セキュリティポリシー

私たちのデータセンターは高いコンプライアンス基準を満たしており、組織的なプロトコルによって資産廃棄や従業員のコンプライアンスが確保されています。定期的な評価と災害復旧計画により、さらにデータを保護します。

データセキュリティは私たちにとって最も重要です。複数のセキュリティ機能を組み合わせることで、お客様、従業員、ビジネスのデータが常に保護されるようにしています。お客様はデータが安全であり、通信が保護され、ビジネスが守られていることを安心してご利用いただけます。

インフラストラクチャーセキュリティ

インフラストラクチャーセキュリティは、組織の情報技術（IT）運用を支える基盤となるハードウェア、ソフトウェア、ネットワークコンポーネントを保護することです。これにはデータセンターやサーバーからネットワーク接続、エンドポイントデバイスまでが含まれます。効果的なインフラストラクチャーセキュリティは、不正アクセス、不正使用、妨害を防ぎ、ITシステムの完全性、機密性、可用性を確保します。

インフラストラクチャーセキュリティの主要要素

• 暗号鍵アクセスの制限
  ポリシー: 暗号鍵へのアクセスは、業務上の必要がある認可されたユーザーに限定されます。
  実施: 適切な権限を持つ者のみが機密情報を復号できるようにし、データ漏洩リスクを最小限に抑えます。

• ユニークアカウント認証の強制
  ポリシー: システムやアプリケーションは、固有のユーザー名とパスワードまたは認証済みのSSHキーを要求します。
  実施: 各ユーザーに固有のIDを割り当てることで、不正アクセスのリスクを低減します。

• 本番アプリケーションアクセスの制限
  ポリシー: 本番アプリケーションへのアクセスは認可された担当者のみに限定されます。
  実施: 重要なビジネスアプリケーションへの不正アクセスを防ぎます。

• アクセス制御手続きの確立
  ポリシー: ユーザーアクセスの追加、変更、削除に関する文書化された要件があります。
  実施: 明確な手順により、アクセス権が体系的かつ安全に管理されます。

• 本番データベースアクセスの制限
  ポリシー: データベースへの特権アクセスは、業務上必要な認可ユーザーに限定されます。
  実施: データベース内の機密データが不正アクセスや改ざんから保護されます。

• ファイアウォールアクセスの制限
  ポリシー: ファイアウォールへの特権アクセスは、業務上必要な認可ユーザーに限定されます。
  実施: ネットワークセキュリティの要であるファイアウォールの設定が危険にさらされないようにします。

• 本番OSアクセスの制限
  ポリシー: オペレーティングシステムへの特権アクセスは、業務上必要な認可ユーザーに限定されます。
  実施: システムの安定性とセキュリティを損なう不正な変更を防ぎます。

• 本番ネットワークアクセスの制限
  ポリシー: 本番ネットワークへの特権アクセスは、業務上必要な認可ユーザーに限定されます。
  実施: 認可された担当者のみがネットワークにアクセスできるようにし、内部脅威のリスクを低減します。

• 退職時のアクセス権剥奪
  ポリシー: 退職者のアクセスは、サービスレベルアグリーメント（SLA）内で剥奪されます。
  実施: 退職後に元従業員が会社システムへアクセスすることを防ぎます。

• ユニークネットワークシステム認証の強制
  ポリシー: ネットワークアクセスには固有のユーザー名とパスワードまたは認証済みSSHキーが必要です。
  実施: ネットワークアクセスを個々のユーザーに追跡できるようにし、セキュリティを強化します。

• リモートアクセスの暗号化強制
  ポリシー: 本番システムへのリモートアクセスは、承認された暗号化接続のみ許可されます。
  実施: リモート接続を通じたデータ伝送が傍受されないよう保護します。

• 侵入検知システムの利用
  ポリシー: セキュリティ侵害の早期検出のためネットワークを継続的に監視します。
  実施: IDSはリアルタイムのアラートを提供し、潜在的な脅威に迅速に対応できます。

• インフラのパフォーマンス監視
  ポリシー: 監視ツールを利用し、システムパフォーマンスを追跡し、閾値到達時にアラートを発します。
  実施: インフラを堅牢に保ち、問題があればすぐに対応します。

• ネットワークセグメンテーションの実装
  ポリシー: 顧客データへの不正アクセスを防ぐためにネットワークを分割します。
  実施: ネットワーク内の異なる部分を分離することで、侵害の拡大を防ぎます。

• ネットワークファイアウォールのレビュー
  ポリシー: ファイアウォールのルールセットを年1回レビューし、変更履歴を管理します。
  実施: ファイアウォール設定を最新のセキュリティ基準に合わせて維持します。

• ネットワークファイアウォールの利用
  ポリシー: 不正アクセスを防ぐようファイアウォールを設定します。
  実施: 外部脅威に対する第一の防御線となります。

• ネットワークおよびシステムのハードニング基準維持
  ポリシー: 業界ベストプラクティスに基づいた文書化された基準を年1回レビューします。
  実施: システム設定を安全に保ち、攻撃に耐性を持たせます。

データセンターセキュリティ

私たちは業界のベストプラクティスにより、お客様のデータの機密性と完全性を確保しています。FlowHunt サーバーは Tier IV または III+、PCI DSS、SSAE-16、ISO 27001 準拠の施設でホスティングされています。セキュリティチームは継続的にセキュリティアップデートを適用し、セキュリティアラートやイベントに積極的に対応しています。

物理的セキュリティ

ネットワークセキュリティ

当社のネットワークは冗長ファイアウォール、最先端のルーターテクノロジー、パブリックネットワーク上での安全なHTTPS通信、ネットワーク侵入検知・防御技術（IDS/IPS）によって保護されており、悪意のあるトラフィックやネットワーク攻撃を監視・遮断します。

追加対策

• DDoS対策: 業界最高水準のインフラにより、サービス拒否攻撃から保護し、その影響を最小限に抑えます。
• 通信の暗号化: お客様と FlowHunt サーバー間の通信は、業界ベストプラクティスのHTTPSおよびTLSによって暗号化されています。

組織的セキュリティ

資産廃棄手順

• インベントリ評価：廃棄予定のすべてのデバイスを特定し、リスト化します。
• データバックアップ：廃棄前に必要なデータを安全にバックアップします。
• データ消去：業界標準に従い、認定ツールを使用してデバイス上の全データを消去します。
• 物理的破壊：消去できないデバイスは、シュレッダーや消磁などの物理的破壊方法を用います。
• 環境規制遵守：すべての廃棄方法は環境規制に準拠しています。

認証およびコンプライアンス

• 文書化：シリアル番号、廃棄方法、日付など、廃棄資産の詳細記録を維持します。
• サードパーティ検証：認定されたサードパーティベンダーにより、廃棄プロセスの検証と記録を行います。

従業員と契約者のコンプライアンス

• バックグラウンドチェック：新規従業員は入社前に徹底した背景調査を受けます。
• 行動規範：従業員および契約者は会社の行動規範を認識・順守し、違反時には懲戒規定を適用します。
• 秘密保持契約：全従業員は入社時、契約者は業務開始時に秘密保持契約の締結が必須です。

来訪者およびセキュリティプロトコル

• 来訪者手続き：来訪者はサインインし、ビジターバッジを着用の上、認可従業員の付き添いでセキュアエリアに入室します。
• セキュリティ意識向上トレーニング：従業員は入社30日以内および毎年、セキュリティ意識向上トレーニングを受講し、最新のベストプラクティスや新たな脅威に関する知識を習得します。

プロダクトセキュリティ

データ暗号化

すべての FlowHunt データベースおよび機密顧客データを含むデータベースバックアップは暗号化されています。請求・支払いデータの暗号化は決済処理業者（Stripe）が担当しています。

• カラムレベル暗号化: データベース内の特定カラムのみを暗号化することで、APIキーなどの機微な情報の保護に役立ちます。
• 暗号化プロトコル: ネットワーク上のデータ通信はSSLおよびTLSプロトコルで暗号化されます。

ペネトレーションテスト

FlowHunt は定期的にペネトレーションテストを実施しており、バグバウンティプログラムを通じて外部のセキュリティ研究者による脆弱性の発見も推奨しています。

更新日: 2025年5月30日