はじめに

Ziflowのミッションは、組織の大きさに関わらず全ての顧客に最高の、そして最も安全なオンライン校正システムを提供することです。我々自身もより速く、そしてより正確に大切な成果を届けるために、毎日Ziflowを使用しています。我々のデータ、そして顧客の仕事を保護するために、Ziflowの安全性が維持されていることを確実にすることが、我々の最優先事項です。

我々のセキュリティ施策は、以下のような、我々のビジネスのあらゆる側面をカバーしています：

• 認証
• Ziflowコーポレートセキュリティポリシー
• 物理的および環境的セキュリティポリシー
• 運用上のセキュリティ施策
• システム設計の拡張性と信頼性
• 第三者セキュリティエキスパートとの協業
• Ziflow内のアクセス制御
• システム開発およびメンテナンス
• サービス開発およびメンテナンス

認証

Ziflowは認定監査組織からSOC 2認証を受けています。SOC 2は、セキュリティ、可用性、処理の完全性、機密保持、そしてプライバシーという5つの「Trustサービス原則」に基づいて、顧客データの管理基準を定めています。セキュリティを重視するビジネスにとって、SOC 2への準拠はSaaSプロバイダを選定する際の絶対条件になっています。

コーポレートセキュリティポリシーおよび手続き

Ziflowの全従業員は、我々のデータ機密保持ポリシーの条項に同意するデータアクセスポリシーに署名しています。データ機密保持ポリシーについては、Ziflow.com/terms-of serviceとZiflow.com/privacy-policyを参照してください。アクセス権は従業員の職務と担当に基づいており、改善のために定期的に見直されます。

ソフトウェア開発サイクルにおけるセキュリティ

Ziflowのコードベースに加えられる全ての変更は、手動検証の他に、一連の自動テストでも検証されます。自動テストシステムを通過したら、コードの変更はまずステージングサーバーに反映され、最終的に本番サーバーにリリースされ顧客が利用可能になる前に、Ziflowのエンジニアがさらにテストします。また、特に神経を使う変更や機能については、個別にセキュリティの確認を行います。Ziflowのエンジニアには、問題のあるアップデートに対処してソフトウェアパッチを本番サーバーに即座に適用する能力もあります。

アクセス制御に関する変更が全て公開されたことを示すリストに加えて、我々はアクセス制御ルールが正しく設定され、予想通り実行されているかをチェックする自動テストシステムも持っています。

コードレビュー

Ziflowで開発されたものは全て、セキュリティ、パフォーマンス、そして会社の原則やミッションに沿っているかという点を確認するため、プロダクトチームの同僚にレビューされます。

OWASP準拠

OWASP（The Open Web Application Security Project）は、ウェブアプリケーションセキュリティの分野で無料の記事、方法論、ドキュメント、ツール、そして技術を作成するオンラインコミュニティです。2001年に非営利組織として設立され、幅広い出版物に貢献してきました。

ZiflowはOWASPの適切な推薦を喜んで受け入れ、これに応えるために、エンジニアチームがリリースの度にこれらの重大な脆弱性についてのテストを行い、製品の安全性を確認しています。

インフラとデータセンターセキュリティ

データセンター

ZiflowはAmazonウェブサービスをホスティングサービスとして使用します。Amazonは強固な物理的セキュリティプログラムを採用しており、SOC 1とSOC 2を含む複数の認証を獲得しています。Amazonの物理的セキュリティプログラムの詳細については、aws.amazon.com/securityを参照してください。

ネットワークセキュリティ

我々の製品用ネットワークは、社内向けサービスとは異なる公開されたサービスに分割されており、製品用ネットワークへのアクセスはVPNで管理されています。また、我々はオープンセキュリティグループのような安全ではない可能性があるネットワーク設定を監視・修正します。

侵入検出

ZiflowはAlert Logic社から提供されている最高クラスの侵入検出システムと脆弱性管理サービスを使用しています。Alert Logic社は、セキュリティ監視とコンプライアンスの分野におけるリーダーです。詳細については、https://www.alertlogic.com/solutions/network-intrusion-detection-system-ids/を参照してください。

データ暗号化

Ziflowは強力な暗号化を使用してデータを保護します。パスワードはbcryptを使用して常にソルトを付与してハッシュ化されており、平文で保管されることはありません。bcryptは定評のあるアルゴリズムで、パスワードを保管する最適な方法の1つと考えられています。

データは静的な状態でも動的な状態でも暗号化されます。全てのネットワーク通信は、最低でも128-bit AES暗号化を伴うTLSを使用して行われます。通信はTLS v1.2を使用し、AES_128_GCMで暗号化および認証されます。また、鍵交換方式としてはECDHE_RSAを使用します。詳細については、Qualys SSL Labs scored Ziflow’s TLS configuration A+ on their SSL Server test, and we regularly monitor this scoreを参照してください。

システム設計と拡張性

システム設計の拡張性/信頼性

Ziflowは最初から複数のレベルで冗長性を持つようにデザインされています。Ziflowはアプリケーションの提供とユーザーデータの管理にAmazonウェブサービスを使用します。Amazonウェブサービスにも優れた冗長性があり、個別のサーバーまたはディスクの問題から生じるリスクを軽減しています。

バックアップ施策

情報とデータが安全に、そして頻繁にバックアップされること、そしてそれらができるだけ適切なタイミングで効率的に復元されることを確実にするために、Ziflowはその方法を入念に検討しました。

データベースインスタンスと顧客のファイルは複製され同期されているため、我々は障害から素早く復旧できます。また、追加の予防措置として、我々はデータベースのスナップショットを定期的に取得して、そのスナップショットと顧客のファイルを安全な方法で別のデータセンターに移動しています。それにより、もしAmazonに地理的な問題が発生したとしても、必要に応じてそれらを復元できます。

管理者の機能

• ユーザー管理 – 管理者は自分の画面でユーザー/ゲスト/メンバーのステータスを確認したり、ユーザーを削除したりすることができます。
• 認証 – Ziflowでは指定したユーザーの認証をGoogleアカウントを通して、またSAMLを設定して行うことができます。パスワードがZiflowに直接保存される場合、我々はそれをソルトを含むbcryptを使用して暗号化します。

ユーザーの機能

• プライバシー、閲覧、共有設定 – 管理者は誰がZiflowアプリケーション内のどこにアクセスできるかを決められます。Ziflowインスタンスへのアクセスは事前に定義されたユーザーの権限に基づいて行われます。レビューアーをゲストとして招待すると、彼らのアクセスを制限できます。

プライバシー

プライバシーポリシー

Ziflowに入力されたデータの取り扱いについては、https://www.ziflow.com/privacy-policyを参照してください。

可用性

我々は、あなたとあなたのチームがZiflowをいつも変わらず利用できるように努めます。我々のシステムには障害に耐えるための余裕があり、そのシステムはあなたの仕事が中断されないように常に監視されています。

注意

「セキュリティポリシー」に記載されている内容は、参考のために株式会社ソフトウェア・トゥーで英語版の文書を翻訳したものです。翻訳内容については基本的に英語版の文書に則していますが、内容に差異や表現による理解の違いなどがあった場合は、英語版の文書が優先されます。この翻訳内容について、株式会社ソフトウェア・トゥーでは何ら責任を負うことはできませんので、予めご了承ください。
なお、原文については、「原文はこちら」をクリックして表示される文書で内容をご確認ください。