セキュリティ情報

スクリーンショット 2015-04-20 14.16.37

本ページはクラウド型請求ソフト「MakeLeaps」(以下「当社」)のセキュリティ対策に関する説明です。当社ではお客様のデータの安全性を大変重視しており、厳重なデータセキュリティの確保を軸に事業と開発を行っております。
(MakeLeapsホワイトペーパー PDFダウンロード

はじめに

本ページでは当社においてユーザーのプライバシーを保護、委託されたデータの完全性を保証し、データの安全性を確保するための取り組みについて解説します。また、これらを実現するにあたり用いたIT産業において奨励される手法も合わせて記載します。

 ※ 導入企業の皆様へ セキュリティのベストプラクティスはこちら

エンド・ツー・エンドのセキュリティ

本サービスに保管されたデータは下記のいずれかの方法で取得することが可能です。

・アプリケーションのウェブサイト(ウェブブラウザを利用)
・APIのアクセスポイント

いかなるユーザー情報でも、その取得には適切なアカウントでのログインによる認証が必要です。権限のないユーザーが他のユーザーのプライベートデータを取得できないよう、細心の注意を払って対応しています。

MakeLeapsの通信はAES暗号を利用したTLS方式で行われます。これにより第三者によるデータ通信の傍受を防止しています。同時にユーザーセッションの乗っ取りも防ぐこともでき、より確実なユーザー識別を実現しています。

APIの認証とアクセスには業界標準のOAuth 2認証プロトコルを使用し、データの安全性を確保しています。各サービスがAPIで接続する際には、事前に発行されたアクセストークンが求められます。また、必要に応じてアクセストークンを無効化することも可能です。

シングルサインオン

本システムはエンタープライズユーザー向けに、サードパーティーや既存のログインシステムを用いた認証も提供しています。認証のエンドポイントにはSAML(Secure Assertion Markup Language)がサポートされています。このような他の認証システムとの連携を通じて、エンタープライズユーザーは各企業のユーザーポリシーに合わせてMakeLeapsへのアクセスや退会の管理が可能です。

ホスティングサーバー

MakeLeapsは世界水準の非常に信頼性の高いサーバー管理、データホスティングサービス上で運営されています。ホスティングプロバイダーは厳格なセキュリティ基準であるSSAE 16 Type IIを満たしており、ユーザーデータの安全性を確保しています。

データの完全性
すべてのサーバーデータはRAID 10で冗長化されたSSDに保存されているため、ハードウェアが故障した場合においてもデータの紛失を最小限に留めることができます。

物理的なセキュリティ
ユーザーデータを保管しているハードウェアへの不正アクセスを防止するため、様々なセキュリティ規則が導入されています。これには生体認証を用いたサーバールームへのアクセス管理や、24時間体制でのセキュリティスタッフの配置などが含まれます。ハードウェアがサービスに利用されなくなった場合には、データストレージは厳格なセキュリティ基準のもとに破棄されます。

システムのセキュリティ
すべてのサーバーにシステムパッチングを導入、最新の修正を迅速に適用することで、常に脆弱性への対応を行っております。また分散型サービス妨害(DDOS)に対しては軽減レイヤーを利用することで、サーバーの安全性をさらに高めています。

運用面のセキュリティ
サーバー施設に関わるすべてのスタッフには身辺調査が行われています。また、監査証跡用に従業員の行動は常に記録され、極秘情報に対するアクセスは必要最小限に制限されています。

可用性

重要な業務を行うために、MakeLeapsには非常に高い可用性と安定性がユーザーから求められています。ベストプラクティスとホスティングプロバイダの組み合わせにより、99.9%の可用性を達成しています。

・電力供給や接続システム等の構成上で重要な項目はすべてN+1冗長方式で運用され、ハードウェア障害が発生した場合でも高い可用性の維持を実現しています。

サーバー構成

柔軟にユーザーからのリクエストに対応するため、MakeLeapsは複数のサーバーによって構成、提供されています。さらに下記の独自の構成要素の追加を行うことでセキュリティの強化を行っています。

・ホストネットワーク外からの攻撃対象領域を減らすため、使用しているすべてのサーバーには個別にファイアーウォールとポートフィルタリングが設定されています。

・ホストネットワーク内でもすべてのサーバーはVPN(バーチャルプライベートネットワーク)で接続されています。これらサーバー間の通信は暗号化され、ホストネットワーク内のセキュリティも強化されています。

データの整合性

MakeLeapsには非常に重要なユーザーデータが預けられており、ハードウェア障害を含め、いかなる状況においても整合性を確保するために細心の注意が払われています。またオフサイトサーバーへの継続的なユーザーデータのバックアップも行われております。このバックアップデータからデータベースを復元することで、継続的なサービス提供が可能になります。

マルチテナント

チーム管理システムによって、ユーザーは自社のビジネスアカウントに他のユーザーをチームメンバーとしてメールで招待できます。この際、招待された方のアドレスには専用の招待リンクが個別に送信されます。このリンクは短期間のみ有効であり、業界基準の乱数アルゴリズムで生成されます。また、このリンクは招待が承認されると直ちに失効し、第三者がリンクを利用することはできなくなります。

システム上での他のアクションと同様、ユーザーの招待は履歴に記録され、監査証跡に利用できます。

監査

マルチテナントシステムにより、MakeLeapsではシステム上で行われたユーザーのアクションを監査用に記録しています。また、ユーザー自身もこれらのアクションの記録を閲覧することが可能です。下記の情報がシステムによって記録されています。

・アクションを行ったアカウント
・アクションの日時
・行われたアクションの情報(書類作成、ユーザーの招待など)

ユーザーデータへのアクセス方針

ユーザーサポートや円滑なサービスを提供するため、MakeLeapsの開発チームや営業チームがユーザーデータにアクセスする必要が生じる場合もあります。ユーザーデータへのアクセスは必要最低限に制限されており、またデータは厳密な部類分けによって、分離が行われております。

アカウントのセキュリティ

いかなるユーザー情報でも、その取得には適切なアカウントでのログインによる認証が必要です。権限のないユーザーが他のユーザーのプライベートデータを取得できないよう、細心の注意を払って対応しています。

MakeLeapsでは、同じビジネスアカウントを複数人で共有することで、ビジネス上のすべての書類を一箇所で容易に確認することができます。本サービスでは利用者ごとに個別のアカウントを作成することができるため、書類の作成や編集、郵送などアクションの履歴をどのユーザーが行ったのかを正確に記録することが可能です。

また、これらの情報を元に自社のビジネスアカウント内で行われた作業の調査が行えます。利用者ごとに異なるユーザーアカウントを持つことで、ユーザー名やパスワードを共有する必要がなくなり、重大なセキュリティリスクを回避することができます。同時にユーザーセッションの乗っ取りも防ぐこともでき、より確実なユーザー識別を実現しています。さらに、他の利用者に影響を与えることなく、特定のユーザーのみを退会させることも可能です。すべてのデータは適切な権限をもったユーザーとしてログインしない限り、閲覧や編集を行うことはできません。

ユーザーアカウントのパスワードがMakeLeapsのシステム上に平文で保管されることはありません。パスワードはソルトやストレッチなどを利用する業界標準の鍵導出関数で変換された後、システムに保存されます。

書類送付時のセキュリティ

郵送代行サービス

当社サービスの一環として、ご依頼いただいた書類の印刷、日本郵便株式会社での郵送代行サービスを提供しております。これらの書類に記載された個人情報は厳重に扱われ、すべてのアクセスを記録、監査証跡とすることでデータのセキュリティを確保しております。

また、郵送代行は当社のパートナーであるネクスウェイ株式会社により全自動で行われるため、人の手に触れることは一切ございません。宛先や原稿等のデータは、権限が認められた担当者以外のアクセスは制限されており、発送日から1ヶ月後まで保管され、その後自動的に削除されます。また、不達物については処理日から1ヶ月間保管し、その後は溶解処理にて廃棄されます。

セキュア送信(Eメール送付)

MakeLeapsでは、書類をオンライン上でクライアントに送信するサービスも提供しています。これらの書類は、始めは期限付きのリンクとしてクライアントに送信されます。アクセス権のない部外者に推測されないよう、このリンクは業界基準の乱数アルゴリズムによって生成されます。

さらに、書類を受け取ったクライアントがMakeLeapsに登録いただくと、その後の送受信はすべてMakeLeapsサーバー内で完結するため、情報漏洩のリスクをより低減できます。

API認証とアクセス

APIの認証とアクセスには業界標準のOAuth 2認証プロトコルを使用し、データの安全性を確保しています。各サービスがAPIで接続する際には、事前に発行されたアクセストークンが求められます。また、必要に応じてアクセストークンを無効化することも可能です。

セキュアセッション

すべてのページで暗号化を必須とすることで、送受信されるデータのセキュリティを全セッションで保護しています。

プライバシーとコンプライアンス

詳しくはこちらをご確認ください。

プライバシーポリシー
個人情報保護基本方針

WEBサイトの個人情報(TRUSTe)

当サイトでは一般社団法人日本プライバシー認証機構よりTRUSTeの認証を受け、TRUSTeマークを掲示することにより、個人情報の取り扱い方の公表及びその取り扱い方に関する方針と実務について、監査を受けることに同意しています。

※一般社団法人日本プライバシー認証機構:米国法人TRUSTeから、日本国内における事業者とその日本語を主言語とするウェブサイトにプライバシー認証付与する認証団体(一般社団法人日本プライバシー認証機構)。

TRUSTe logo

その他の関連ページ

利用規約
特定商取引に関する法律に基づく表示

お問い合わせ

何かご不明な点・ご質問などがありましたら、メールや電話でもお気軽にご連絡ください。
サポート時間:祝休日を除く、平日9:00〜18:00
メールアドレス:support@makeleaps.com
電話番号:03-4550-1548

このページを共有: