セキュリティ」カテゴリーアーカイブ

tracpath と 秘密保持契約(Non-disclosure agreement、略称: NDA)について

企業間取引の場面で個人情報や営業情報など業務に関する情報を外部に開示しないことを約束する契約です。秘密保持契約と言われ、英語では「Non-Disclosure agreement」から略して「NDA」と言われます。
他にも、機密保持契約、守秘義務契約とも言います。

ref:秘密保持契約(Wikipedia)

当社は、tracpath:クラウド型バージョン管理、バグ管理サービスを提供しています。
特に法人のお客様からのお問い合せとして、「NDA締結することは可能か?」があります。

結論として、お客様と弊社の間でNDAを締結することは可能です。
NDA締結をご希望のお客様は弊社にお問い合わせください。書面のやりとりが発生するため締結まで1〜2週間の時間が必要となります。ご了承ください。

NDA(秘密保持契約)

NDA 締結までのフロー

  1. お客様または弊社からNDAの雛形を送付
  2. お客様のNDA雛形を利用する場合、内容の精査に1週間ほどお時間を頂きます
  3. 弊社のNDA雛形を利用する場合、お客様にて内容の精査をお願いします
  4. NDA書類の確認が終わりましたら、NDA書類を2通作成の上、お客様と弊社が署名・捺印をします
  5. お互いに1通ずつ保存します

NDA契約は tracpath のサービスを開発・運営している株式会社オープングルーヴと締結して頂きます。
書類のやりとりが発生するため締結までに少なくとも1,2週間の時間が必要となります。

tracpath サービスのエンタープライズ向けセキュリティ施策については「[2013年版] tracpath のセキュリティ対策をまとめてみた」をご覧下さい。

tracpath / サービスの内容 / セキュリティについて / 株式会社オープングルーヴについてのお問い合せはこちらよりお願いします。

Git / Subversion によるクラウド型バージョン管理サービス

tracpath のセキュリティ対策をまとめてみた

 

こんにちは、tracpath はエンタープライズ向けに Git / Subversion / Mercurial のソースコード管理サービスを提供しています。エンタープライズ向けに求められるデータの安全性とセキュリティ対策についてまとめました。tracpath を運営している株式会社オープングルーヴの取り組みについても説明します。
 

はじめに

利用者のデータを扱う上で tracpath が備えているセキュリティ機能と tracpath を運営するオープングルーヴの情報セキュリティ管理方針の基本になる2つがあります。
 

セキュリティ機能

 セキュリティ機能は tracpath がセキュリティ向上のために標準で備えているセキュリティ機能です。全てのプランの標準機能として提供しています。
 

1. SSLによる暗号化通信

 tracpathはインターネット上の通信データをすべて暗号化します。詳しくはこちら

2. IPアドレスの接続制限

 IP接続制限による、指定したグローバルIPからアクセスを許可することでセキュリティを向上させます。詳しくはこちら
 

3. アカウントのロックアウト

 アカウントのロックアウトは不正な操作、異常な操作(主にパスワードの試行)が行われたアカウントに対してアクセスを自動的に遮断します。詳しくはこちら
 

4. アカウントアクティビティ

 アカウントアクティビティとは tracpath に関する最近のアクセス状況が表示されます。 これは、あたなのアカウントによる tracpath へのアクセス状況を確認することで不正にアクセスされていないか、知らない場所からの不正なアクセスがないか、調べることができます。詳しくはこちら

利用者様が利用するセキュリティ対策の機能を説明しました。ブログではさらに詳しく解説していますのでセキュリティ記事を参照してください。
 

情報セキュリティ管理

 情報セキュリティ管理とはサービスを運営する当社社員に関係する利用者データの安全性を担保するために設けている決まりです。セキュリティ行動規範として常にアップデートし、インターネットに公開しています。

 

5. 当社のセキュリティ行動規範

 セキュリティ行動規範は「tracpath」を運営している株式会社オープングルーヴが社内のセキュリティ管理のために利用する文書です。 当サービスにおける情報セキュリティの取り組み状況について現状を通知するために公開しております。

 

6. セキュリティ管理方針

 tracpathのクラウドサービスは、エンタープライズ環境において求められる高いレベルの安全対策が施されたサービスとして設計しています。お客様の大切なソースコードや設計情報を守るために実施しているtracpathクラウドサービスのセキュリティ対策とセキュリティ管理について詳細を公開しています。

  1. 共通セキュリティ仕様
  2. 物理的なセキュリティ(Amazon EC2)
  3. セキュリティ管理
  4. データ冗長性
  5. ネットワークセキュリティ
  6. アカウント管理とセキュリティ
  7. 外部からの攻撃に対する対策
  8. データのセキュリティ

 

7. セキュリティに対するお願い

 tracpathが提供しているセキュリティ対策以外に利用者に守っていただきたいルールがあります。利用者のプロジェクトチームや会社で徹底することを期待しています。

  • プロジェクトに必要なくなったユーザアカウントが残っている場合、ロックするか削除してください。
  • チームメンバーに定期的にパスワードを更新するように注意喚起してください。(1~3ヶ月毎の更新がおすすめです)
  • 管理アカウントを利用すれば、すべてのアカウントをロックしたり、パスワードを強制的に変更することができます。厳密な管理をおすすめします。
  • パスワードの有効期限機能を活用してください。
  • 強いパスワードを作成するようにしてください。Microsoftが推奨する強いパスワードのページを参照してください。

 

さらに、エンタープライズ向けのサービス(セキュリティ編)

 主に大規模な開発プラットフォームとして、tracpath を利用するお客様に向けたサービスがあります。
tracpath Enterprise Planはお客様の要望に合わせたソリューションを提供しております。

例えば、自社のデータセンターとtracpathをVPNによるセキュアな環境を構築したり、開発チームのアクセスログ、統計情報を提供するサービスなど….

tracpath を社内の開発チームに導入することが可能です。
セキュリティに対するご質問・お問い合せはこちらからお問い合せ下さい。

[tracpath] 最近のアカウントアクティビティ機能が追加されました。

 

こんにちは、tracpath に新しい機能「前回のアカウントアクティビティ管理機能」が利用できるようになりました。
アカウントのアクティビティとは tracpath に関する最近のアクセス状況が表示されます。 これは、あたなのアカウントによる tracpath へのアクセス状況を確認することで不正にアクセスされていないか、知らない場所からの不正なアクセスがないか、調べることができます。

 

最近のアクセス履歴を確認するには

 

あなたのアカウントについて最近のログイン履歴を確認するには、tracpath にログイン後、グローバルメニューの「個人設定」>>「ログイン履歴」にアクセスします。 ログイン履歴には、直近24時間のログイン履歴とアクセスの種類(ユーザエージェント)、IPアドレス、時刻、認証結果が表示されます。

アカウントのアクティビティ機能

 

別のところからのログインがある場合

 
あなたのアカウントが別のところからアクセスがある場合、以下のようにアラートが表示されます。
他のセッションが見つかったからと言って、すぐに不正アクセスとはなりません。他のセッション情報が表示されている理由として、別のパソコンで tracpath にログインしていることが考えられます。会社から tracpath にアクセスしているときに、スマートフォンから tracpath にアクセスしている場合などが考えられます。

別の場所からのログイン

 

ログアウトしていないセッションが残っている場合

 
あなたのアカウントを利用してログイン後、ログアウトしていない場合は以下のように通知されます。
ログアウトしていない状態は、ブラウザの強制終了やネットワークの断絶などが考えられます。

ログアウトしていないセッションの確認

 

ユーザエージェントでログイン履歴を確認します。

 
ユーザエージェントは、tracpath にアクセスしたとき利用者がデータ取得に用いたソフトウェアまたはハードウェアを記録します。ユーザエージェント項目を定期的に調べることで、他の人による tracpath へのアクセスの有無とその時刻を知ることができます。 例えば、いつも利用するブラウザとは異なるブラウザ「Chrome」を利用していないにもかかわらず、Chrome のユーザエージェント情報が記録されている場合はアカウントの不正使用されている可能性があります。

Mac OS X 10.8.4 を利用して、Chrome からアクセス

 

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110 Safari/537.36

Subversion クライアントからアクセス

 

SVN/1.6.17 (r1128011) neon/0.29.6

アカウントの最近のアクティビティを活用することで安心してご利用することができます。

 

自分のアカウントが不正使用されている可能性があるとき

 
アカウントが不正使用されている可能性があるときはセキュリティ対策手順を実施してください。

 
 

ハードディスクの物理的な破壊と電子記録媒体破壊証明書

tracpath サービスはすべて Amazon のクラウドサービスを利用してそのメリットを享受しています。
が、開発環境や検証環境等、社内のすべてのハードウェアがなくなったわけではありません。どうしても手元で作業するために残さなければいけない機材があります。

サーバの入替のタイミングでハードウェアを仮想化・クラウド化に順次移行し処分しているのですが、すべてのサーバ機器をなくすためにはもうしばらく時間が掛かりそうです。このエントリーでは、当社が実施してる情報漏洩対策の一環をご紹介します。

ハードウェアの破棄は情報漏洩のリスクがあります。

このリスクとは、ハードウェアの記録媒体から情報を取得される、という点です。
企業の情報セキュリティを担当されている方も悩まれたことがあるのではないでしょうか。データ消去ソフトウェアを使って消去しても不安がある、処分方法が分からない、どこに依頼すれば良いか分からないなどの疑問があるかもしれません。

ハードディスク等の記録媒体のデータ消去作業はとても面倒ですが十分注意しなければ行けません。ハードディスクのデータ復旧サービスなど、特殊なツールや解析が可能なサービスを提供しているとおり、復旧できてしまう場合があるからです。

データ消去方法として

  1. データ消去ソフトを使って、無意味なデータで上書き
  2. 物理的に記録媒体を破壊

専門のサービスではこの2つの方法を実施することが多いようです。

当社が利用しているサービスの場合

  1. NSA(米国国家安全保障局)準拠方式にてデータを消去
  2. ハードディスクをプラッター部分、基盤部分、その他に分類し、物理的に破壊
    • CrushBox(日東造機)などのハードディスク破壊装置を使って筐体に穴を開ける破壊が主流ですが、利用しているサービスはプラッターの記録面が読み取れないくらいに破壊されています。
  3. 希望すれば)目の前で破壊を確認することができる
  4. 電子記録媒体機能破壊証明書の発行


このような方法で使わなくなったサーバ製品の記録媒体を処分しています。
数千円〜数万以内の価格で対応してもらえます。コストは掛かりますが確実な処分を行うことで安心します。

サーバ製品のハードディスクは破壊処理を行っていますが、メンバーが利用する開発端末(ノートパソコン)については、専用の消去ソフトウェアを使って無意味なデータで上書きする手法を使います。サーバ製品は外部の専門会社に依頼しますが、ノートパソコンは自分たちで実施しているからですが。。。

データ消去ソフトの実行はとても時間が掛かって手間ですが、データ漏洩したときのリスクを考えると必ずやらなければ行けない作業です。

IT事業者としてサービスを提供している当社の情報漏洩対策の一環をご紹介しました。

[QA] VPNサービスや固定IP付与サービスで取得したIPアドレスでIPフィルタ機能は利用できるか


サイクロンはセキュリティ強化サービスとして無料プラン含むすべてのプランで「IPフィルタ制限」を利用することができます。
このIPフィルタ制限とは、利用者の登録したサイト(https://xxxxxx.ciklone.com/)に特定のIPアドレスのみアクセス可能にすることができる機能です。

アクセスできる拠点をIP指定することで外部からのアクセスを防ぐことができます。 IP接続制限機能を有効にした場合、許可したIPアドレスを持つ拠点からのみアクセスが可能となるため、インターネットカフェ、モバイル端末、公衆無線LAN等からの接続が出来なくなります。

 

質問:VPNサービスや固定IP付与サービスで取得したIPアドレスでIPフィルタ機能は利用できますか

 

質問の回答

 
プロバイダーが提供するサービスに固定IPを割り当てるサービスや固定IPアドレスが提供されないプロバイダーでも固定IPアドレスが利用できるサービスなど、様々なネットワークサービスが提供されています。この固定IPサービスを利用することで

  • イーモバイル(emobile, pocket WiFi)やUQ WiMAXで固定IPが利用可能
  • au / Softbank / DoCoMo Xi の3G/4G通信、デザリングで固定IPが利用可能

ほぼすべての端末や環境に固定IPを割り当てるサービスもあり、利用方法によってはとても便利に活用することできます。

VPNサービスや固定IP付与サービスで取得したIPアドレスもサイクロンのIPフィルタとして利用可能です。VPNによる固定IP付与サービスを利用の場合、ユーザのアクセス元IPがサービス会社提供の固定IPになりますのでサイクロンのIPアドレス制限に許可IP
として登録することで利用可能です。

 

サイクロンのオンラインマニュアル

サイクロンのIP制限の利用方法

[QA] バックアップ対策を教えてください。

質問:バックアップ対策を教えてください。

ご利用者より頂いた質問は、サイクロンのデータ保護として実施しているバックアップ対策について教えてください。です。

回答

サイクロンがデータ保護対策として実施しているバックアップについて説明します。
サイクロンは AmazonEC2 クラウド上でサービスを提供しており、Amazon Web Service が提供しているストレージのスナップショット機能を利用して最大限利用者データ保護を実現しております。

このエントリーでは、利用者データの保護、バックアップの仕組みについて説明いたします。

バックアップには3種類の仕組みがあります。

  1. オペレーティングシステム全体のバックアップ(スナップショット)
  2. ユーザデータを保護するオンラインバックアップ
  3. 利用者によるデータバックアップ

サイクロンはこれらのバックアップを提供しています。
さらに、バックアップサイトを複数箇所用意することで何重にもデータ保護の仕組みがあります。

 

1. オペレーティングシステム(OS)全体のバックアップ

 

Amazon Web Service が提供しているOS全体をイメージデータとしてバックアップする仕組みであるスナップショット機能を利用します。
このスナップショットは6時間毎に1回実施され、約30日間のスナップショット履歴データを保持しています。
OSのデータを保護するためのバックアップとなります。

 

2. ユーザデータを保護するオンラインバックアップ

 

利用者データはデータベースに格納され、オンラインバックアップ(サービスを停止せずにデータベースのデータをバックアップする機能)しています。このオンラインバックアップは1日に3回実施され、約30日間のバックアップ履歴データを保持しています。

システムの障害やクラウドサービスの設備障害等、万一の事態に対する備えとして自動実行されているバックアップとなります。

 

3. 利用者によるデータバックアップ

 

利用者が好きなときにデータをバックアップし、利用者環境に保存することができる機能を提供しています。このバックアップはシステムが自動で行うバックアップ(1,2)と異なり、利用者自身が実施する必要があります。
また、利用者によるデータバックアップは再利用が可能なデータ形式となっており、サイクロンはもちろんサイクロン以外にも復元することが可能です。

 
以上のバックアップ対策により利用者データの保護に努めています。
サイクロンのバックアップは以上のようなサービスを提供しています。
ご質問等がありましたらお問い合せ下さい。

 
 

トラックパスのセキュリティ対策について

本記事は古い記事となります。
最新の記事「トラックパスのセキュリティ対策」をご確認ください。

こんにちは、トラックパスのブログをご覧いただきありがとうございます。
トラックパスは利用者の大切な資産であるソースコードや開発ドキュメントをお預かりしているためセキュリティ対策と内部のセキュリティ管理は厳格に運用しています。当社における情報セキュリティの取り組みについて現状を把握していただきたいと考えております。
お客様からの問い合わせで多いこともあり、トラックパスサービスのセキュリティ対策と開発チームのセキュリティ管理についてご説明します。

トラックパスは無料プランと有料プランを提供しています。以下のセキュリティ対策とセキュリティ管理はすべてのプランで適用されています。

 

共通セキュリティ仕様

トラックパスでは有料プラン、無料プランに関係なく高いセキュリティ対策済みのサービスを提供しています。

  • トラックパスのサービス提供サーバ、管理している全てのサーバに対して、ウィルスソフトウェアによる全体スキャンを実施(約3ヶ月毎)
  • 暗号化されたサーバアクセス、データ伝送方式(256ビットSSL証明書)
  • お客様のデータはストレージ暗号化により保護しています。(EBSボリュームの暗号化)
  • オンラインバックアップ(Online Backup)は1日に3回実施され、約30日間のバックアップ履歴データを保持しています。
  • バックアップファイルは存在期間の異なるディスクスペースにコールドバックアップされます。保存スペースのAmazon Elastic Block Store(EBS)サービスレベルは99.999%の可用性を維持します。
  • HTTPSプロトコル(SSL)によりWebのデータ転送(通信)を暗号化しています。
  • すべてのサーバ・ソフトウェアは最新のセキュリティ・パッチが適用されています。

物理的なセキュリティ対策

トラックパスはクラウドにてサービスを提供しているため、トラックパスとして物理的なリソースを持っていません。トラックパスは Amazon EC2 サービスを利用しています。(以下は Amazon Web Service についての情報となります。)
Amazon Web Services(AWS)のセキュリティとコンプライアンスについて説明します。さらに詳しく知りたい方は、AWSのウェブサイトこちらに詳しく説明があります。

Amazon Web Service の認証と認定

  • SOC 1/SSAE 16/ISAE 3402
  • FISMA Moderate
  • PCI DSS レベル 1
  • ISO 27001
  • 武器規制国際交渉規則へのコンプライアンス
  • FIPS 140-2
  • HIPAA

ネットワークセキュリティ

  • HTTPS(256bit SSL GlobalSigh?証明書)による暗号化されたデータ転送を提供しています。
  • IP制限、特定のIPアドレスとIPアドレス範囲を指定することで、ユーザに対するアクセス制限機能が利用可能です。
  • 公開されている全てのサイトはファイアウォール(Firewall)によりアクセス可能なポートが制限しています。

 

セキュリティ管理

トラックパスを開発・運営している株式会社オープングルーヴは独自にセキュリティに対する行動規範を設けています。

  • セキュリティポリシーを1年おきにチェックし、厳格に運用しています。
  • ユーザデータ・サーバへのアクセスは標準で制限されています。当社内のLANにアクセスするためにはユーザ認証機能により特定ユーザのみ許可されており、セキュリティ教育を受けた従業員だけが社内サーバにアクセスすることが可能です。
  • 許可された従業員のアクセスや操作はすべて監査ログとして3ヶ月保存されています。
  • トラックパスのプログラムはすべてソースコードレビューが実施されています。
  • 利用者のデータは、当社の秘密保持契約によって保護します。サービスに関わる従業員はすべて秘密保持契約の上で開発を行っています。

 

データ管理

  • 利用者にてアカウントの解除をブラウザ画面から実行して頂きます。アカウントを解除した時点で、すべてのプロジェクトとリポジトリを完全に削除します。この操作は元に戻すことが出来ません。
  • フリーアカウントを利用しているとき、継続して180日間ログインがない場合、アカウントは削除される場合があります。
  • 削除されたデータは、復元できない可能性があります。
    削除は物理削除のため、間違って削除したとき復元できない場合があります。

 

セキュリティに対するお願い

トラックパスが提供しているセキュリティ対策以外に利用ユーザに守っていただきたいルールがあります。利用者のプロジェクトチームや会社で徹底することを期待しています。

  • プロジェクトに必要なくなったユーザアカウントが残っている場合、ロックするか削除してください。
  • チームメンバーに定期的にパスワードを更新するように注意喚起してください。(1〜3ヶ月毎の更新がおすすめです)
  • 管理アカウントを利用すれば、すべてのアカウントをロックしたり、パスワードを強制的に変更することができます。厳密な管理をおすすめします。
  • パスワードの有効期限機能を活用してください。
  • 強いパスワードを作成するようにしてください。Microsoftが推奨する強いパスワードのページを参照してください。

 

トラックパスを利用される方に安心していただくためセキュリティ対策について簡単に説明させていただきました。

ご不明点やご質問がありましたらお気軽にお問い合わせください。