CMS BlueMonkeyのセキュリティ対策
セキュリティの専門知識を持った人材が
不足していても大丈夫!CMS BlueMonkeyは
安全な
多層防御を
実装しています
CMS BlueMonkeyは、ネットワーク領域でのセキュリティ対策にくわえ、Webサーバー領域・アプリケーション領域においても、さまざまな対策を実施。障害時には、速やかに対応できる仕組みも構築しています。
これにより、セキュリティの専門知識を持った人材が不足しているお客様でも、安心してご利用いただけます。
CMS BlueMonkeyのセキュリティ対策の特長
【堅牢性】四層構造で個人情報もしっかり管理
ネットワーク帯では、D-dos対策・IPS・ファイヤーウォール・WAFを利用し、各種攻撃的なアクセスを遮断しております。また、個人情報を含む重要なデータベースまでは四層構造としており、直接データを参照できない仕組みにしております。
【可用性】大量アクセスにもCDNで対処
CDN(コンテンツ・デリバリ・ネットワーク)の実装により、瞬間的な大量アクセスがあっても安定したコンテンツ配信を実現。
【冗長性】障害を未然に防ぐ&障害時対策も万全
高い負荷がかかるとクラウドサーバーの台数を自動的に増減させるオートスケールや、物理的なサーバー障害時にはフェイルオーバーやマルチAZなどで対策。障害を未然に防ぐとともに、障害時にも速やかな対処で冗長性を確保します。
標準のセキュリティ対策
ネットワークでの対策
D-Dos対策
インターネット上のトラフィックを増大させ、通信を処理しているネットワーク回線やサーバーの機能を占有する帯域飽和型のサイバー攻撃に対応します。
IPS
お客様のネットワークを最新の状態に保ち、不正アクセスや攻撃などの兆候や深刻な脅威を検知・防御します。
FW(ファイヤーウォール)
内部ネットワークを外部インターネットの間に設置することで両者間の通信を制御し、内部ネットワークの安全を保護します。
WAF
(ウェブアプリケーション
ファイヤーウォール)
外部のネットワークからの不正アクセスを防ぐためのファイアウォールの一種で、特に、Webアプリからの不正アクセスを防ぐものを指します。
Webサーバーでの対策
OS/MWの最新化
WebサーバーやアプリケーションのOS(オペレーティングシステム)やミドルウェアを常に最新の状態に保つことで、セキュリティリスクを最小限に抑えています。
パッチマネジメント
ソフトウェアに穴やほころび(バグ)が発生した際につくられる修正用のパッチファイルを適用したり、適用状態を把握し管理する運用方法。
ウィルススキャン
Webサーバーやアップロードされるファイルに対してウィルススキャンを実施し、マルウェアや不正プログラムの侵入を防ぎます。
改ざん検知サービス
不審者によるホームページの改ざんがあった場合、速やかに管理者へ報告。早急な対応が可能になります。
24時間監視
CPU使用率、メモリ使用率、ディスク使用率などサーバーのロードバランスを常に監視し、問題の予兆を確認した際は、有人監視に切換えて対応を行います。
不正ログ監視
不正アクセスや不審な操作が行われた場合に備え、サーバーログや管理画面のアクセスログを常時監視しています。
アプリケーションでの対策
IPアドレス制限
CMS管理画面に対して関係者以外アクセスが出来ないようにIPアドレス制限を設定することができます。
Webサイトの脆弱性対応
クロスサイトスクリプティングやSQLインジェクションに対応するため、特別な意味を持つ文字(記号など)を無効化して意図したアクションをさせないようにする処理。
2ファクター認証
パスワードに加えて確認コードを入力することで、より強固な本人確認を実現し、不正ログインを防止します。
※2ファクターの利用にはCloudCIRCUSConsoleの利用が必要です。
障害復旧対策
オートスケール
システムの負荷状況に応じて、自動的にサーバーなどのリソースを増台します。
HA機能(自動フェイルオーバー)
万一の物理的なサーバー障害時にも、ほかの正常な物理ホスト上に仮想マシンを再起動を行います。
マルチAZ
複数の物理拠点(アベイラビリティゾーン)にシステムを分散配置し、障害発生時もサービスの継続性を確保します。
バックアップ
バックアップサーバにて差分取得を10世代分保存します。 ※ただし、あくまで有事の際に利用するデータなため基本的にはアプリ側で取得するバックアップをご利用頂きます。
セキュリティ体制
定期的なバージョンアップでセキュリティ対策も万全です!
パッチマネジメントによる脆弱性対応
コンピューターウイルス対策などを推進する独立行政法人IPA(情報処理推進機構)から啓発されるソフトウェアの脆弱性に関しても、定期的にバージョンアップを施すことで、安全性を維持しています。
検知
IPAからの情報を受信 提供するサービスに影響があるか確認
検討
CMSを利用する顧客に影響があるかを部門責任者間で議論
計画
スケジュールを計画 内容によっては顧客周知もおこなう
実装
当社技術者によるパッチ適用作業を実施
メンテナンス情報について
サーバーメンテナンスについては、基本的にサポートサイトでの告知となります。
情報セキュリティインシデントへの対応
通知について
当社の管理するシステム(Webアプリ・Webサーバー)で発しした障害などによって、何らかの影響が発生している場合や、その他、当社がお客様に報告すべきと判断した場合においてお客様への通知を行います。
通知形式について
お客様に与える影響値により通知方法を変更しております。影響が少ないと判断したものは掲示板での通知、影響が大きいと判断したものは予めご登録いただいたご連絡先にメール通知を行います。
通知の目標時間
当社で検知したインシデントは検知した時間から30分以内での通知を目標としております。
ただし、サポート窓口は24時間で稼働していないため深夜などに発生した事象につきましては、翌営業日の通知となります。
対応窓口について
サポート窓口にて対応いたします。
お客様でインシデントを検知された場合は、サポート窓口までご連絡ください。 情報セキュリティ基本方針
情報セキュリティ基本方針
スターティアグループは、IT環境からファシリティまでトータルオフィスソリューションを営む会社として、情報セキュリティ保護の重要性を強く認識し、会社の情報資産をあらゆる脅威から保護し、適切な安全管理をすることを目的に、情報セキュリティ基本方針を定め継続的な情報セキュリティ対策の取り組みを実施します。
