の欠陥を利用した不正アクセスの被害を防ぐため、ロゴスウェアでは以下のような取り組みを実施しています。
セキュリティインシデント対策チーム
ロゴスウェアには、セキュリティインシデントに対応する専門チームが構築されています。
インシデント発生時の検知、通知、対応、防止を行う専門集団です。
5 冗長性・負荷分散
LOGOSWARE Xeは、システムの諸機能をそれぞれ分担するサーバー群において、そのすべての機能についてサーバーを冗長化することを実施しています。一部のサーバーに障害が発生しても、サービスが停止しないように対策を実施しています。
冗長化構成
LOGOSWARE Xeはサーバーを冗長化しています。一部のサーバーに障害が発生しても、サービスが停止しないように対策しています。
負荷分散
サーバーに負荷がかかる場合は、サービスに影響が出る前にサーバーを追加するなどの対策を実施し、お客さまの利用に影響がないようにしています。
CDN(コンテンツデリバリーネットワーク)
動画などの大容量コンテンツの配信は、CDNを利用しています。CDNはコンテンツ配信に特化したサーバーで、利用者のアクセスに応じて自動的に配信サーバーが増加しますので、大人数のアクセス時も安定して視聴できます。
6 メンテナンス
世の中のセキュリティ動向に合わせ、毎月の定期メンテナンスに加えて、重大な問題や緊急性を要する事象が発生した場合には臨時メンテナンスを行う予定です。 ロゴスウェアでは以下のような取り組みを実施しています。
定期メンテナンス
- LOGOSWARE Xeは、事前に周知した日程(毎月1回)に従って、定期メンテナンスを実施します。
- 定期メンテナンスの内容、サービスの停止の有無はメールにてお知らせします。
臨時メンテナンス
LOGOSWARE Xeは、以下の事象が発生し、緊急性を要すると判断した場合、臨時メンテナンスを実施します。
- 重大な不具合が発見され、お客さまの利用に支障が生じる場合
- 重大なセキュリティホールが発見された場合
臨時メンテナンスの実施は、事前に周知しますが、セキュリティホールへの対策の場合は、その詳細を説明しない場合(対策前に公表すると攻撃リスクが高まるため)がありますのでご承知ください。
情報収集・最新のセキュリティパッチ
利用しているOS、ミドルウェアに関してセキュリティホールが発見された場合は、速やかに情報収集、リスクを評価し、対応します。
必要であれば臨時メンテナンスで対応します。
なお、毎月の定期メンテナンスでは、セキュリティパッチを適用します。
7 災害対策
LOGOSWARE Xeのサーバーを管理しているデータセンターは、金融機関のシステム構築や検査を行う際に、安全対策の指針として広く活用されている「金融機関等コンピュータシステムの安全対策基準」を満たしています。
- 環境的リスクに対する物理的保護を備え、ISO27002のベストプラクティスに準拠することが承認されています。
- 水道、電気、通信、インターネット接続すべてが冗長性を持つよう設計され、災害発生時の影響を最小限にしています。
- 停電の際は、施設全体へ無停電電源装置(UPS)がバックアップ電力を供給します。
8 障害検知・復旧対策
障害への対応として、障害検知・復旧対策への対応を実施しています。
復旧対策
LOGOSWARE Xeは、問題が起きた場合、システムが自動的に再起動して復旧する仕組みになっています。
自動障害検知
LOGOSWARE Xeのサーバーを管理しているデータセンターは、生存維持システムおよび機器に対して電気的、機械的、物理的にモニタリングしており、問題が発生した場合は即座に検知します。
今後のセキュリティ方針 Upcoming
LOGOSWARE Xeのクラウドサービスにおいても、ISMS認証の取得を予定しています。