セキュリティに対しての取り組み
ビルドサロンが設計・納品するオンラインサロンについてのセキュリティへの対策を公開しております。
- HOME
- セキュリティに対しての取り組み
通常のWEBシステムとは異なり、個人情報を多く取り扱うオンラインサロンにとって、セキュリティ・プライバシー対策は必須です。
ビルドサロンが納品するオンラインサロンは、お客様からの要望がなくとも、当初から外部からの不正アクセス防止、会員情報流出防止を念頭において設計しております。
ここではセキュリティ対策の一部をご紹介します。
国際セキュリティ規格 ISO27001(ISMS)認証取得
株式会社ビルドサロンは、ジーサーティ・ジャパン(認定機関=米国認証機関認定審議会)より、ISO27001(ISMS)の認定を受けています。
ISO27001は、世界で運用されている国際的なセキュリティ認証制度です。
オンラインサロン開発制作にあたって、お客様の情報保護から設計、会員様の情報保護まで、広範囲にわたり最高峰のセキュリティ対策をお約束します。
IDSなどオンラインサロン上セキュリティシステムの開発実績多数
IDS(侵入検知システム)、ログ収集システム、キャプチャ認証システム、セキュリティ自己診断システムなど、オンラインサロンを運営する上で欠かせないセキュリティシステムの開発実績も多数ございます。
「どこまでのセキュリティ対策が求められるか」は、オンラインサロンの規模や、対象者によって異なりますが、
お客様(オンラインサロン運営者様)のセキュリティ要件に合わせて、柔軟に開発・実装致しますので、お気軽にご相談ください。
セキュリティアクション二つ星を宣言
株式会社ビルドサロンは、積極的にセキュリティに取り組む姿勢を宣言するべく、セキュリティアクション 二つ星を宣言しています。
「SECURITY ACTION」は、独立行政法人情報処理推進機構(IPA)が、安全安心なIT社会を実現するために創設したもので、中小企業が一定の手続きを経て情報セキュリティ対策に取組むことを自己宣言する制度です。
https://www.ipa.go.jp/security/security-action/index.html
多くの個人情報を取扱うオンラインサロンを開発・運用するにあたって、厳重なセキュリティ対策を行う事をビルドサロンは宣言します。
お客様の許可があった場合のみ管理画面にアクセス
納品されたオンラインサロンシステムは、お客様のサーバーで稼働するお客様の所有物となります。
お客様から許可・依頼があった場合のみ、オンラインサロンの管理画面にアクセスし、設定を確認・変更したり、サポートをさせていただきます。
オンラインサロンの管理画面パスワードは強力なハッシュ関数で暗号化され、ビルドサロンのスタッフが解読することはできません。
買い切り制のシステムであり、納品後はお客様が所有するシステムとなるため、ビルドサロンによる管理画面へのアクセスはお客様からパスワードを共有された時のみ可能です。
サポートが必要な時のみ、パスワードを送付しログインして設定を確認してもらった後、好きな時に随時変更が可能です。
(納品前)お客様の要件に合わせて柔軟に対応
どのようなオンラインサロンを制作するかによって、必要なセキュリティ施工は異なります。
お客様のご要件・ご予算に合わせて、セキュリティについて柔軟にご対応致します。
納品後も、定期的なセキュリティチェックが必要な場合も、お申し付けください。オンラインサロン専門企業であるビルドサロンがサポートいたします。
まずは無料お見積もりからお見積もりください。
(納品後)お客様のご要件に合わせて柔軟に対応
お客様のご要望に合わせて、納品後も随時要件の追加が可能です。
左の画像は、「オンラインサロン会員様の個人情報を多く扱う管理画面を保護したい」といったご要望に対して、ログイン時に管理者のメールアドレスへワンタイムパスコードを送り、そのワンタイムパスコードを入力する事でログインをできる様にした施工例です。
外部の認証サービスは利用しておらず、開発した二段階認証プログラムを全てオンラインサロン自体に組み込む事でランニングコストを0にしました。
尚、会員様に二段階認証を要求すると、ログイン時の負担が増えて離脱に繋がるため、会員様の個人情報にアクセスできる管理者のみ二段階認証を必須とする設定をご提案しました。
※お客様のご要望によって、会員様に二段階認証を任意で要求する設計も可能です。
併せて、このオンラインサロンは主に日本国内の顧客をターゲットとしているため、随時海外からのアクセスを遮断できる設定項目を追加しました。
SSL・2段階認証など基本セキュリティ対策を標準で導入
オンラインサロンは、非常に多くの情報を取り扱うシステムです。会員は、自己の氏名・メールアドレス・性別・生年月日などの自己を特定できる個人情報をオンラインサロンに登録します。
ビルドサロンが納品するオンラインサロンには、そういった個人情報を暗号化して通信できる、SSL(暗号化通信)を標準で導入します。
弊社が代理で契約するレンタルサーバーは勿論、お客様が利用しているレンタルサーバーにオンラインサロンを設置する場合でも、SSLを無償で施工致します。
※ご要望によって、企業認証SSLを導入いたします。
OECDプライバシーガイドラインに従った運営とサポート
株式会社ビルドサロンでは、OECD(経済協力開発機構)によって示された、世界共通の個人情報保護の基本原則を定めた指針である、プライバシー保護と個人データの国際流通についてのガイドライン(英語: Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)に従って、お客様のオンラインサロンの制作・運用サポートを行なっております。
インシデントに備えて自社CSIRTを保有
オンラインサロンの制作開発中にセキュリティに関する脅威が発生した場合、納品後のオンラインサロンを運用する上で、セキュリティに関する不具合が発生することが懸念されます。
そのため株式会社ビルドサロンでは、ビルドサロンで所有する情報資産の不具合、情報漏洩、サイバー攻撃等の情報セキュリティインシデントが発生した際、迅速かつ適切に対応するため、ビルドサロンComputer Security Incident Response Teamを設置しています。
また、インシデント発生時における情報セキュリティに関する統一的な窓口として、PoC(Point of Contact・ポック)を整備しインシデントの発生防止に備えています。詳しくはこちら。
標準でNDA(秘密保持契約)を締結可能
会員が個人情報を登録するため、オンラインサロンでは、非常に多くの個人情報を取り扱います。
オンラインサロンをメンテナンス・新しい機能を追加する場合、WEB制作会社はその情報にアクセスする必要がございます。
そういった情報がWEB制作会社の責任で流出した場合、責任の所在を明らかにするため、運営者は、ビルドサロン(施工会社)と、無料でNDA(秘密保持契約)を締結可能。
オンラインサロンに機能を追加する際、業者がオンラインサロンへのログインが必要となりますが、そのような時でも顧客情報が漏れない様に契約を結ぶ事が可能です。
また、オンラインサロンの制作に携わる全ての社内スタッフについて、本人確認の徹底とともに、機密保持契約書(NDA)を締結しております。
※NDAを締結したい場合は、お見積もり時・発注時にご相談ください。オンライン上で捺印・締結完了が可能です。
専門技術もお任せ
オンラインサロンへの専門的なセキュリティ実装も、全てビルドサロンにお任せください。
・MySQL/MariaDBなどのデータベースのセキュリティチューニング
・外部からの脆弱性診断
・アプリケーションのセキュリティ診断
・SiteLockの導入(一部のレンタルサーバーのみ)
・ファイルへの個別アクセス制限設定
・独自SSL(企業認証SSL)の導入
・IDS(侵入検知システム)の導入支援
・ASV(脆弱性)スキャン
・PCI-DSS(クレジットカード業界のセキュリティ基準)への準拠
・WAF(ファイアウォール)の導入
・IDSの開発・導入支援
・管理画面へのキャプチャ認証導入
・セキュリティ自己診断システムの導入
・広告詐欺を防止するads.txtに関する設定
等の専門的なセキュリティ対策も代行致します。
セキュリティ・バイ・デザイン
内閣サイバーセキュリティセンター(NISC)により定義されている、セキュリティ・バイ・デザイン (Security by Design) :開発段階から情報セキュリティを確保する考え方を、開発現場でも周知・徹底。
企画・設計の段階から情報セキュリティへの対策を組み込み、セキュリティ対策に対するトータルコストを下げつつ、保守性の高いシステムを実現し、被害の発生を未然に防止します。
また、設計は国内で行い、オンラインサロンを稼働させるデータセンターは日本国内にある事を必須条件としてサーバー業者を選定。
大切な会員の個人情報は勿論、運営者様の機密を守りきるシステムを構築します。
セキュリティスキャンシステムの実装提供
オンラインサロンのセキュリティに問題が無いか、管理者が外部に委託せずに自己診断できるシステムを開発・実装し、必要に応じて運用サポートしております。
外部にセキュリティチェックを委託する場合、顧客情報が入ったオンラインサロンの管理画面にアクセスしてもらう必要がありますが、自己診断システムを実装する事により、社内の人間が適宜セキュリティチェックを行える様になるため、その様な心配は必要なくなります。
また、買い切り制のシステムであるため、ランニングコストも発生しません。
「顧客情報が入ったオンラインサロンの管理画面にアクセスさせるのは不安」
「外部に依頼すると費用と時間がかかるから」
そういった不安のためにセキュリティチェックがおろそかになれば、個人情報は脅威に晒されます。そうならないために、この様なシステムの実装・提供を開始しました。
この様にビルドサロンでは、オンラインサロンに特化してきた経験を活かし、オンラインサロン運営者様の立場に寄り添ったセキュリティシステムを提供します。
オンラインサロン上セキュリティスキャンシステムの詳細についてはこちら。
公式ブログでセキュリティ対策方法を発信中
株式会社ビルドサロンの公式ブログで、オンラインサロン運営にあたっての、セキュリティ対策方法を発信中です。
オンラインサロンを運営するに当たって、具体的にどの様な事に気をつけていけばいいのかを参考にする際、御利用頂ければ幸いです。
ブログはこちら。