Backlogのセキュリティ
お客様に安心してBacklogをご利用いただくために、わたしたちはデータの保護を最優先にしてサービスを運営しています。
信頼性の高いデータセンターを使っています
Backlog はサービスを提供するデータセンターとしてAmazon Web Services( 以降、AWS ) を利用しています。AWSは誰もが一度は利用したことのある、全世界で利用されているオンラインショップであるAmazonがもつデータセンター運用の設計、構築、運用のノウハウが詰まったサービスで、非常に高い信頼性とセキュリティを有しています。
既に国内でも多数の実績が公開されています。また NRI / SCSK / ISIDの三社による調査にて、AWS は金融庁の外郭団体である金融情報システムセンター(FISC)が策定したセキュリティに関する自主基準「金融機関等コンピュータシステムの安全対策基準」に適合するという報告がされるなど、そのセキュリティには高い評価がなされています。この他にも AWSは第三者機関による、信頼性の高い各種の認証、認定を多数受けており、安心してデータを預けることの出来る環境であると考えています。(AWS が取得している認証についての詳細はこちらから)
ヌーラボアカウントの情報(ユーザ名、メールアドレス、契約情報など)につきましては、アメリカのデータセンター、 Backlogに記録したデータにつきましては、日本国内のデータセンターに保管しています。
お客様のデータは細心の注意をはらって管理します
AWS上に構築している環境には、ファイアーウォールで弊社環境からのみアクセスできるように制限しており、また、サーバにアクセスする事が出来るのは、システム運用担当のスタッフに限定しています。
また、サーバに保管されているデータには調査目的など、お客様から依頼があった場合のみアクセスを行います。その他、個人情報の扱いについてはプライバシーポリシーに従った運用をおこなっております。
またヌーラボは、ISO/IEC 27001(情報セキュリティマネジメントシステム)認証、ISO/IEC 27017:2015に基づいたISMSクラウドセキュリティ認証、ISO/IEC 27018を取得しています。
各国際基準の認証に準拠した情報セキュリティマネジメント体制を確立し、セキュリティ対策の徹底と意識向上に努めています。
安心のデータバックアップ対策
Backlogでは障害や人的ミスによるデータ損失に備えて二つの観点で対策を行っています。まず、データベースサーバのデータはリアルタイムに別のサーバに転送され、瞬時に複製されています。このため、データベースサーバに障害が起きても、複製からすぐにサービスを再開する事が出来ます。
次に、Backlogのデータは一日一回以上(※1)のフルバックアップを行い、世代管理を行っています。万一人的ミスなどでデータ損失が発生したとしても、過去30日間のバックアップ取得時点へのデータに復元できます。
バックアップデータはAWSの管理する極めて耐久性の高いストレージ(※2)に格納されており、このデータが障害で失われる確率はほぼゼロに等しくなっています。
※1 データベースは1日1回、共有ファイル/Git/Subversionは1日2回取得
※2 AWS が公開しているそのストレージの耐久性は 99.999999999% で、これは 1万個のデータを保存した時に、そのうちの1つが障害によって失われるのに平均で1000万年ほどかかるレベルです。
不正な利用を許しません
悪意のある第三者がBacklog上の不正にアクセス出来るということはあってはならないことです。Backlogでは、アプリケーションの脆弱性対策はもとより、様々な観点で不正なアクセスを防ぐ対策を講じています。
不正なアクセスはしっかりブロック
Backlogではお客様毎に独自のURLを提供します。これによりそのURLを知らない限りは、第三者がお客様のBacklogの環境にアクセスすることはできません。また、BacklogではIPアドレスによるアクセス制限を各スペース毎に設定することが可能です。( スタンダードプラン以上 )
たとえば、会社からのみのアクセスに制限する事で、情報の漏洩を防ぐ一助とすることが出来ます。また、お客様自身で「いつ、誰が、どこから、どの情報にアクセスしたか」を確認出来るよう、 サーバへのアクセスログを提供しています。
※プラチナプランで、こちらを標準サービスとして提供しております。他プラン、オプションでは提供しておりません。
通信はすべて暗号化
Backlogとの通信は、PC版、モバイル版、バージョン管理システム、共有ファイルと機能を問わず全てSSLにより暗号化されています。第三者が盗聴をしても、その内容を知る事は出来ません。
セキュリティ問題へは迅速に対応
脆弱性の報告にはトップレベルの優先度で対応を行い、迅速にサービス環境に反映する体制をとっています。またセキュリティを強化する機能についても随時検討を行い実装を進めています。
対応例
2014年4月のOpenSSLの脆弱性(CVE-2014-0160)への対策は、IPAより脆弱性情報が出た当日の23時には基本的な対策を完了し、翌日13時までに、全ての証明書を、発行機関より再発行していただいたものへ入替完了しています。詳細はこちらをご覧ください。
2014年9月のGNU Bashの脆弱性(CVE-2014-6271、CVE-2014-7169)への対策は、JPCERT より注意喚起が出た当日より対策を開始し、該当日の17時にまず CVE-2014-6271 への対応を完了し、その翌日の 14:30 には CVE-2014-7169 への対応も完了しました。詳細はこちらをご覧ください。
Backlog は障害対策も万全、毎日安心して使えます
仕事で使うツールとして、毎日、いつでも、使える事は基本的な事です。平常時の監視から、障害対応、計画停止の時まで、常に今 Backlog を使いたいと考えている皆様の存在を意識しています。
別々の場所に分散して管理
BacklogはAWS上で物理的に離れた複数のデータセンターに分散して、各種のサービスを提供する構成をとっています。これにより、仮に物理的なデータセンターレベルの障害が発生したとしても、片方のデータセンターにてサービスの復旧、継続が行えるようになっています。
サーバーの監視・障害対応
サーバの監視は24時間365日無停止で行い、異常を検知した場合はシステム運用担当のスタッフに即座に通知がされます。 通知を受け取ったスタッフは、状況にあわせて対応を行います。また平時より障害状況にあわせた対応マニュアルの整備を行い、迅速な復旧が出来る体制を整えています。
障害やメンテナンス情報は最新情報をお知らせします
メンテナンスによる計画停止の際には原則一週間前に、 Backlogサイト Twitter アカウント及びサイトのダッシュボードの通知にて事前に告知を行い、作業の時間帯は極力ご利用の少ない早朝帯、もしくは深夜帯を選んでいます。
障害発生時には、速報としてTwitterアカウントで対応状況を公開し、問題が収束した後にBacklogサイト上で状況をご報告いたします。
現在の稼働率を確認する
セキュリティチェックシートの提供
経済産業省による「クラウドサービスレベルのチェックリスト」、及びIPA(独立行政法人情報処理推進機構)による「安全なウェブサイトの作り方 改訂第7版」に準拠したセキュリティチェックシートを提供しています。Backlogの導入検討にご活用ください。
なお、お客様独自のチェックリストへの回答をご希望の場合は、別途有料オプションを提供しております。詳細はBacklogサポート お問い合わせまでお問い合わせください。