サインイン
会員登録
会員登録
サインイン

セキュリティ

組織のセキュリティ

情報セキュリティプログラム

当社では、組織全体に周知徹底された情報セキュリティプログラムを導入しています。当社の情報セキュリティプログラムは、SOC 2フレームワークで定められた基準に準拠しています。SOC 2は、米国公認会計士協会(AICPA)が策定した、広く知られている情報セキュリティ監査手順です。

サードパーティの監査

当組織は、セキュリティおよびコンプライアンス管理体制を検証するため、独立した第三者機関による評価を受けています。

第三者による侵入テスト

当社では、サービスのセキュリティ体制が損なわれていないことを確認するため、少なくとも年に一度、独立した第三者機関による侵入テストを実施しています。

役割と責任

当社の情報セキュリティプログラムおよびお客様データの保護に関する役割と責任は明確に定義され、文書化されています。チームメンバーは全員、すべてのセキュリティポリシーを確認し、同意することが求められます。

セキュリティ意識向上トレーニング

当社のチームメンバーは、業界標準の慣行や、フィッシングやパスワード管理といった情報セキュリティに関するトピックを網羅した従業員セキュリティ意識向上トレーニングを受けることが義務付けられています。

機密性

チームメンバー全員は、初出勤日までに業界標準の機密保持契約書に署名し、その内容を遵守することが義務付けられています。

バックグラウンドチェック

当社は、現地の法律に従って、すべての新規チームメンバーに対して身元調査を実施しています。

クラウドセキュリティ

クラウドインフラストラクチャのセキュリティ

当社のサービスはすべてAmazon Web Services (AWS) | Google Cloud Platform (GCP)でホストされています。これらのサービスは、複数の認証を取得した堅牢なセキュリティプログラムを採用しています。プロバイダーのセキュリティプロセスに関する詳細は、こちらをご覧ください。 AWS セキュリティ | GCP セキュリティ.

データホスティングのセキュリティ

当社のデータはすべて、Amazon Web Services (AWS) または Google Cloud Platform (GCP) のデータベースに保存されています。これらのデータベースはすべて米国にあります。詳細については、上記リンク先のベンダー固有のドキュメントをご参照ください。

保管時の暗号化

すべてのデータベースは保存時に暗号化されます。

転送中の暗号化

当社のアプリケーションは、転送中のデータ暗号化にTLS/SSLのみを使用します。

脆弱性スキャン

当社は脆弱性スキャンを実施し、脅威を積極的に監視しています。

ロギングとモニタリング

当社は様々なクラウドサービスを積極的に監視し、ログを記録しています。

事業継続と災害復旧

ハードウェア障害発生時のデータ損失リスクを軽減するため、データホスティングプロバイダーのバックアップサービスを利用しています。また、ユーザーに影響を与える障害が発生した場合にチームにアラートを発信する監視サービスも活用しています。

インシデント対応

当社には、情報セキュリティ事象への対応プロセスがあり、これにはエスカレーション手順、迅速な緩和策、およびコミュニケーションが含まれます。

バウンティプログラム

セキュリティ上の問題点を詳細に指摘した貢献者からの脆弱性フィードバックを精査し、修正内容に対して競争力のある報奨金を提供します。報奨金申請はすべて審査され、報奨金に値するか否かが判断されます。フィードバックは報奨金授与の場合のみ提供されます。すべてのリクエストは、弊社のウェブサイトから送信してください。 セキュリティ報奨金申請書セキュリティに関する問題のみ、フォームからご報告ください。お客様ご自身で問題が発生した場合は、チャットまたはメールでカスタマーサポートまでお問い合わせください。

アクセスセキュリティ

権限と認証

クラウドインフラストラクチャやその他の機密性の高いツールへのアクセスは、業務上必要とする権限のある従業員に限定されています。

利用可能な場合は、クラウドサービスへのアクセスを保護するために、シングルサインオン(SSO)、二要素認証(2FA)、および強力なパスワードポリシーを導入しています。

最小権限アクセス制御

当社は、IDおよびアクセス管理に関して、最小権限の原則に従います。

四半期ごとのアクセスレビュー

機密システムへのアクセス権限を持つすべてのチームメンバーに対し、四半期ごとにアクセス権限のレビューを実施しています。

パスワード要件

チームメンバー全員は、アクセス権限を得るために、最低限のパスワード要件と複雑さを遵守する必要があります。

パスワードマネージャー

会社から支給されるすべてのノートパソコンには、チームメンバーがパスワードを管理し、パスワードの複雑さを維持するためのパスワードマネージャーが搭載されています。

ベンダーおよびリスク管理

年次リスク評価

当社では、不正行為への対策を含め、潜在的な脅威を特定するために、少なくとも年に一度のリスク評価を実施しています。

ベンダーのリスク管理

新規ベンダーを承認する前に、ベンダーリスクを評価し、適切なベンダーレビューを実施します。

お問い合わせ

ご質問、ご意見、ご懸念事項、または潜在的なセキュリティ問題を報告されたい場合は、下記までご連絡ください。 [メール保護]