セキュリティについて | アオウル株式会社

不正アクセス対策

AOULUの各サービスでは、社内規定に基づき、ソフトウェアの脆弱性を解消するため、定期的なセキュリティパッチの適用と最新バージョンへのアップデートを継続的に実施しています。重要度の高い脆弱性が発見された場合は、緊急パッチ適用フローに基づき迅速に対応します。

ユーザとサービス間のインターネット通信は全てSSL/TLSで暗号化しています。安全性の高い暗号化スイートを採用し、TLS1.2未満（1.1以下）の通信は拒否しています。そのため、古いOSやブラウザからはアクセスができない場合があります。

信頼できる通信のみを受け付けるホワイトリスト方式を採用し、必要最小限のポートのみを許可することで、不正な探査、不正なポートスキャンに対する対策を講じています。

ネットワークレベルでの不正アクセスや攻撃シグネチャを検知し、リアルタイムで遮断します。

WAF（Web Application Firewall）は、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策です。IPSと同様に、不正なアクセスを検知し、ブロックします。

データベースを暗号化（透過的データ暗号化技術など）しています。また、パスワード等の特に機密性の高いデータについては、システムでハッシュ化（ソルト付き）または暗号化してから保存しています。これらの対策により、物理媒体の盗難やデータへの不正アクセスが発生した場合においても、情報の漏洩を防ぎます。

接続元グローバルIPアドレスによる接続制限機能を有しており、許可されたネットワークからのみアクセスを可能に設定できます。これにより、社外からのアクセスや、攻撃者からの不正ログインを防止します。

パスワードには英大文字・小文字・数字・記号の組み合わせを必須としています。また、有効期限を設定して定期的な変更を促します。

連続してパスワードを間違えた場合は、一定時間アカウントをロックし、ブルートフォース攻撃（総当たり攻撃）等による不正なログインを防止します。ロック時間や回数は設定変更可能です。

ログイン後、一定時間操作が行われなかった場合に自動ログアウト（セッションタイムアウト）を実施します。タイムアウト時間は設定可能です。

ID/パスワードでの認証後、ワンタイムパスワードによる追加認証を行います。これにより、万が一パスワードが漏洩した場合でも、第三者による不正なログインを防止します。

万が一、稼働中の本番サーバーで重大な障害が発生した場合に備え、以下の復旧手順を確立しています。

これにより、予期せぬ障害時においても、事前に定義された手順に基づき、早期のサービス再開が可能な体制を整えています。

サーバは安全性の高いパブリッククラウドサービス（ISO27001等の認証取得事業者）で稼働し、物理的な入退室管理、監視カメラ、多要素アクセス制御、侵入検知メカニズムなど高水準のセキュリティ対策が実施されていることを確認しています。

包括的なバックアップ体制データの保全と迅速な復旧のため、以下の異なる方式のバックアップを毎日定期的に取得しています。

取得したバックアップデータは、稼働環境とは物理的に離れた国内遠隔地にて厳重に管理・保管し、災害発生時においてもデータ全損を防ぎ、環境再構築を可能にしています。

このページのPDF資料がダウンロードできます。
ダウンロード

セキュリティ対策についてより詳しい情報が知りたい方は、こちらからダウンロードしてください。
ダウンロード

経済産業省が発行する「クラウドサービスレベルのチェックリスト」です。
ダウンロード

サービスをより安心してご利用いただくためにサービスレベル目標ガイドラインを定めています。
ダウンロード