情報セキュリティ

Xakiaのデータ保護に対するお客様からの信頼は、私たちにとって軽視できるものではありません。エンタープライズクラスのセキュリティ機能と、アプリケーション、システム、ネットワークの包括的な監査を組み合わせることで、お客様とビジネスのデータが常に守られていることを確認しています。

データ保護

バックアップすべてのデータは、99.9%のアップタイムSLAを持つMicrosoft Azureに保存されています。データは5分ごとにトランザクションでバックアップされ、各バックアップは35日間保存されます。これにはアクセスログも含まれます。

暗号化 Xakiaは、256ビットのAES暗号を使用して、お客様のデータの残りの部分の暗号化をサポートし、実装しています。

Xakiaサービス間のすべての通信は、業界標準のHTTPSを使用して暗号化されます。これにより、電子メール通知を含むお客様とXakiaの間のすべてのトラフィックは、転送中も安全であることが保証されます。送信中のデータは、TLS 1.2を使用して暗号化されます。

加工 データは、当社のクラウドプロバイダーであるMicrosoft Azureに保存されます。サービスを提供する目的でのみ処理されます。その他の情報は、個人的なものであれ、その他のものであれ、第三者によって処理されることはありません。

認証Xakiaは、安全なクレデンシャル・ストレージのベストプラクティスに従い、ユーザーに政府レベルのパスワード要件を課しています。

Xakiaは、あなたが定義した特定のIPアドレス範囲からのアクセスのみを許可するように設定することができます。

Xakiaは、OpenID Connect(OIDC)を使用したシングルサインオンをサポートしています。

Xakiaは、多要素認証をサポートしています。

オーナーシップデータは常にお客様の所有物です。

アプリケーションセキュリティ

リアルタイムの監視と警告Azureは、侵入検知システム(IDS)または侵入防止システム(IPS)を使用して、主要なアプリケーションデータフローの入口と出口を監視します。これらのシステムは、インシデントや値が所定のしきい値を超えた場合にアラートを生成するように構成されており、新しい脅威に基づいて定期的に更新されるシグネチャを使用します。

アプリケーションの脆弱性スキャン Xakiaでは、Azure monitorとAzure Security Centerを組み合わせて、セキュリティ管理を行っています。

監査

侵入テストXakiaでは、社内の広範なスキャンとテストプログラム、および社外の継続的なスキャンに加えて、第三者のセキュリティ専門家を採用し、半年ごとにXakiaアプリケーション全体の広範な侵入テストを実施しています。

第三者による侵入テストは、情報セキュリティ・テスターのためのCREST基準に従って実施されます。組織とその従業員は、CRESTによって承認され、認定されています。

ISO 27001:情報セキュリティマネジメントシステム監査当社は、社内ポリシーとISO 27001の要求事項への準拠を維持するために、インフラと手順の定期的な内部監査を実施しています。

さらに、ISO 27001認証および関連する情報セキュリティマネジメントシステムを検証するために、第三者による年次監査を実施しています。

セキュアな開発

トレーニングとプロセステスト環境とステージング環境は、本番環境から物理的・論理的に分離されています。開発環境やテスト環境では、お客様のデータは一切使用されません。

エンジニアは、少なくとも年に一度、セキュアコードトレーニングに参加しています。このトレーニングでは、OWASPトップ10のセキュリティ上の欠陥、一般的な攻撃ベクトル、Xakiaのセキュリティ管理について学びます。

OWASPトップ10のセキュリティ上の欠陥に対するエクスポージャーを制限するために、フレームワークによるセキュリティコントロールを利用しています。これには、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、SQLインジェクション(SQLi)などへの暴露を低減する固有のコントロールが含まれます。

環境 テスト環境やステージング環境は、本番環境とは物理的・論理的に分離されています。開発環境やテスト環境では、お客様のデータは一切使用されません。

自動化テスト Xakia社は、本番導入前の開発パイプラインに自動テストを導入しました。

ソースコードとバージョン管理 プログラムのソースコードへのアクセス制御は、Azure devopsによって行われます。開発者は、Azureのアクセスポリシーに従って、特定の責任を果たすために必要なリポジトリへのアクセスを許可されます。

人的資源セキュリティ

アクセス 資産分類方針に基づき、アクセス権限の変更や追加は、アクセスの必要性に応じて資産の所有者が承認します。全従業員を対象とした資産アクセスの記録が保管されます。アクセスレベルは、継続的な雇用責任を果たすために必要な場合にのみ付与されます。

Xakiaは、従業員が機密情報にアクセスする際には、厳格なパスワードポリシー、多要素認証、SSOを使用しています。

バックグラウンドチェックXakiaは、現地の法律に基づき、すべての新入社員のバックグラウンドチェックを行っています。バックグラウンドチェックでは、犯罪歴、学歴、雇用歴の確認を行います。

守秘義務 すべての新入社員は、採用プロセスで審査され、雇用契約の一部として秘密保持条項と機密保持条項に署名することが求められます。

セキュリティ意識の向上 すべての新入社員は、セキュリティ意識向上トレーニングに参加し、セキュリティチームは、電子メール、ブログ投稿、社内イベントでのプレゼンテーションを通じて、セキュリティ意識向上のための最新情報を提供しています。すべての従業員は、四半期ごとに情報セキュリティトレーニングのレビューを受けます。また、ISMSに大きな変更があった場合には、より早く従業員の教育が必要となります。

四半期ごとの内部監査と年1回の外部(第三者)監査を実施し、全社員が情報セキュリティの方針と手順を守っていることを確認しています。