Liferayトラストセンター/セキュリティコントロール

ライフレイは、見込み顧客やお客様にとって、ビジネスニーズに対して安全でコンプライアンスに準拠したデジタルソリューションを見つけることがいかに重要であるかを理解しています。また、単なるベンダーではなく、お客様にとって信頼できるパートナーであることをお約束します。
 
当社は、お客様からお預かりした貴重な情報を安全に保護し、適用されるデータ保護法に従って取り扱うことに注力しています。FOSSコミュニティの一員として、IPとFOSSライセンスに関してベストプラクティスを適用します。また、誠実に事業を行い、最終的にはお客様や地域社会との強固な関係を築くことを信条としています。
 
本トラストセンターでは、各お客様のデューデリジェンスプロセスを支援し、セキュリティ及びコンプライアンスに対する当社の取り組みを実証するために設計された包括的なリソースコレクションを提供します

セキュリティコントロール

インフラストラクチャーのセキュリティ
  • 侵入検知システムを活用
    当社は侵入検知システムを採用し、常時監視と潜在的なセキュリティ侵害の早期発見を可能にしています。
     
  • 本番環境データベースへのアクセスを制限
    当社は、データベースへのアクセスを必要とする人だけがデータベースを閲覧できるようにしています。これにより、不正アクセスやデータ漏洩のリスクが軽減されます。
     
  • リモートアクセスMFAを強化
    本番環境システムは、多要素認証(MFA)方式によって許可されたユーザーにのみアクセスを許可します。
     
  • 本番環境ネットワークへのアクセスを制限
    本番ネットワークへのアクセスは保護されており、正当な業務上の必要性を持つ許可されたユーザーのみに許可されます。
  • リモートアクセスのセキュリティを強化
    本番環境システムへのリモートアクセスは、暗号化された接続を介して、適切な権限レベルを持つ認証されたユーザーにのみ許可されます。
     
  • 本番環境データをセグメント化
    非本番環境システム及び環境では、機密とみなされ、他のシステムから分離されたデータを保存することは禁止されています。
     
  • ファイアウォールを有効に
    本番環境は、デフォルトですべてのトラフィックを拒否し、HTTPSのような有効な接続のみを許可するファイアウォールで保護されています。
     
  • DDoSと悪質なトラフィックをブロック
    お客様は、既知及び未知の悪意あるトラフィックから保護するためにWAFとAIで強化されたGoogleのDDoS技術によって保護されています。
     
  • 侵入及びネットワーク脆弱性スキャンを実施
    当社は毎年、侵入テストと脆弱性スキャンを実施し、発見された場合は是正計画に従って対処しています。
組織のセキュリティ
  • マルウェア対策技術を採用
    当社は、関連するすべてのシステムにマルウェア対策技術をインストールし、定期的に更新され、ログが記録されるように設定しています。これにより、悪意のある攻撃を受けやすい環境を保護することができます。
     
  • 秘密保持契約を承認
    すべての労働者、従業員、請負業者は、会社との秘密保持契約に署名する必要があります。
     
  • 資産処分手続きを利用
    当社は、ベストプラクティスに従い、秘密情報を含む電子メディアを破棄又は消去します。
  • 従業員の研修
    全従業員は毎年セキュリティトレーニングを受けます。
     
  • 身元調査を実施
    全ての従業員は採用時に身元調査を受けます。
     
  • 職務ごとにアクセス権を付与
    アクセスは社内の役割に基づいてのみ許可され、全員に許可されるわけではありません。
     
  • 認証とMFAを強化
    不要なアクセスを防ぐため、認証ルールを追加しています。
製品セキュリティ
  • 発、テスト、リリース環境のセキュリティ
    当社は、分離された安全な開発環境を確立しています。
     
  • コード開発はOWASPのルールを遵守
    すべての開発者はOWASPトレーニングを受講しています。
     
  • セキュアな開発プラクティスを実施
    社内SDLCには、計画、設計、実装、テスト、リリースが含まれます。
  • ペネトレーションテストを実施
    毎年、侵入テストを実施し、脆弱性に対処するための改善計画を策定しています。その後、サービスレベルアグリーメント (SLA) に従ってこれらの脆弱性を修正するための変更が実装されます。
     
  • SAST、DAST、SCAテストを実施
    アプリケーションのセキュリティを確保するために、デプロイ前にコードの脆弱性をスキャンし、アプリケーションの実行中に脆弱性がないかテストし、使用したサードパーティ製ソフトウェアにセキュリティリスクがないかチェックするなど、いくつかの手順を踏んでいます。これらのテストにより、潜在的なセキュリティ問題が悪用される前に特定し、対処することができました。
社内セキュリティ手続き
  • 継続計画及びディザスタリカバリ計画をテスト
    文書化された事業継続/ディザスタリカバリ(BC/DR)計画のテストを毎年実施しています。
     
  • アクセス要求が必要
    職務と機能に基づいて、又はアクセスがプロビジョニングされる前にマネージャーの承認を必要とする文書化されたアクセス要求フォームを送信することによって、対象範囲内のシステムコンポーネントへのユーザーアクセスが許可されるようにしています。
     
  • バックアッププロセスを確立
    データバックアップポリシーには、顧客データのバックアップと復元の要件が概説されています。
     
  • インシデント対応ポリシーを策定
    当社は、セキュリティとプライバシーのインシデント対応に関するポリシーと手順を文書化し、関係する従業員に周知しています。
     
  • 変更管理手順を実施
    同社は、サービスのソフトウェアやインフラコンポーネントの変更は、本番環境に実装したり、お客様向けの製品としてリリースしたりする前に、認可、正式な文書化、テスト、レビュー、承認を受けなければならないことを義務付けています。
     
  • 構成管理システムを確立
    システム構成が環境全体に一貫してデプロイされるよう、構成管理手順を導入しています。
  • サービスに関する文書が利用可能
    当社は、ラーニングサイトやドキュメントサイトを通じて、お客様やコミュニティに自社の製品とサービスの詳細な説明を提供しています。
     
  • サポート体制
    当社は、お客様がサポートチケットを作成し、当社と連絡を取り合うためのシステムを提供します。
     
  • 第三者協定を締結
    当社は、ベンダーやパートナーとの間で協定を結んでおり、機密情報の守秘義務やプライバシーを確保しています。
     
  • インシデント管理手順に従う
    当社は、セキュリティ対応ポリシーを真摯に遵守し、すべてのインシデントが記録、追跡、解決され、影響を受ける個人に通知されるようにしています。
     
  • サイバーセキュリティ保険を維持
    業務の中断による経済的損失を防ぐため、サイバーセキュリティ保険に加入しています。
     
  • 継続計画及びディザスタリカバリ計画を策定
    主要担当者が不在の場合でも、事業継続計画及び災害復旧計画にあらかじめ定義されたコミュニケーション計画により、シームレスな情報セキュリティ運用が保証されます。
© Liferay Inc.