Rock Robotic は、業界のベストプラクティスを適用して安全性を確保しています。この文書では、お客様のデータが悪者の手に渡らないようにするために当社が講じる措置の概要を説明します。
プラットフォームとデータセキュリティ
ネットワークセキュリティー
物理ネットワーク セキュリティと同様に、仮想ネットワーク セキュリティの大部分は AWS によって処理されます。 Amazon は、アプリケーションを展開する完全に隔離された環境を提供しており、世界中の 100 万を超える企業や政府機関に提供しています。データを保護するために Amazon を使用している有名なクライアントには、NASA、Shell、Autodesk、British Gas、GE、Hitachi、Lafarge、Trimble、米国国務省などがあります。 AWS の仮想ネットワークのセキュリティ慣行の詳細については、こちらをご覧ください。セキュリティに関するホワイトペーパー。
Rock Robotic は、上記で概説したセキュリティに加えて、データの安全性をさらに確保するために、オンプレミスおよび AWS で他のいくつかのベストプラクティス対策を実装しています。
認証と認証認可
Rock Robotic は Auth0 を使用して認証および認可スキームを処理します。 Auth0 は ISO27001、ISO27018、SOC 2 Type II、PCI DSS、EU-US プライバシー シールド、およびゴールド CSA スター認定を受けています。 Auth0 のセキュリティ プラットフォームの詳細については、Auth0 のセキュリティ プラットフォームをご覧ください。白書。
変更管理
基盤となるネットワークとインフラストラクチャの変更に関して透明性を維持するために、すべての構成をコードで管理します。これはバージョン管理にチェックインされ、展開前にすべての変更がセキュリティ、スケーラビリティ、耐久性についてレビューされます。また、実稼働環境に展開する前に、すべての変更を専用のステージング環境で徹底的にテストします。
サーバーセキュリティ
セキュリティパッチ適用
Rock Robotic のサーバーには、最新のセキュリティ更新プログラムが自動的かつ継続的に適用されます。これにより、既知の脆弱性への曝露を最小限に抑えることができます。
ディスク暗号化
Rock Robotic のサーバーは、サーバーに保存されているデータに他の人がアクセスできないようにするために、フルディスク暗号化を採用しています。これにより、サーバーへの物理的なアクセスの場合と、ディスクが廃棄された場合の両方でデータが保護されます。
アプリケーションのセキュリティ
変更管理
Web アプリケーションとして、コードの変更は継続的に行われ、デプロイされます。最新バージョンに更新するには、ブラウザを更新する以外の操作は必要ありません。アプリケーションのセキュリティ、コードの品質を維持し、バグの混入を最小限に抑えるために、当社は厳格なソフトウェア開発ライフサイクル (SDLC) に従っています。
デザイン&発達
新しい機能と変更は徹底的に設計されています。承認されると開発が開始され、すべてのコードがソース管理にチェックインされます。
レビュー
すべてのコード変更は、品質、パフォーマンス、正確性についてピアレビューの対象となります。コードはセキュリティの観点からもレビューされ、 OWASP トップ 10 ガイドライン。
段階的リリース
レビュー期間の後、変更はステージング環境にデプロイされ、そこで開発者と QA チームによって徹底的にテストされます。機能テストと回帰テストの両方を実行して、変更が意図したとおりに動作し、他の場所でエラーが発生していないことを確認します。
製品リリース
このテストが完了し、必要な修正が行われると、その変更は顧客が使用できるように展開されます。大規模な変更または実験的な変更は、期間限定でベータ機能として展開される場合があります。この間、ユーザーはこれらの機能をオンまたはオフにするオプションを選択できます。
リリース後
お客様からフィードバックやバグレポートが収集され、必要に応じて変更や修正が行われます。
緊急事態
まれに、バグを修正したり、セキュリティやダウンタイムのインシデントから回復するために変更を迅速に適用する必要がある場合、コード レビュー、テスト、ステージング リリースなどの上記の手順の一部がスキップされることがあります。この場合、すべての変更は、状況が正常に戻った後でレビューおよびテストの対象となります。
認証と認証認可
パスワード
Rock Robotic の主なログイン方法は、電子メール アドレスとパスワードによるものです。パスワードが平文で保存されることはありません。すべてのパスワードは、業界トップクラスのセキュリティで Auth0 に保存されます。
パスワードは、次の 2 つの複雑さの要件も満たしている必要があります。(1) 長さが 8 文字以上であること、(2) 小文字 (a ~ z)、大文字 (A ~ Z)、および数字 (0 ~ 9) が含まれていること、(3) 次の特殊文字 (!@#$%^&*) のいずれかが含まれていること、(4) 以前に設定された 5 つのパスワードのいずれであってもならないこと、(4) 個人データのいかなる部分も含まれていてはいけないこと、(5) このパスワードに存在してはいけないこと最も一般的なパスワードの上位 10,000 個のリスト。
パスワードを忘れた場合は、アカウントにリンクされている電子メールを提供することでパスワードをリセットできます。暗号化トークンを含むリンクが指定されたアドレスに送信され、パスワードをリセットできるようになります。
シングル サインオン (SSO)
Google、Facebook、または GitHub アカウントを持つユーザーは、それぞれの「サインイン」ボタンを使用して Rock Robotic にログインし、追加のセットアップを行わずにシングル サインオン エクスペリエンスを得ることができます。
多要素認証 (MFA)
ログイン時には MFA が必要です。 さらに、データの安全性をさらに確保するために、Rock Robotic のすべての従業員は MFA でログインする必要があります。
クッキー
ユーザーがログインすると、Rock Robotic はセッション トークンを安全な HTTP 専用 Cookie としてユーザーのブラウザに保存し、アクセス権があることを識別します。これは、クロスサイト リクエスト フォージェリ (CSRF) トークンと厳格な CORS ポリシーの使用によってさらに保護され、クロスドメイン リクエストや Cookie の不正使用を防ぎます。 Cookie は 2 週間後に期限切れになります。つまり、ユーザーは自動的にログアウトされます。
脆弱性の軽減
上記のコード レビューに加えて、アプリケーションに脆弱性が存在しないことを確認するために、他のいくつかの手段を使用します。
データのサニタイズ
ユーザーが入力したデータはデータベースに保存され、ブラウザーで再表示される場合があります。これにより、SQL インジェクションやクロスサイト スクリプティング (XSS) 攻撃の機会が開かれる可能性があります。データベースに入力されたデータ、または HTML にレンダリングされたすべてのデータは、適切にサニタイズされます。
ロギングとモニタリング
監査証跡を提供し、潜在的な脅威や問題を迅速に調査できるようにするために、Rock Robotic サービスへのすべてのリクエストは、イベントを再現するのに十分な情報とともに安全に記録されます。
ログに記録される可能性のある情報には、IP アドレス、リクエスト ヘッダー、リクエスト ペイロード、デバイス情報、ステータス コード、応答時間、失敗したログイン試行などがあります。機密データや機密データは決して記録しません。すべてのログは有効期間中保持され、バックアップされます。さらに、可能な限り最高のエンドユーザー エクスペリエンスを確保するために、エラー率とパフォーマンス メトリックが常に監視されます。
可用性
AWS はその安定性と信頼性でよく知られています。これは、稼働時間を保証し、ダウンタイムに対する AWS の責任を維持するサービスレベル契約によって裏付けられています。ただし、例外的な状況では停止が発生する可能性があります。
そのため、当社はすべてのサービスを可用性が高く、障害に強いように設計しました。すべてのホストとアプリケーションの可用性が常に監視されます。障害が発生した場合は、自動フォールバックが開始されます。この戦略により、インスタンス レベルとデータ センター レベルの両方の障害が軽減されます。
さらに、アプリケーションを構成するサービスは、世界中の複数の場所から稼働時間を監視する外部ツールを使用して監視されます。障害が発生した場合は、当社の技術スタッフが直ちに警告を発し、障害の重大度に基づいてできるだけ早く解決策が講じられます。 Rock Robotic は、年間稼働率 99% を維持するよう努めています。
スケーラビリティ
当社は当初から、世界中の測量グレードの地図データの処理、ホスティング、分析、提供に伴う大規模なデータ要件を満たすように Rock Robotic Platform を設計してきました。私たちはこれを主に、AWS の事実上無限のスケーラビリティとグローバルなカバレッジを活用して行います。これは、需要ベースのアプリケーション レベルおよびインフラストラクチャ レベルの自動スケーリングと組み合わせることで、アプリケーションとその基盤となるインフラストラクチャを迅速かつ簡単にスケールアップして、あらゆるレベルの需要に対応できることを意味します。
情報セキュリティー
Rock Robotic は、ユーザーが送信したすべての情報を機密および重要なものとして分類します。当社では、顧客データが常に利用可能で安全であることを保証するために、いくつかの方法を使用しています。
データの保存と送信
Rock Robotic Platform との間で送信されるすべてのデータは暗号化され、クライアントに応じて TLSv1 以降、128 ビット暗号以上を使用して HTTPS 経由で安全に送信されます。 Rock Robotic サービス間のすべての内部データ転送も同様に暗号化によって保護されます。
送信されると、すべてのデータはアクセス制御により不正アクセスを防止し、AWS に安全に保管されます。 S3 バケットはデフォルトでプライベートになるように構成されており、データにアクセスするにはアクセス キーまたは事前署名された URL が必要です。同様に、データベースはパスワードで保護されており、ホワイトリストに登録された IP アドレスからのみアクセスできます。データを変更または削除するためのアクセスと権限は、必要な場合にのみ、最小特権の原則に基づいて委任されます。
処理または表示するすべてのデータは、米国東部 AWS リージョンにある S3 バケットにアップロードされます。ここから、データは暗号化されて米国東部の AWS サーバーに転送され、処理されます。これらのサーバーは、処理が不要になるまで、このデータを暗号化して保存します。
処理の結果として得られる出力はすべて、米国東部の S3 バケットにプッシュされます。プラットフォームに入力されたメタデータおよびその他のデータは、米国東部 AWS リージョンにある MySQL データベースに保存されます。
実行可能な場合、AES256 暗号化を使用して、キュー、データベース、データ ボリューム、S3 を含むすべてのデータが保存時に暗号化されます。暗号化キーは、AWS Key Management Service (KMS) を使用して作成、管理、保護されます。キーは毎年自動的にローテーションされます。
アクセス制御
前述のストレージ レベルのアクセス制御に加え、Rock Robotic Platform はアプリケーション レベルでユーザーが構成可能なアクセス制御を提供します。デフォルトでは、ポータルまたはサイト内のデータへのアクセスは拒否されており、ポータル内のデータを表示するようにユーザーを招待するには、ポータル管理者、またはアクセスの管理権限を持つ別のユーザーが必要です。アクセスを許可するときにきめ細かい権限を指定できるため、最小特権の原則を適用できます。ユーザーとその権限を管理しやすくするために、権限を割り当てることもできるロールにグループ化できます。
災害からの回復
万が一、顧客データが失われた場合でも、確実に回復するための手順と安全策が講じられています。顧客データの大部分は、99.999999999% の耐久性があると評価されている Amazon の S3 に保存されています。さらに、オブジェクトのバージョニングはすべてのバケットでデフォルトで有効になっており、オブジェクトが削除または上書きされた場合でも確実に復元できます。
残りの顧客データは継続的にバックアップされたデータベースに保存され、分単位でのポイントインタイム リカバリが可能になります。
同様に、すべてのアプリケーション サービスは、インスタンスおよびデータセンター レベルの障害から自動的に回復する高可用性の方法でデプロイされます。
プライバシー
Rock Robotic は、一般データ保護規則 (GDPR) を含む現地のプライバシー法をすべて遵守し、お客様の個人データを安全に保つよう努めています。詳細については、 当社のプライバシーポリシーを見る。
データ侵害
お客様のデータへの不正アクセスが発生した場合、問題を認識したらできるだけ早くお客様に通知します。
質問がありますか?お問い合わせください。 support@rockrobotic.com 詳細については。
サーバーとネットワークのセキュリティ
Rock Robotic は、アプリケーションの大部分をアマゾン ウェブ サービス (AWS) プラットフォームでホストしています。 AWS は、SOC、PCI DSS、ISO 27001 などの業界標準に準拠した最先端のデータセンター セキュリティを提供します。アプリケーションのこれらの部分に対するすべての物理ネットワークおよびサーバーのセキュリティ責任は AWS に委任されます。 AWS の物理的なセキュリティ慣行の詳細については、こちらをご覧ください。セキュリティに関するホワイトペーパー。
スタッフ用デバイス
当社スタッフが使用するすべてのデバイスは、フルディスク暗号化に加えて、短期間使用しないと自動的にロックされるパスワード保護が義務付けられています。さらにスタッフは、多要素認証 (MFA) を提供するすべてのサービスで多要素認証を有効にする必要があります。
物理的セキュリティ