tracpath サービスはすべて Amazon のクラウドサービスを利用してそのメリットを享受しています。
が、開発環境や検証環境等、社内のすべてのハードウェアがなくなったわけではありません。どうしても手元で作業するために残さなければいけない機材があります。

サーバの入替のタイミングでハードウェアを仮想化・クラウド化に順次移行し処分しているのですが、すべてのサーバ機器をなくすためにはもうしばらく時間が掛かりそうです。このエントリーでは、当社が実施してる情報漏洩対策の一環をご紹介します。

ハードウェアの破棄は情報漏洩のリスクがあります。

このリスクとは、ハードウェアの記録媒体から情報を取得される、という点です。
企業の情報セキュリティを担当されている方も悩まれたことがあるのではないでしょうか。データ消去ソフトウェアを使って消去しても不安がある、処分方法が分からない、どこに依頼すれば良いか分からないなどの疑問があるかもしれません。

ハードディスク等の記録媒体のデータ消去作業はとても面倒ですが十分注意しなければ行けません。ハードディスクのデータ復旧サービスなど、特殊なツールや解析が可能なサービスを提供しているとおり、復旧できてしまう場合があるからです。

データ消去方法として

  1. データ消去ソフトを使って、無意味なデータで上書き
  2. 物理的に記録媒体を破壊

専門のサービスではこの2つの方法を実施することが多いようです。

当社が利用しているサービスの場合

  1. NSA(米国国家安全保障局)準拠方式にてデータを消去
  2. ハードディスクをプラッター部分、基盤部分、その他に分類し、物理的に破壊
    • CrushBox(日東造機)などのハードディスク破壊装置を使って筐体に穴を開ける破壊が主流ですが、利用しているサービスはプラッターの記録面が読み取れないくらいに破壊されています。
  3. 希望すれば)目の前で破壊を確認することができる
  4. 電子記録媒体機能破壊証明書の発行


このような方法で使わなくなったサーバ製品の記録媒体を処分しています。
数千円〜数万以内の価格で対応してもらえます。コストは掛かりますが確実な処分を行うことで安心します。

サーバ製品のハードディスクは破壊処理を行っていますが、メンバーが利用する開発端末(ノートパソコン)については、専用の消去ソフトウェアを使って無意味なデータで上書きする手法を使います。サーバ製品は外部の専門会社に依頼しますが、ノートパソコンは自分たちで実施しているからですが。。。

データ消去ソフトの実行はとても時間が掛かって手間ですが、データ漏洩したときのリスクを考えると必ずやらなければ行けない作業です。

IT事業者としてサービスを提供している当社の情報漏洩対策の一環をご紹介しました。


サイクロンはセキュリティ強化サービスとして無料プラン含むすべてのプランで「IPフィルタ制限」を利用することができます。
このIPフィルタ制限とは、利用者の登録したサイト(https://xxxxxx.ciklone.com/)に特定のIPアドレスのみアクセス可能にすることができる機能です。

アクセスできる拠点をIP指定することで外部からのアクセスを防ぐことができます。 IP接続制限機能を有効にした場合、許可したIPアドレスを持つ拠点からのみアクセスが可能となるため、インターネットカフェ、モバイル端末、公衆無線LAN等からの接続が出来なくなります。

 

質問:VPNサービスや固定IP付与サービスで取得したIPアドレスでIPフィルタ機能は利用できますか

 

質問の回答

 
プロバイダーが提供するサービスに固定IPを割り当てるサービスや固定IPアドレスが提供されないプロバイダーでも固定IPアドレスが利用できるサービスなど、様々なネットワークサービスが提供されています。この固定IPサービスを利用することで

  • イーモバイル(emobile, pocket WiFi)やUQ WiMAXで固定IPが利用可能
  • au / Softbank / DoCoMo Xi の3G/4G通信、デザリングで固定IPが利用可能

ほぼすべての端末や環境に固定IPを割り当てるサービスもあり、利用方法によってはとても便利に活用することできます。

VPNサービスや固定IP付与サービスで取得したIPアドレスもサイクロンのIPフィルタとして利用可能です。VPNによる固定IP付与サービスを利用の場合、ユーザのアクセス元IPがサービス会社提供の固定IPになりますのでサイクロンのIPアドレス制限に許可IP
として登録することで利用可能です。

 

サイクロンのオンラインマニュアル

サイクロンのIP制限の利用方法

質問:バックアップ対策を教えてください。

ご利用者より頂いた質問は、サイクロンのデータ保護として実施しているバックアップ対策について教えてください。です。

回答

サイクロンがデータ保護対策として実施しているバックアップについて説明します。
サイクロンは AmazonEC2 クラウド上でサービスを提供しており、Amazon Web Service が提供しているストレージのスナップショット機能を利用して最大限利用者データ保護を実現しております。

このエントリーでは、利用者データの保護、バックアップの仕組みについて説明いたします。

バックアップには3種類の仕組みがあります。

  1. オペレーティングシステム全体のバックアップ(スナップショット)
  2. ユーザデータを保護するオンラインバックアップ
  3. 利用者によるデータバックアップ

サイクロンはこれらのバックアップを提供しています。
さらに、バックアップサイトを複数箇所用意することで何重にもデータ保護の仕組みがあります。

 

1. オペレーティングシステム(OS)全体のバックアップ

 

Amazon Web Service が提供しているOS全体をイメージデータとしてバックアップする仕組みであるスナップショット機能を利用します。
このスナップショットは6時間毎に1回実施され、約30日間のスナップショット履歴データを保持しています。
OSのデータを保護するためのバックアップとなります。

 

2. ユーザデータを保護するオンラインバックアップ

 

利用者データはデータベースに格納され、オンラインバックアップ(サービスを停止せずにデータベースのデータをバックアップする機能)しています。このオンラインバックアップは1日に3回実施され、約30日間のバックアップ履歴データを保持しています。

システムの障害やクラウドサービスの設備障害等、万一の事態に対する備えとして自動実行されているバックアップとなります。

 

3. 利用者によるデータバックアップ

 

利用者が好きなときにデータをバックアップし、利用者環境に保存することができる機能を提供しています。このバックアップはシステムが自動で行うバックアップ(1,2)と異なり、利用者自身が実施する必要があります。
また、利用者によるデータバックアップは再利用が可能なデータ形式となっており、サイクロンはもちろんサイクロン以外にも復元することが可能です。

 
以上のバックアップ対策により利用者データの保護に努めています。
サイクロンのバックアップは以上のようなサービスを提供しています。
ご質問等がありましたらお問い合せ下さい。

 
 

こんにちは、サイクロンのブログをご覧いただきありがとうございます。
サイクロンは利用者の大切な資産であるソースコードや開発ドキュメントをお預かりしているためセキュリティ対策と内部のセキュリティ管理は厳格に運用しています。当社における情報セキュリティの取り組みについて現状を把握していただきたいと考えております。
お客様からの問い合わせで多いこともあり、サイクロンサービスのセキュリティ対策と開発チームのセキュリティ管理についてご説明します。

サイクロンは無料プランと有料プランを提供しています。以下のセキュリティ対策とセキュリティ管理はすべてのプランで適用されています。

 

共通セキュリティ仕様

サイクロンでは有料プラン、無料プランに関係なく高いセキュリティ対策済みのサービスを提供しています。

  • サイクロンのサービス提供サーバ、管理している全てのサーバに対して、ウィルスソフトウェアによる全体スキャンを実施(約3ヶ月毎)
  • 暗号化されたサーバアクセス、データ伝送方式(256ビットSSL証明書)
  • オンラインバックアップ(Online Backup)は1日に3回実施され、約30日間のバックアップ履歴データを保持しています。
  • バックアップ(Cold Backup)データは地理的に異なるクラウド(AmazonEC2 Tokyo/US)に退避されています。
  • HTTPSプロトコル(SSL)によりWebのデータ転送(通信)を暗号化しています。
  • すべてのサーバ・ソフトウェアは最新のセキュリティ・パッチが適用されています。

物理的なセキュリティ対策

サイクロンはクラウドにてサービスを提供しているため、サイクロンとして物理的なリソースを持っていません。サイクロンは Amazon EC2 サービスを利用しています。(以下は Amazon Web Service についての情報となります。)
Amazon Web Services(AWS)のセキュリティとコンプライアンスについて説明します。さらに詳しく知りたい方は、AWSのウェブサイトこちらに詳しく説明があります。

Amazon Web Service の認証と認定

  • SOC 1/SSAE 16/ISAE 3402
  • FISMA Moderate
  • PCI DSS レベル 1
  • ISO 27001
  • 武器規制国際交渉規則へのコンプライアンス
  • FIPS 140-2
  • HIPAA

ネットワークセキュリティ

  • HTTPS(256bit SSL GlobalSigh?証明書)による暗号化されたデータ転送を提供しています。
  • IP制限、特定のIPアドレスとIPアドレス範囲を指定することで、ユーザに対するアクセス制限機能が利用可能です。
  • 公開されている全てのサイトはファイアウォール(Firewall)によりアクセス可能なポートが制限しています。

 

セキュリティ管理

サイクロンを開発・運営している株式会社オープングルーヴは独自にセキュリティに対する行動規範を設けています。

  • セキュリティポリシーを1年おきにチェックし、厳格に運用しています。
  • ユーザデータ・サーバへのアクセスは標準で制限されています。当社内のLANにアクセスするためにはユーザ認証機能により特定ユーザのみ許可されており、セキュリティ教育を受けた従業員だけが社内サーバにアクセスすることが可能です。
  • 許可された従業員のアクセスや操作はすべて監査ログとして3ヶ月保存されています。
  • サイクロンのプログラムはすべてソースコードレビューが実施されています。
  • 利用者のデータは、当社の秘密保持契約によって保護します。サービスに関わる従業員はすべて秘密保持契約の上で開発を行っています。

 

データ管理

  • 利用者にてアカウントの解除をブラウザ画面から実行して頂きます。アカウントを解除した時点で、すべてのプロジェクトとリポジトリを完全に削除します。この操作は元に戻すことが出来ません。
  • フリーアカウントを利用しているとき、継続して180日間ログインがない場合、アカウントは削除される場合があります。
  • 削除されたデータは、復元できない可能性があります。
    削除は物理削除のため、間違って削除したとき復元できない場合があります。

 

セキュリティに対するお願い

サイクロンが提供しているセキュリティ対策以外に利用ユーザに守っていただきたいルールがあります。利用者のプロジェクトチームや会社で徹底することを期待しています。

  • プロジェクトに必要なくなったユーザアカウントが残っている場合、ロックするか削除してください。
  • チームメンバーに定期的にパスワードを更新するように注意喚起してください。(1〜3ヶ月毎の更新がおすすめです)
  • 管理アカウントを利用すれば、すべてのアカウントをロックしたり、パスワードを強制的に変更することができます。厳密な管理をおすすめします。
  • パスワードの有効期限機能を活用してください。
  • 強いパスワードを作成するようにしてください。Microsoftが推奨する強いパスワードのページを参照してください。

 

サイクロンを利用される方に安心していただくためセキュリティ対策について簡単に説明させていただきました。

ご不明点やご質問がありましたらお気軽にお問い合わせください。