本システムでは以下のセキュリティサービスを標準で提供しています。これらのサービスの運用は弊社側で実施いたしますのでお客様は意識する必要がございません。
インフラ・サーバレベルの対応
- 完全HTTPS対応…サイト全体で暗号化による安全な通信を保証しています
- VPC(プライベートネットワーク)とFirewall・・・Webサーバのみがパブリックアクセス可能です。アプリケーションサーバやデータベースサーバには内部サーバと特定IPアドレスからのみアクセスできます
- 不要なポート停止~80/443のみ開放(80ポートへのアクセスは443ポートにリダレクトされます)
- 24/7死活監視
- SSHログイン検知・・・全サーバへのSSHログインを監視しています
- 脆弱性チェック・・・AWS inspector
- 改ざん検知・・・AIDE
- 攻撃検知・・・GuardDuty
- パッチ適用・・・定期および緊急
- その他・・・アカウントのMFA(多要素認証)有効化、
Webサーバのレスポンスに余計な情報を含めない など
アプリケーションレベルの対応
- 脆弱性を考慮した実装・・・CSRF、XSS、SQLインジェクション等の脆弱性を埋め込まないに配慮した実装を行っています。攻撃を検知した場合、リクエスト元IPアドレスを記録して適宜ブラックリスト対象に登録します。
- PCI-DSS対応・・・一瞬たりともサーバ上でクレジットカード情報を保持しません。これにより万が一ハッキングにより顧客情報が流出した場合でも具体的な被害が発生することを防ぎます。
- パスワードの不可逆暗号化・・・パスワードは不可逆暗号化しています。サイト管理者であっても元のパスワードを復元することはできません。
これにより万が一ハッキングにより顧客情報が流出した場合でも具体的な被害(=他サイトで同じアカウントID・パスワードを利用している場合にログインされてしまう)が発生することを防ぎます。 - 監査ログ・アクセス記録
- パスワード強度設定・・・容易に推測可能な安易なパスワードが設定されることを防止しています。
- セキュリティホールチェック・・・ツールを利用したセキュリティチェックを実施しています
- フィッシング詐欺bot対策・・・自動化されたフィシングBOT対策を導入しています。reCAPTCHAと文言チェック