Security
私たちのコミュニケーションプラットフォーム (CPaaS) は、すべてのメッセージングチャネルに加え、次世代の決済およびスマート識別ツールを含みます。
また、カスタマーデータプラットフォーム (CDP) を通じて、これらの機能を簡単に利用できるようにしています。
私たちは、最高水準のセキュリティとコンプライアンスを維持しながら、柔軟性、拡張性、迅速性をもってお客様にサービスを提供することを目指しています。
データセキュリティと事業継続性を監視、管理、そして継続的に改善するための対策が整えられています。このページでは、その方法についての洞察を提供しています。
定期的にバックアップを実施し、すべてのデータを安全かつ確実に保管し、災害復旧時に迅速に復元できるようにしています。
認証された第三者のサプライヤーを使用して、半年ごとまたは四半期ごとにペネトレーションテストを実施しています。
基本的に、CMのプライベートクラウド上のすべてのデータはオランダ(EU)に保存されます。
- セキュリティスタッフ、ドアロック
- 監視設備(例: CCTV映像、アラームシステム)
- 自動物理アクセス制御システム
- データセンターおよびデータウェアハウジングへの訪問者のログ管理
・不正アクセスの防止
・トラフィックの監視と制御
・セキュリティの強化
・リソースの最適化
・脅威の検出と対応
- ネットワークトラフィックの偏差
- 悪意のある攻撃
- ログの量の偏差
- 信頼されていないIPアドレスからのトラフィック
- DDoS攻撃の監視と軽減
- サーバーとデータベースのフルシステムバックアップを毎日実施しています
- トランザクションログのバックアップを高頻度で実施しています
- バックアップはオフサイトの場所に保存しています
サービス仕様の一環として、クラウドサービスプロバイダーは、クラウドサービスの顧客とクラウドサービスプロバイダーの間で情報セキュリティインシデント管理の責任と手順を明確に定義する必要があります。
顧客は、自身のデータや生成されたトラフィックに対する責任を負い、それにはセキュリティ対策も含まれます。
利用規約を読むCM.comの主な目標は、世界中のユーザーに最適にリーチできる、全てのチャネルと機能を備えたグローバルなプラットフォームを提供することです。私たちのCommunications Platform as a Service (CPaaS)には、すべてのメッセージングチャネル、次世代の支払い手段、スマートな識別ツールが含まれています。また、Customer Data Platform (CDP)を使用することで、これらの機能を簡単に利用できます。
私たちは、お客様にサービスを提供する際に、柔軟性、スケーラビリティ、迅速性を保ちながら、最高水準のセキュリティとコンプライアンスを維持することを目指しています。そのため、CM.comのプラットフォーム上のすべてのソフトウェアは、自社スタッフによって設計・開発されています。プラットフォームは、自社運用のサーバーとソフトウェア上で稼働し、トップティアの認定サプライヤーが運営する外部データセンターを含む、自社データセンターにホストされています。CM.comのプライベートクラウドは、オランダで運営されています。
CM.com内の情報システムへの論理的アクセスは、ユーザーと管理者によって管理されています。
アプリケーションへのユーザーアクセスは、ユーザーID、パスワード、認証キーの3つの制御要素によって管理されます。認証キーは、個人の携帯電話またはメールアドレスに提供されます。これは、当社のスタッフだけでなく、CMプラットフォームのすべてのユーザーにも適用されます。
CM.comは、非アクティブなアカウントを無効にすることで、プラットフォームへのユーザーアクセスを定期的に整理しています。
スタッフのユーザーアクセスは、一般的なシステム(例えば、社内イントラネット、デスクトップ環境、ネットワークドライブ)についてはシステム管理者によって管理され、特定のチームや機能が使用する情報システムについては専任のアプリケーション管理者によって管理されています。
CM.comには、セキュリティが適切に管理されるようにするための複数のポリシーと措置が整備されています。
CM.comが使用するすべてのサイトにおいて、セキュリティとアクセス要件が満たされることを保証するために、CM.comのすべてのサービスは以下の要件に準拠しています:
物理的アクセス
CM.comが使用するサードパーティのデータセンターは、ISO 27001の要件を満たす必要があります。これらのデータセンターには独自のセキュリティアクセスポリシーがあり、CM.comはこれらのサードパーティデータセンターのセキュリティと冗長性を慎重に評価し、当社およびお客様の基準を満たしていることを確認しています。CM.comは、これらのデータセンターが毎年再認証に成功しているかどうかを確認しています。
CM.comが使用するデータセンターに保存されているサービス、機器、データへのアクセスは、CM.comの認可された担当者にのみ許可されています。アクセスは、入場時に有効な身分証明書が登録された場合にのみ許可されます。
アクセスリストへの人員の追加および削除は、人事部門によって開始され、ICT部門によって実行され、従業員のチームマネージャーによって監視されます。
サードパーティのサービスプロバイダーは、CM.comの認可された担当者に付き添われた場合にのみ、サービスや機器へのアクセスが許可されます。アクセスは、入場時に有効な身分証明書が登録され、資格のあるCM.com従業員の承認を得た後にのみ許可されます。
その他の敷地や施設への不正な物理的アクセスを防止するために、以下のような様々な制御が実施されています:
セキュリティスタッフ
監視設備(例:CCTV映像、警報システム)
自動物理アクセス制御システム
ドアの施錠
データセンターやデータウェアハウジングへの訪問者のログ記録
物理的セキュリティ
供給に使用されるアクセスポイントは監視カメラによって管理され、情報処理施設から隔離されています。
環境の状態を確認するため、すべてのサイトは少なくとも2週間ごとに訪問されます。
CM.comのサービスは世界中で利用されているため、CM.comは24時間365日サービスを提供しています。NOCスタッフは、当社のブレダにあるデータセンターに24時間365日常駐しており、CCTVカメラを通じてすべての重要な出入り口を常に監視しています。記録された映像は120日間保持され、これらの映像へのアクセスは指定された4人の担当者に限定されています。
従業員のパスワードは16文字以上である必要があります。5回のログイン試行が失敗した後、ユーザーアカウントは30分間ブロックされ、成功したログイン後に解除されます。
私たちは、インフラストラクチャのすべてのインターネット接続要素にファイアウォールを使用して、データを保護し、CM.comプラットフォーム上のすべてのトラフィックを制御しています。ファイアウォールは、常にすべての従業員のエンドポイントで有効にされています。IDS、IPS、およびWAFは、本番環境のファイアウォールで有効化されています。
すべての機器とサーバーは、適切なリアルタイムのアンチウイルス、アンチスパイウェア、アンチマルウェアソフトウェア(エンドポイント保護)を使用して保護されています。これらの機器の結果とログは集中データベースに保存されます。監視とアラートはこの集中データシステムから行われ、結果はNOC/SOCに提供されます。リアルタイムのネットワーク監視が行われ、AIに基づいて悪意のある行動を検出することができます。
CM.comプラットフォームを通過するすべてのネットワークトラフィックと、人およびAPIに提供されるアクセスは、厳密に分離されゾーン化されています。共通の目的を持つサービスは、すべて隔離されたゾーンで実行され、物理的、仮想的、またはユーザー/サービスごとの分離に基づいて、許可されたシステムやサービスへのアクセスのみが提供されます。これには以下が含まれます。
送信トラフィック
受信トラフィック
ゾーン間のネットワークトラフィック
ユーザーごとのデータおよびポータルへのアクセス
ユーザーデータの送受信に対するアクセス
CM.comが外部からの脅威を迅速に監視し対応するために、効果的な集中ログ記録、脅威検出、そして緩和策を導入しています。以下の対策が実施されています。
ネットフロー、syslog、専有プロトコルに基づいた全トラフィックの集中ログ記録
パッチ管理プロセスを支援するための脆弱性スキャン
アプライアンスや集中ログへの外部脅威分析およびフィンガープリントのフィード
ボリューム攻撃や遅延攻撃に特化した自動DDOS防御環境
Microsoft Azureが提供する標準化ツールやCloudflare DDOS保護スイートを利用して、APIやDDOS攻撃からクラウドインフラを保護
各ゾーンにおける既知の脅威に自動対応し、集中ログシステムに報告するセキュリティアプライアンスおよびサービス
具体的には以下のようなセキュリティ対策が含まれます:
ファイアウォール
侵入検知システム(IDS)
侵入防止システム(IPS)
ゲートウェイ型ウイルス対策(エンドポイント保護)、マルウェアフィルタ、スパムフィルタ
Webアプリケーションファイアウォール(WAF)
異常検出
CM.comのプラットフォームは、CM.comの専門スタッフによって年中無休で監視されています。これにより、セキュリティインシデントにつながる可能性のある脅威やエラーを早期に検出することができます。CM.comでは、プラットフォームの運用および情報処理を検証するために、4種類の監視を行っており、これらの監視と関連するコントロールはすべて自動化されています。
ログが公開されることはなく、CM.com製品のステータスはstatus.cm.comページで確認できます。CM.comのログは、顧客データベースと同様に保護されています。
CM.comが実施している4種類の監視は、基本サーバー監視、アプリケーションテストスクリプト、トレンド監視、およびセキュリティ監視です。特別なセキュリティ監視ツールを使用して、以下を検出します。
ネットワークトラフィックの異常
悪意のある攻撃
ログ量の異常
信頼できないIPアドレスからのトラフィック
DDOS攻撃の監視と軽減
これらのログはすべて、セキュリティチームおよびNOCによって監視されています。
私たちは、認定された第三者のサプライヤーを使用して、半年ごとまたは四半期ごとにペネトレーションテストを実施しています。これに加えて、バグ報奨金プログラムにも参加しており、認定スキャンベンダーと脆弱性評価アプリケーションを使用して、外部および内部の脆弱性スキャンを行っています。これらのスキャンは高度に自動化されており、テストの種類に応じて、その頻度(毎日から毎月)が決定されます。
CM.com は、すべてのデータが安全かつ確実に保存されるように、定期的なバックアップを実施しています。これにより、災害が発生した場合でも迅速にデータを復旧できます。
サーバーおよびデータベースの完全バックアップは毎日実行されます。
トランザクションログのバックアップは高頻度で実行されます。
バックアップはオフサイトの場所に保存されます。
バックアップの作成は CM.com 内で自動化されたプロセスです。認定された資格を持つ許可されたスタッフのみがバックアップにアクセスできます。
プラットフォームの設計は、常に稼働している高可用性アーキテクチャに基づいています。
CM.com は、サービスを提供するために必要以上にトラフィックや顧客データを保持しません。
すべての CM.com 基本 SQL サーバーの毎日の完全バックアップの保持期間は 6 日間です。
毎日の差分データベースバックアップのガイドラインは 4 週間です。
毎週のデータベースバックアップのガイドラインは 3 か月です。
サーバー構成データのバックアップは 7 日間保持されます。
アクセスログは 90 日間保持されます。
CM.com は、オランダにバックアップを保存しています。複数の場所に複数のプラットフォームがあり、バックアップは常にすべてのスレーブデータベースに復元されます。オランダに加えて、バックアップは CM.com の別のデータセンターにも保存されているため、バックアップは常に外部の場所で利用可能です。
CM.comは、サービスの可用性とプロセスの可用性をサービスレベル契約(SLA)で約束します。このコミットメントに寄与するすべての要因がCM.comの完全な管理下にあるわけではありません。CM.comは、スタッフ、オフィス、データセンターの場所、設備に影響を与える重大な問題からビジネスへのダメージを最小限に抑えるために、事業継続計画(BCP)を策定しました。この計画は以下の側面をカバーしており、年に数回更新されます。
詳細な復旧手順
BCPの保守テストとトレーニング
危機管理コミュニケーションプロトコルがあり、プラットフォームのステータスページはホステッド環境に設定されています(https://status.cm.com/)。
正式な変更管理/運用変更ポリシーが存在します。このポリシーは毎年共有され、改訂および更新されます。これにより、資産(例:メンテナンス、修理)に対する変更が実施され、記録されることが保証されます。
また、ITとセキュリティの間で構成された変更諮問委員会(Change Advisory Board、CAB)も存在し、変更やその可能性のある影響について協議します。これらの変更とその影響は、CISO(最高情報セキュリティ責任者)とCEO(最高経営責任者)との間で3週間ごとに行われる会議で議論されます。
CM.comはインシデントを次のように分類しています。
・重大度4: インシデント
・重大度3: 障害
・重大度2: 停止
・重大度1: 重大な停止
これらすべての分類において、セキュリティチームはインシデント対応とデジタルフォレンジックを実施してインシデントに対処します。情報セキュリティインシデントが発生した場合、CM.comにはインシデント対応計画が用意されています。
侵害、ハッキング、またはデータ漏洩が発生した場合、CM.comは以下のプロトコルを実施します。
セキュリティチームはサポートチームと連携し、インシデント発生時に1次、2次、3次のサポートと対応を提供します。
脅威を排除し、損害を抑え、安全なサービスの可用性を回復し、再発防止のための構造的な対策を実施するための事業継続計画があります。
セキュリティインシデントが発生した場合、重大度やSLAレベルに応じて、status.cm.com、メール、または個人的な電話を通じて適切なコミュニケーションチャネルを使用して顧客に通知します。
電子通信プロバイダーとして、CM.comはセキュリティインシデントが発生した場合、関連当局に通知する独立した義務を負っています。
可能性のある、または証明されたセキュリティインシデントの検出または疑い:
個人データ侵害に関して、CM.comは、CM.comまたは下請け業者が関与する個人データ侵害について、影響を受けたクライアントごとに遅滞なく(ただし、個人データ侵害を認識してから遅くとも48時間以内に)通知します。この通知は、該当する連絡先に対して電子メールで伝達されます。
データ暗号化:
CM.comは、データを暗号化するために強力な暗号化アルゴリズムを適用します。これにより、物理サーバーやストレージデバイスに保存された機密データが安全に暗号化され、適切な復号化キーがない限り読み取れない状態が保たれます。
キー管理:
当社では、データの暗号化および復号化に使用される暗号化キーを安全に生成、保存、管理するための強固なキー管理手法を実施しています。これには、安全なキー保管メカニズムの実装や、適切なアクセスおよび監査コントロールの確保が含まれます。
安全なストレージインフラ:
当社は、暗号化ファイルシステムやデータベースストレージを含む安全なストレージインフラを使用して、静止データを保護しています。このインフラにより、物理的なストレージ媒体が侵害された場合でも、データが暗号化されており、不正な第三者がアクセスできない状態が維持されます。
コンプライアンス:
当社は、静止データの暗号化に関する業界のベストプラクティスやコンプライアンス要件に従っています。これには、規制当局や特定のデータセキュリティおよびプライバシーフレームワークによって設定された基準やガイドラインに従うことが含まれます。
定期的な監査と監視:
当社は、静止データ暗号化機能のコンプライアンスを確保し、潜在的な脆弱性やリスクを特定するために、定期的な監査と監視を行っています。この積極的なアプローチにより、問題を迅速に解決し、保存されたデータのセキュリティを継続的に向上させることができます。
ドキュメントとポリシー:
当社は、使用する暗号化アルゴリズム、キー管理手順、データアクセスコントロールを含む、静止データ暗号化の実施方法に関する明確なドキュメントおよびポリシーを維持しています。これらのポリシーは一貫性を確保し、静止データを保護するための安全な枠組みを確立するのに役立ちます。
セキュリティ研究者または顧客として、当社のシステムに脆弱性を発見した場合、システムの安全性と信頼性を共に向上させるために、ぜひご報告ください。
脆弱性を報告するか、CM.comのウェブサイトやサービスに関するセキュリティ上の懸念がある場合は、以下のメールアドレスにご連絡ください。
- セキュリティ脆弱性の報告: [email protected] 英語のみ
- クライアントからのリクエスト: [email protected]
開示ポリシーを見るSelect a region to show relevant information. This may change the language.
+81 03 6892 4177
