MenuToggle Menu

アクセス制御

当社のクラウドサービスは、Amazon Web Services(AWS)により安全にホストされています。特にProtoPie Enterpriseクラウドの場合、AWSデータセンターのプライベートセクションがホスティングを担当しています。ProtoPie Enterprise On-Premisesは、お客様の組織内の物理サーバーでセルフホスティングできる唯一のProtoPieソリューションです。

本ページでは、ProtoPie Enterpriseクラウド環境構築に向けた当社のアクセス制御ポリシー及び手順に関する情報を提供します。これらにはユーザーアカウント管理認証認可プロトコルが含まれます。

認証

ProtoPie Enterpriseクラウドソリューションは、当社内の2人の管理者により管理されます。管理者には固有ユーザーID及びパスワードが割り当てられます。データにアクセスできるその他の方法は存在しません。

当社ではアクセス許可レベルを問わず、全てのアカウントに対して強固なセキュリティトークンサービス(Security Token Services、STS)と多要素認証(Multi-Factor Authentication、MFA)を適用します。

パスワードの有効期限は90日となっており、必ず以下の要件を満たす必要があります。

  • 8文字以上であること
  • 英大文字(A-Z)が1文字以上含まれること
  • 英小文字(a-z)が1文字以上含まれること
  • 特殊文字(! @ # $ % ^ & * ( ) _ + - = { } | ')が1文字以上含まれること

アカウントのパスワードを変更することは可能ですが、システムでは各ユーザーが使用した最近の10個のパスワードを記憶してパスワードの再利用を防止します。

システム内に保存または転送する際は、パスワードの暗号化により許可されていない公開または変更からパスワードを保護します。

  • *ログイン試行の回数は最大5回まで可能です。ただし、アカウントがロックされたユーザーは、管理者にいつでもロック解除を要請することができます。

同時ログインを利用して、さまざまなデバイスからProtoPieに接続することができます。

セッション管理

当社ではユーザーの本人確認に基づいてJSON Web Tokens(JWT)により作成された固有定時セッションキーを利用します。

当該セッションキーの有効期限は180日間です。また、暗号化されたセッションキーはユーザーのブラウザ内に安全に保存されます。サーバーで発行されたセッションキーは、お客様のブラウザのキャッシュに保存されるため、安全なセッション管理を行うことができます。

認可

当社ではセグリゲーション及び最小特権アクセスという2つの重要方針を策定してデータセキュリティを確保します。

アクセス制御を効果的に行うために、当社ではAWS Identity and Access Management(IAM)を活用してソリューション内のロールベースアクセス制御(Role-Based Access Control、RBAC)を有効化します。

Identity and Access Management

当社のIdentity and Access Managementは、以下の公式的かつ構造的なアプローチにより行われます。

  1. ユーザーIDのリクエスト:ユーザーが指定のユーザーIDリクエストフォームによりリクエストを転送すると、プロセスが開始します。
  2. 部門長による検討:各部門長がリクエストを綿密に検討します。
  3. セキュリティ担当者の認可:セキュリティ担当者がリクエストを慎重に評価し、指定のセキュリティガイドラインに基づいて認可を付与します。
  4. アカウントの作成:認可後、システムアドミニストレータがアカウントを作成して円滑なオンボーディングをサポートします。

Identity and Access Managementの検討月単位で実施され、担当職務が変更された場合やアカウントが企業アカウントでない場合も行われます。

リモートアクセス

ProtoPie Enterpriseクラウドソリューションは、当社内の2人の管理者により管理されます。当社では許可されたサーバーアクセスに関する全アカウント一覧を提供することはできませんが、ID管理コンソールを利用した情報の検証は行うことができます。

Enterprise Operations部門の管理者のみ、enterprise環境へのアクセス権限を付与することができます。プロダクトエンジニアが問題解決の目的で一時アクセスを要請する場合、アクセス権限を付与して問題を解決した後、その権限を削除することができます。

当社ではAWS SSM(セッションマネージャー)により安全なリモートアクセスを提供します。EC2インスタンスにはEnterprise Operations部門内の担当者のみアクセスすることができます。

EC2インスタンスにアクセスするには、管理者がSSHを通じて多要素認証(MFA)が有効化された状態でAWSマネジメントコンソールにログインする必要があります。全てのコミュニケーションはTLS 1.2を利用して暗号化されます。

当社では以下の詳細ログを記録します。

  • 特定のEC2インスタンスにアクセスした人及びアクセスした時間帯
  • 特定のEC2インスタンスを作業した人及び作業した時間帯

該当ログはCloudTrailによる定期的な検討を行うことで透明性を確保します。

コミュニケーションセッションに関するネットワーク接続は、無効化してから最大30分後に自動的に終了します。

リモートアクセスシステムの整合性を維持するために、管理者はiPad、スマートフォン、PDAなどのスマートデバイスへの接続に関する許可を取得することはできません。

オンボーディング及びオフボーディング

全従業員のインテグリティを確保するために、当社のHR部門では新入社員を対象に徹底的なオンボーディングプロセスを行います。これには以前の同僚や上司を通して経歴及び学歴を検証するリファレンスチェックも含まれます。しかし、信用情報や犯罪歴について質問することはできません。

当社の所在地である韓国では採用前の身元調査はさまざまな理由により困難であるとされています。主な理由の一つとして、犯罪歴を確認するために警察記録を利用することを国が禁止しているためです。また、「個人情報保護法」により上記の個人情報を開示するためには本人の同意を取得しなければなりません。当社では法的トラブルを回避するために、これらの規則及び規制の遵守を優先とします。

当社の社員が退職する場合、HR部門は直ちにセキュリティチームに当該社員の最終勤務日を知らせます。指定の最終勤務日に当該社員のアカウントが無効化となり、当社のシステム及びデータへのアクセスはできなくなります。別途要請がない限り、2週間後にはアカウントが完全に削除されます。

Back To Top