INDEX
- はじめに
- V-CUBEコラボレーションについて
- サービス稼働環境について
- クラウドサービスのセキュリティ対策
- サーバのセキュリティ対策
- アプリケーション(V-CUBEコラボレーション)のセキュリティ対策
- 脆弱性対策
- データの消失対策と適切な破棄
- 第三者認証について
- その他
- セキュリティ対策一覧
1.はじめに
本書は、当社(株式会社ブイキューブ)が提供するV-CUBE コラボレーションクラウドサービスのセキュリティ仕様・要件について記述したものです。
2.V-CUBEコラボレーションについて
V-CUBE コラボレーションは、離れた拠点とリアルタイムで情報共有ができるビジュアルコミュニケーションシステムです。遠隔地との業務共有、設計・プロセス、教育・トレーニング、災害時の緊急対策・危機管理など、多様な場面で効果を発揮し、遠隔地間のコラボレーションを最大限に高めます。直感的でスムーズな操作が可能なインターフェイス、低帯域環境下でも使える安定した音声品質、複数拠点からのインタラクティブな双方向書き込み、高い運用性とセキュリティ対策、マルチデバイス対応などの特長を活かし、データ+コミュニケーションによる協働作業に幅広くご活用いただけます。
3.サービス稼働環境について
V-CUBEコラボレーションのクラウドサービスは、IaaS(Infrastructure as a Service)上で稼働しており、IaaS基盤として、Amazon Web Service(AWS)を利用しています。お客様の運用に応じた柔軟なサーバ増強の対応が可能なことや、不正アクセス等セキュリティインシデントへの強固な対策が講じられているIaaSを利用することで、常時安全かつ安定したサービスをご提供することを可能としています。データセンターは、お客様より要望がある場合を除き、原則は日本国内のデータセンターを利用し、構築・運用を行います。
4.クラウドサービスのセキュリティ対策
4.1.データセンターの物理セキュリティ
V-CUBEコラボレーションのクラウドサービスが利用しているデータセンターは、以下の複数のレイヤーから構成され、高度なセキュリティ対策と可用性を実現しています。
- 境界レイヤー(警備員、フェンス、侵入検知テクノロジー、セキュリティ対策等)
- インフラストラクチャレイヤー(建屋、各種機械、運用に係る水道・電気・通信の冗長化等)
- データレイヤー(アクセスコントロール、脅威検知、侵入検知、監視カメラシステム等)
- 環境レイヤー(立地選択、自然災害対策、複数アベイラビリティゾーンによる高可用性等)
※データセンターの管理及び運用に関する事項はAWSのサービス内容に準じます。
4.2.IaaS基盤でのセキュリティ
V-CUBEコラボレーションのクラウドサービスは、IaaS基盤としてAmazon Web Service(AWS)を利用しています。AWSのVPC(Virtual Private Cloud)のセキュリティ機能である、セキュリティグループ(ファイアウォール)、ネットワークACL(アクセスコントロール)によるフィルタリング・ポート制限や、ルーティングテーブル、外部ゲートウェイの設定により、セキュアなアクセス管理を行っています。
4.3.サービス稼働状況の監視
お客様用仮想サーバの稼働状況や、CPUやメモリ等のリソースの使用状況をリアルタイムに監視する監視サーバを設置しています。サービスの異常や、障害検知、高負荷状態を検知し、障害発生時にも迅速に対応できるように備えています。
4.4.サーバ構成
V-CUBEコラボレーションのクラウドサービスは、ご契約毎にお客様専用の仮想サーバ・専用のURLをご用意するシングルテナント運用です。シングルテナント運用とすることで、意図しない第三者のアクセスを防ぎ、セキュリティの向上とお客様毎の多様な運用に対応しています。
5.サーバのセキュリティ対策
V-CUBEコラボレーションの仮想サーバは、OSとしてAmazon Linuix2を採用しており、安定性・耐セキュリティ性に優れております。また、サーバセキュリティ対策として、Trend Micro Workload Security を導入しており、以下のセキュリティ対策機能を有しています。
5.1.IPS/IDS(侵入防御)
サーバの受信/送信トラフィックを検査することで、OS、ミドルウェアの脆弱性を狙った攻撃、不審なアクティビティを検出してブロックします。また、Webアプリケーションに対するSQLインジェクションやクロスサイトスクリプティングなどの脆弱性にも対応しており、WAFとしての役割を担います。
5.2.不正プログラム(マルウェア)対策
不正プログラム、スパイウェア、トロイの木馬などの不正なソフトウェアから保護します。不正プログラムを特定および削除し、コマンドおよび制御サーバとして知られているドメインをブロックします
5.3.ファイアウォール
ホストベースでのネットワークアイソレーションを実現し、攻撃を受ける機会を軽減します。
5.4.Webレピュテーション
不正プログラムを配信するWebサイト、不正ドメインや既知の不正サーバへのアクセスをブロックします。
5.5.変更監視
サーバに対する許可された変更と許可されない変更の両方を追跡し、意図しない不正な変更を検出します。ディレクトリ、ファイル、プロセス、サービス等を監視し、不正な改ざんを早期に発見します。
5.6.セキュリティログ監視
サーバのシステムログをキャプチャして分析し、不審な振舞いを検出・通知を行います。多数のログ情報の中から重要なセキュリティイベントを早期に発見します。
6.アプリケーション(V-CUBEコラボレーション)のセキュリティ対策
6.1.利用アカウント
6.1.1.サービス利用アカウント
当社(株式会社ブイキューブ)からお客様専用のアクセスURLや管理者アカウント情報を記載したサーバ設定通知書をメールで契約者へ送付します。契約者は通知書に記載する管理者アカウントを利用し、サービスを利用する全ユーザのアカウントを登録する仕様となっています。
6.1.2.パスワードポリシー
上記サービス利用アカウントの管理者パスワードは、英数字(大文字・小文字を含む)の組み合わせ8文字以上とし、当社にて生成したものをお客様へ通知させていただきます。
6.2.サーバアプリケーションの機能
6.2.1.通信機能
- httpsでサーバ-クライアント間を接続(httpトンネリング)します。トンネリング内のデータは独自データです。
- 伝送データはSSL/TLS通信によりすべて暗号化されております。
- サーバ-クライアント間は、送信用/受信用の2本のコネクションを張り、送信用は2GBデータ送信ごとにコネクションの張り替えを行います。
6.2.2.データ保存
- 会議で利用した資料などのデータはサーバ側には保存されません。
- 会議の録画データはサーバ側には保存されません。
6.3.システム管理機能
6.3.1.ログイン認証
- ユーザID/パスワード認証によるシステムログイン方式です。
- PC端末のMACアドレスによる端末認証の利用が可能です。
6.3.2.ユーザ作成
- システム管理者により、システムを利用するユーザの作成を行います。ユーザID、パスワード(最小文字数、有効期限、再使用禁止世代数)、ユーザ名等の設定が可能です。
6.3.3.会議認証設定
- 会議参加時の認証機能を設定することが可能です。
- 会議参加時に会議キー(パスワード)入力を必須にすることができ、意図しない第三者の会議接続を制限することができます。
6.3.4.アクセス履歴管理
- アクセス履歴管理として、システムの接続状況(いつ・誰が接続したか)、利用状況(いつ・誰が・何のデータを共有したか)を記録、確認するログ機能を有しています。
- システム利用及び設定項目の登録・更新・削除等の操作を確認することが可能な、監査ログに対応しています。
6.4.クライアントアプリケーションの機能
6.4.1.画面共有機能
- ファイル実体の転送/配信は不可となり、画面共有のみが可能です。
- 会議接続中は画面共有元PCのリモート操作が可能です。リモート操作に際しては、画面共有元ユーザの許可が必要です。また、画面共有元ユーザ側の公開停止操作、遠隔操作解除ボタン、30分経過後、のいずれかでリモート操作が解除されます。
- 画面共有画面のホワイトボードへの画像貼り付けは、画面共有元ユーザでのみ可能です。
- 共有資料(ホワイトボード)の印刷/保存権限は、会議毎に「開催者のみ」「全員」「不可」の選択が可能です。
6.4.2.会議接続中の制限機能
- 会議接続中はPrintScreenによるスクリーンショットが無効となります。
6.4.3.録画機能
- 会議録画権限は、会議毎に「開催者のみ」「全員許可」「全員不可」の選択が可能です。
- 会議録画形式を専用形式にすることが可能です。また、録画データの再生可能期限を設定することが可能です。
6.4.4.強制退席機能
- 会議主催者及びシステム管理者にて、会議参加者の強制退席や会議の強制終了が可能です。
6.5.アプリケーションのアップデート
- セキュリティの問題や脆弱性への対応、および機能追加を目的としたアプリケーションのバージョンアップを定期的に行っています。
- サービス停止が必要となるアップデート作業に際しては、当社より14日前までに、ご契約時に記載の連絡先へメンテナンス連絡を通知の上、実施させていただきます。
※緊急性の高いメンテナンス作業の必要性がある場合については、都度ご連絡といたします。
7.脆弱性対策
7.1.脆弱性診断
脆弱性診断を定期的に自主点検にて実施しております。スキャナを実行し、リスクが確認されたサーバは、リスクの軽重に応じ、対策検討、対応致します。
また、年次(時期は不定期)にて第三者機関への脆弱性診断を行っており、リスクの確認・対応を同様におこなっております。
8.データの消失対策と適切な破棄
8.1.データ消失対策
サーバとデータベースは複数サイトで冗長化された基盤上に構築されており、システム障害等に備え、データ消失リスクを低減しています。
また、自然災害などの有事に備え、毎日深夜にデータベースのバックアップ(スナップショット)を信頼性の高いクラウドストレージ上に保管する処理を行っており、有事の際は前日時点のバックアップからの復旧が可能となっております。
8.2.データ破棄
サービス提供に利用していたお客様用仮想サーバは、契約終了後、仮想サーバ一式(データベースを含む一切)の削除を行い、情報漏洩対策を行っております。
9.第三者認証について
当社は情報セキュリティ管理のグローバル・スタンダード基準とされる第三者認証基準ISMS(情報セキュリティマネジメントシステム)の国際規格である、
JISQ27001:2014(ISO/IEC27001:2013)を取得しております。当認定は情報セキュリティ対策のみならず、組織全体に渡ってセキュリティ管理体制を構築・監査し、リスクマネジメントを実施することで、企業が保護すべき情報資産の「機密性」「可用性」「完全性」を、バランスよく維持し改善していくことを要求されているものであり、当社が顧客データの扱いと処理につき、十分に安全対策を行っていることを証明しております。
また、2021年1月にISMS審査機関によって、「ISO/IEC 27017:2015」のガイドラインに準拠できている体制であることの評価を受けていますクラウドに特化したアドオン認証を取得いたしました。
10.その他
- 当社の情報セキュリティに関する情報の詳細は以下をご確認ください。
情報セキュリティの認証に関する情報 https://jp.vcube.com/isms
情報セキュリティ基本方針 https://jp.vcube.com/isms/security
V-CUBEサービスのセキュリティ https://jp.vcube.com/isms/security-service
- 「Amazon Web Services」、「AWS」、は、米国その他の諸国における、Amazon.com, Inc. またはその関連会社の商標です。
- 「TRENDMICRO」、および「Trend Micro Workload Security」は、トレンドマイクロ株式会社の登録商標です。
- その他、本書に記載されている社名及び商品名は、各社が商標または登録商標である場合があります。
11.セキュリティ対策一覧
大項目 |
中項目 |
対応概要 |
クラウドサービス基盤 |
データセンターのセキュリティ |
・綿密なアクセス検査と申請フローによるアクセス管理 ・警備員と監視カメラ、侵入検知、アクセスログモニタリングシステムによる24時間365日の監視体制 |
データセンターの災害対策 |
・水道、電気、通信、インターネット接続など冗長化 ・非常用電力と温湿度のモニタリングにより、サービス停止を抑制 |
|
データセンターの設置場所 |
・原則、日本リージョンに構築 ※要望により他国にも対応 |
|
アクセス管理 |
・セキュリティグループ(ファイアウォール)によるアクセス制限 ・ネットワークACL(アクセスコントロール)によるフィルタリング・ポート制限や、ルーティングテーブル、外部ゲートウェイを設定し、綿密なアクセス管理 |
|
サービス稼働状況監視 |
・稼働状況や、CPUやメモリ等のリソースの使用状況をリアルタイムに監視する監視サーバ(Zabbix)を設置 |
|
サーバ構成 |
・ご契約毎にお客様専用の仮想サーバ・専用のURLをご用意するシングルテナント運用 |
|
サーバセキュリティ |
OS |
・Linux(AmazonLinux2) |
セキュリティ対策アプリ |
・Trend Micro Workload Securityを導入 -IPS/IDS(侵入防御) -不正プログラム(マルウェア)対策 -ファイアウォール -Webレピュテーション -変更監視 -セキュリティログ監視 |
|
アプリケーション機能 |
利用アカウント |
・サービス利用アカウントはお客様毎に一意のものを当社より発行 ・パスワードポリシーは英数字(大文字・小文字を含む)の組み合わせ8文字以上 ・お客様側管理者にて、利用ユーザの作成を行う |
サーバアプリケーション機能 |
・通信はhttpトンネリングを使用(トンネリング内データは独自データ) ・伝送データはSSL/TLS暗号化(TLS1.2/TLS1.3) ・会議データや録画データは、サーバ側にはデータ保存されない |
|
システム管理機能 |
・ログイン認証は、ユーザID/パスワードによるものに加え、MACアドレスによる端末認証も可能 ・会議毎に、会議キーによる入室制限が可能 ・アクセス履歴として、接続状況・利用状況の記録、ログ管理が可能 ・監査ログ対応 |
|
クライアントアプリケーション機能 |
・画面共有機能は、ファイル実体の共有はせず、画面の共有のみ ・印刷/保存権限の設定(許可・禁止)が可能 ・録画権限の設定(許可・禁止)が可能 ・会議中のプリントスクリーン禁止 ・管理者および会議主催者による強制退席可能 |
|
アップデート |
・脆弱性対策や機能追加目的のアップデートを定期的に実施 ・サービス停止が伴うアップデートは14日前に通知の上、実施 |
|
脆弱性対策 |
脆弱性診断 |
・脆弱性診断(自主)を定期的に実施。第三者機関による診断も年次で実施 ・内容により対応アップデートを実施 |
データの取り扱い |
データ消失対策 |
・サーバとデータベースは複数サイトで冗長化された基盤上に構築 ・データベースのバックアップ(スナップショット)を信頼性の高いクラウドストレージ上に保管 |
データ破棄 |
・契約終了後、仮想サーバ一式(データベースを含む一切)の削除を実施 |
|
第三者認証 |
ISMS |
・「ISO/IEC27001:2014」「JIS Q 27001:2013」 ・「ISO/IEC 27017:2015」 |