test: セキュリティ概要

本ページは見積書・納品書・請求書・領収書のオンライン管理ツール、MakeLeaps (以下「当社」) のセキュリティ対策に関する説明です。当社ではお客様のデータの安全性を大変重視しており、厳重なデータセキュリティーの確保を軸に事業と開発を行っております。 (MakeLeapsホワイトペーパーをダウンロード)

はじめに

MakeLeapsではお客様のデータの安全性を大変重視しており、厳重なデータセキュリティーの確保を軸に弊社の事業や開発を行っております。

本白書では弊社においてユーザーのプライバシーを保護し、委託されたデータの完全性を保証し、 データの安全性を確保するための取り組みについて解説します。また、これらを実現するにあたり用いたIT産業において奨励される手法も合わせて記載します。

 

エンド・ツー・エンドのセキュリティ

本サービスに保管されたデータは下記のいずれかの方法で取得することが可能です。

・アプリケーションのウェブサイト (ウェブブラウザを利用)
・APIのアクセスポイント

すべてのユーザー情報の取得には適切なアカウントでのログインが必要です。権限の無いユーザー が他のユーザーのプライベートデータを取得できないよう、細心の注意を払って対応しています。

MakeLeapsの通信はAES暗号を利用したTLS方式で行われます。これにより第三者によるデー タ通信の傍受を防止しています。同時にユーザーセッションの乗っ取りも防ぐこともでき、より確 実なユーザー識別を実現しています。

APIの認証とアクセスには業界標準のOAuth2認証プロトコルを使用し、データの安全性を確保 しています。APIで接続する各サービスにはアクセストークンの取得が求められます。また、必要に 応じてアクセストークンを無効化することも可能です。

 

シングルサインオン

本システムはエンタープライズユーザー向けに、サードパーティーや既存のログインシステムを用いた認証も提供しております。認証のエンドポイントとしてSAML (Secure Assertion Markup Language) がサポートされます。このような他の認証システムと連携を通じて、エンタープライズ ユーザーは各企業のユーザーポリシーに合わせてMakeLeapsへのアクセスや退会の管理が行 えます。

4.ホスティングサーバー

MakeLeapsは世界水準の非常に信頼性の高いサーバー管理、データホスティングサービス上 で運営されています。ホスティングプロバイダーは厳格なセキュリティー基準であるSSAE 16 Type IIを満たしており、ユーザーデータの安全性を確保しています。

・データの完全性:すべてのサーバーデータはRAID 10で冗長化されたSSDに保存されている ため、ハードウェアが故障した場合においてもデータの紛失を最小限に留めることができます。

・物理的なセキュリティー:ユーザーデータを保管しているハードウェアへの不正アクセスを防 止するため、様々なセキュリティー規則が導入されています。これには生体認証を用いたサー バールームへのアクセス管理や、24時間体制でのセキュリティースタッフの配置などが含まれます。ハードウェアがサービスに利用されなくなった場合には、データストーレッジは厳格なセ キュリティー基準のもとに破棄されます。

・システムのセキュリティー:すべてのサーバーにシステムパッチングを導入、最新の修正を迅速 に適用することで、常に脆弱性への対応を行っております。また分散型サービス妨害 (DDOS) に対しては軽減レイヤーを利用することで、サーバーの安全性をさらに高めています。

・運用面のセキュリティー:サーバー施設に関わるすべてのスタッフには身辺調査が行われています。また、監査証跡用に従業員の行動は常に記録され、極秘情報に対するアクセスは必要最小限に制限されています。

5.可用性

重要な業務を行うために、MakeLeapsには非常に高い可用性と安定性がユーザーから求められています。ベストプラクティスとホスティングプロバイダの組み合わせにより、99.9%の可用性 を達成しています。

・電力供給や接続システム等の構成上で重要な項目はすべてN+1冗長方式で運用され、ハード ウェア障害が発生した場合でも高い可用性の維持を実現しています。

6.サーバー構成

柔軟にユーザーからのリクエストに対応するため、MakeLeapsは複数のサーバーによって構成、 提供されています。さらに下記の独自の構成要素の追加を行うことでセキュリティーの強化を行っ ています。

・ホストネットワーク外からの攻撃対象領域を減らすため、使用しているすべてのサーバーには個別にファイアーウォールとポートフィルタリングが設定されています。

・ホストネットワーク内でもすべてのサーバーはVPN (バーチャルプライベートネットワーク) で 接続されています。これらサーバー間の通信は暗号化され、ホストネットワーク内のセキュリ ティーも強化されています。

7.データの整合性

MakeLeapsには非常に重要なユーザーデータが預けられており、ハードウェア障害を含め、い かなる状況においても整合性を確保するために細心の注意が払われています。またオフサイト サーバーへの継続的なユーザーデータのバックアップも行われております。このバックアップデー タからデータベースを復元することで、継続的なサービス提供が可能になります。

8.マルチテナント

チーム管理システムによって、ユーザーは自社のビジネスアカウントに他のユーザーをチームメン バーとしてメールで招待できます。この際、招待された方のアドレスには専用の招待リンクが個別に送信されます。このリンクは短期間のみ有効であり、業界基準の乱数アルゴリズムで生成され ます。また、このリンクは招待が承認されると直ちに失効し、第三者がリンクを利用することはでき なくなります。

システム上での他のアクションと同様、ユーザーの招待は履歴に記録され、監査証跡に利用できます。

9.監査

マルチテナントシステムにより、MakeLeapsではシステム上で行われたユーザーのアクションを 監査用に記録しています。また、ユーザー自身もこれらのアクションの記録を閲覧することが可能です。下記の情報がシステムによって記録されています。

・ アクションを行ったアカウント
・ アクションの日時
・ 行われたアクションの情報 (書類作成、ユーザーの招待など)

10.ユーザーデータへのアクセス方針

ユーザーサポートや円滑なサービスを提供するため、MakeLeapsの開発チームや営業チームが ユーザーデータにアクセスする必要が生じる場合もあります。ユーザーデータへのアクセスは必要最低限に制限されており、またデータは厳密な部類分けによって、分離が行われております。

11.アカウントのセキュリティ

ユーザー情報の取得には適切なアカウントでのログインが必要です。権限の無いユーザーが他のユーザーのプライベートデータを取得できないよう、細心の注意を払って対応しています。

MakeLeapsでは、同じビジネスアカウントを複数人で共有することで、ビジネス上のすべての書類を一箇所で容易に確認することができます。 本サービスでは利用者ごとに個別のアカウントを作成することができるため、書類の作成や編集、郵送などアクションの履歴をどのユーザーが行ったのかを正確に記録することが可能です。

また、これらの情報を元に自社のビジネスアカウント内で行われた作業の調査が行えます。 利用者ごとに異なるユーザーアカウントを持つことで、ユーザー名やパスワードを共有する必要がなくなり、重大なセキュリティーリスクを回避することができます。同時にユーザーセッションの乗っ取りも防ぐこともでき、より確実なユーザー識別を実現しています。さらに、他の利用者に影響を与えることなく、特定のユーザーのみを退会させることも可能になります。すべてのデータは適切な権限をもったユーザーとしてログインしない限り、閲覧や編集を行うことはできません。

ユーザーアカウントのパスワードがMakeLeapsのシステム上に平文で保管されることはありません。パスワードはソルトやストレッチなどを利用する業界標準の鍵導出関数で変換された後、システムに保存されます

12.書類送付時のセキュリティー

郵送代行サービス

当社サービスの一環として、ご依頼いただいた書類の印刷、日本郵送での郵送代行サービスを提供しております。これらの書類に記載された個人情報は厳重に扱われ、すべてのアクセスを記録、監査証跡とすることでデータのセキュリティーを確保しております。

また、郵送代行は当社のパートナーであるネクスウェイ株式会社により全自動で行われるため、人の手に触れることは一切ございません。宛先や原稿等のデータは、権限が認められた担当者以外のアクセスは制限されており、発送日から1ヶ月後まで保管され、その後自動的に削除されます。また、不達物については処理日から1ヶ月間保管し、その後は溶解処理にて廃棄されます。

セキュア送信 (Eメール送付)

MakeLeapsでは、書類をオンライン上でクライアントに送信するサービスも提供しています。これらの書類は、始めは期限付きのリンクとしてクライアントに送信されます。アクセス権の無い部外者に推測されないよう、このリンクは業界基準の乱数アルゴリズムによって生成されます。

さらに、書類を受け取ったクライアントがMakeLeapsに登録いただくと、その後の送受信はすべてMakeLeapsサーバ内で完結するため、情報漏洩のリスクを低減できます。

13.API認証とアクセス

APIの認証とアクセスには業界標準のOAuth2認証プロトコルを使用し、データの安全性を確保しています。APIで接続する各サービスにはアクセストークンの取得が求められます。また、必要に応じてアクセストークンを無効化することも可能です。

14.セキュアセッション

全てのページで、全セッションに暗号化とセキュア化を義務付けることで、送信中のメッセージを保護しています。

15.プライバシーとコンプライアンス

詳しくはこちらをご確認ください。

プライバシーポリシー
個人情報保護基本方針

16.WEBサイトの個人情報 (TRUSTe)

当社のウェブサイト (http://www.makeleaps.jp/) はTRUSTeプライバシー・プログラムの認証を受けており、本人の許可なく個人情報を利用、開示、提供することはありません。

TRUSTeは米国の独立した法人であり、その目的とするところは、個人情報の利用、開示、提供とこれらに係る事前同意に関する原則を普及させることにより、インターネット利用者からの信頼を高めることにあります。

当サイトではTRUSTeの認証を受け、TRUSTeマークを掲示することにより、個人情報の取り扱い方の公表及びその取り扱い方に関する方針と実務について、TRUSTeによる監査を受けることに同意しています。

4ad147c0-bc52-11e4-8cd6-69f8d2d1afba

17.その他の関連ページ

利用規約
個人情報保護基本方針
特定商取引に関する法律に基づく表示

18.お問い合わせ

なにかご不明な点・ご質問などがありましたら、メールや電話でもお気軽にご連絡ください。
MakeLeapsサポート (営業時間:祝休日を除く、

平日 10:00 〜 18:00

)
メールアドレス support@makeleaps.com
電話番号 -