test
 

セキュリティ

セキュリティ管理資料のダウンロード(PDF)

提供しているセキュリティサービス

tracpathのクラウドサービスは、エンタープライズ環境において求められる高いレベルの安全対策が施されたサービスとして設計されています。お客様の大切なソースコードや設計情報を守るために実施しているtracpathクラウドサービスのセキュリティ対策とセキュリティ管理についてご説明します。 当社のセキュリティ行動規範はこちらです。

共通セキュリティ仕様

 

tracpathでは有料プラン、無料プランに関係なく高いセキュリティ対策済みのサービスを提供しています。

security1
  • tracpathのサービス提供サーバ、管理している全てのサーバに対して、ウィルスソフトウェアによる全体スキャンを実施
  • 暗号化されたサーバアクセス、データ伝送方式(256ビットSSL証明書)
  • オンラインバックアップ(Online Backup)は1日に3回実施され、約30日間のバックアップ履歴データを保持しています。
  • バックアップ(Cold Backup)データは地理的に異なるクラウド(AmazonEC2 Tokyo/US)に退避されています。
  • HTTPSプロトコル(SSL)によりWebのデータ転送(通信)を暗号化しています。
  • すべてのサーバ・ソフトウェアは最新のセキュリティ・パッチが適用されています。

物理的なセキュリティ(Amazon EC2)

 

tracpathはクラウドにてサービスを提供しているため、tracpathとして物理的なリソースを持っていません。tracpathは Amazon EC2 サービスを利用しています。以下は Amazon Web Service についての情報となります。
Amazon Web Services(AWS)のセキュリティとコンプライアンスについて説明します。さらに詳しく知りたい方は、AWSのウェブサイトに詳しく説明があります。

security2

Amazon Web Service の認証と認定

 

  • SOC 1/SSAE 16/ISAE 3402
  • FISMA Moderate
  • PCI DSS レベル 1
  • ISO 27001
  • 武器規制国際交渉規則へのコンプライアンス
  • FIPS 140-2
  • HIPAA

セキュリティ管理

 

tracpathを開発・運営している株式会社オープングルーヴは独自にセキュリティに対する行動規範を設けています。

security3
  • 株式会社オープングルーヴのセキュリティ行動規範
  • セキュリティポリシーを1年おきにチェックし、厳格に運用しています。
  • ユーザデータ・サーバへのアクセスは標準で制限されています。当社内のLANにアクセスするためにはユーザ認証機能により特定ユーザのみ許可されており、セキュリティ教育を受けた従業員だけが社内サーバにアクセスすることが可能です。
  • 許可された従業員のアクセスや操作はすべて監査ログとして12ヶ月保存します。
  • tracpathのプログラムはすべてソースコードレビューが実施されています。
  • 利用者のデータは、当社の秘密保持契約によって保護します。サービスに関わる従業員はすべて秘密保持契約の上で開発を行っています。

冗長

 

tracpathのサービスはクラウドサービスを利用しています。(物理的なハードウェア等の冗長化についてはAmazonEC2のアーキテクチャセンターをご欄ください。)

security4
  • tracpathは物理的に異なる複数の Availability Zone(データセンター)を利用しています。現在は東京(tokyo region)とアメリカ(US region)にある Availability Zoneを利用しています。
  • 暗号化されたサーバアクセス、データ伝送方式(256ビットSSL証明書)
  • ユーザのプロジェクトデータはオンラインバックアップにより、サービスを提供しながらバックアップされています。バックアップされたファイルは存在期間の異なるディスクスペースにコールドバックアップされる仕組みになっています。Amazon Elastic Block Store(EBS)サービスレベルは99.999%の可用性です。
  • バックアップデータは最大で約30日間保存されます。
  • tracpathのデータベースサーバ(DB)、DNSサーバ、Proxyサーバ、監視サーバは冗長化された状態で運用されています。

ネットワークセキュリティ

security5
  • HTTPS(256bit SSL GlobalSigh証明書)による暗号化されたデータ転送を提供しています。
  • IP制限、特定のIPアドレスとIPアドレス範囲を指定することで、ユーザに対するアクセス制限機能が利用可能です。
  • 公開されている全てのサイトはファイアウォール(Firewall)によりアクセス可能なポートが制限しています。

アカウント管理

security6
  • アカウントのロックアウト機能(セキュリティ施策)
  • 利用者は柔軟なグループ管理・アカウント管理、ロール管理が可能です。
  • グループ、アカウントをロールによる権限管理が可能です。
  • プロジェクト管理ツールとSubversion等のリポジトリ管理の権限を統合管理することができます。
  • 管理アカウントはアカウントロック、パスワードの強制変更がブラウザから操作することができます。

外部からの攻撃に対する対策

 

インターネットサービスは外部からの攻撃される可能性があります。tracpathでは外部からの攻撃に対する対策として一般的な対策は当然ですが、下記のような対策をサービスレベルで提供しています。

security7
  • DoS等の不正なIPアドレスを接続不可にします。
  • サーバアクセスとデータ転送はすべて暗号化しています。
  • サーバ管理者のアクセスログ、操作ログはすべて保存しています。
  • 公開サーバ以外(HTTPS)のサーバ群は限られたIPのみアクセスすることが可能です。外部からインターネット経由の直接アクセスすることができません。

契約終了後のデータ管理

security8
  • 利用者にてアカウントの解除をブラウザ画面から実行して頂きます。アカウントを解除した時点で、すべてのプロジェクトとリポジトリを完全に削除します。この操作は元に戻すことが出来ません。
  • フリーアカウントを利用しているとき、継続して180日間ログインがない場合、アカウントは削除される場合があります。削除されたデータは、復元できない可能性があります。
  • 削除は物理削除のため、間違って削除したとき復元できない場合があります。

セキュリティに対するお願い

 

tracpathが提供しているセキュリティ対策以外に利用ユーザに守っていただきたいルールがあります。利用者のプロジェクトチームや会社で徹底することを期待しています。

security9
  • プロジェクトに必要なくなったユーザアカウントが残っている場合、ロックするか削除してください。
  • チームメンバーに定期的にパスワードを更新するように注意喚起してください。(1~3ヶ月毎の更新がおすすめです)
  • 管理アカウントを利用すれば、すべてのアカウントをロックしたり、パスワードを強制的に変更することができます。厳密な管理をおすすめします。
  • パスワードの有効期限を決め、運用で活用してください。
  • 強いパスワードを作成するようにしてください。Microsoftが推奨する強いパスワードのページを参照してください。

知って安心な機能 その1「暗号化」

tracpathはインターネット上の通信データをすべて暗号化します。

 

  • tracpathの全ての通信はSSL暗号化が利用(すべてのプランで標準装備)
  • ブラウザ経由の通信データはすべて暗号化、バージョン管理システムの通信もHTTPSを利用する事で暗号化されます

知って安心な機能 その2「IP接続制限」

 

IP接続制限機能とは、アクセスできる拠点を指定することで、外部からのアクセスを防ぐことができる機能です。 IP接続制限機能を有効にした場合、許可したIPアドレスを持つ拠点からのみアクセスが可能となるため、インターネットカフェ、モバイル端末、公衆無線LAN等からの接続が出来なくなります。

 

・IP接続制限による、外部からのアクセスを防ぐことでセキュリティ要件を向上

 

characteristic_security2

知って安心な機能 その3「アクセスログ」と「アクティビティ」

 

サイト管理者向けに、アクセスログ(ログイン履歴)をCSV形式にてダウンロードすることが可能です。また、ユーザ毎に最近のアクティビティ(ログイン状況)を記録しています。 アクセスの種類(スマホ、PC)とIPアドレスによって、有効な接続をログアウトにすることが可能です。

 

  • 最近のアクセス履歴を確認する方法
  • 不明なログインセッションの削除
  • ログイン履歴は、直近24時間のログイン履歴とアクセスの種類(ユーザエージェント)、IPアドレス、時刻、認証結果が記録

 

tracpath 公式ブログのこちらで詳細に説明しています。

characteristic_security3

知って安心な機能 その4「アカウントの自動ロック」

不正な操作、異常な操作(パスワードの試行)が行われた場合、アカウントは自動ロックされます。 ロックはサイト管理者によって解除するまで利用できません。ロックアウトは以下のポリシーでシステムによる自動処理が行われます。

  • 不正な操作、異常な操作(主にパスワードの試行)が行われたアカウントは、一時的にアクセスを遮断します。
  • 遮断された状態を「ロックアウト」といい、ロックされたアカウントは一定時間アクセスすることができません。
  • ロックアウトされる理由として、期間内に間違ったパスワードを指定し複数回入力された場合にアカウントを無効にする機能です。
  • 意図せずロックアウトされた場合、管理者アカウントにより解除することができます。
  • 管理者アカウントの解除以外に、一定時間が経過した場合にもロックアウトは自動的に解除されます。
  • サイト所有者アカウント(特別な管理アカウント)もロックアウトされます。
  • すでにログイン済みのセッションに対して、ロックアウトは影響しません。


tracpath 公式ブログのこちらで詳細に説明しています。

 

characteristic_security4
無料トライアル

tracpathはフリープランがあります。アカウントを登録するだけですぐに利用する事が出来ます。

資料請求について

tracpathのサービスについてご紹介する資料を無料でお送り致します

お問い合わせ

お客様のプロジェクトや開発環境をもとに、tracpathの運用や導入方法をご提案致します