こんにちは!
助けが必要? 私たちはここにいます!
助けが必要? 私たちはここにいます!
お問い合わせいただきありがとうございます。
24時間以内に連絡がない場合は、お気軽にフォローアップメールをお送りください。 info@xecurify.com
検索結果:
×当社の主な目標は、人とテクノロジーの安全な接続を確立することです。セキュリティ企業として、私たちは期待が大きく、リスクが高いことを理解しています。miniOrange は、安全で回復力があり、確実な製品とサービスを生み出すことを信条としています。
miniOrange のセキュリティに対するアプローチは、次の原則に基づいています。
miniOrange プラットフォームは、クラウド アプリケーションの拡張と管理を行う機能のための安全で信頼性の高い基盤を提供するように設計されています。これにより、miniOrange との通信が安全かつ検証済みであること、miniOrange サービスの制御とアクセスを組織全体に委任できること、顧客データが安全に保たれることが保証されます。追加のセキュリティ対策により、クロスサイト スクリプティング、偽造リクエスト、SQL インジェクションを防止します。miniOrange は、外部のセキュリティ専門家と協力して、設計と実装のセキュリティを検証しています。
miniOrange へのすべてのアクセスは https プロトコルを使用します。顧客には独自のドメイン、サブドメイン、および Cookie が割り当てられます。
miniOrange は、認証用に作成された固有の SAML キーなどの機密性の高い顧客データを保護するために強力な暗号化を使用しています。また、SSO 環境内で構成された、ユーザーがセキュア ブラウザ アプリケーション (アプリ) に送信する資格情報も保存および暗号化します。
miniOrange は独自の暗号化を実装していません。顧客データの暗号化はアプリケーション層で実行されます。アプリケーション レベルの暗号化を使用すると、部分的な侵害が発生した場合でも機密データが保護されます。
miniOrange は、データベース内の顧客の機密データを暗号化します。暗号化は、専用キーを使用した対称暗号化 256 ビット AES を使用して実行されます。顧客専用の対称キーにより、データの分離が保証されます。
Amazon Web Services (AWS) - miniOrange の Identity-as-a-Service プラットフォームをホストするインフラストラクチャを提供します。AWS SOC 2 レポートは、こちらから入手できます。
miniOrange は、顧客データを保護するためにいくつかの手順を踏んでいます。すべてのクエリ、取得、および一括更新において、miniOrange サービスは検証済みのデータのみを返すか更新します。リクエストに対するすべての miniOrange システム応答は、その顧客と miniOrange 登録ユーザーに対して設定されているアクセス制限の対象となります。このユーザーと顧客の関係はリクエストごとに再検証され、顧客のサブドメイン内の承認されたユーザーのみがデータを表示できるようにします。
当社の最先端の暗号化技術は、保存時とユーザーのブラウザへの転送時の両方で顧客データを保護し、攻撃者にとっての弱点を残しません。miniOrange の暗号化された DB インスタンスは、基盤となるストレージへの不正アクセスからデータを保護することで、データ保護のレイヤーを追加します。当社は Amazon RDS 暗号化を使用して、クラウドにデプロイされたアプリケーションのデータ保護を強化し、保存データの暗号化に関するコンプライアンス要件を満たします。
miniOrange は、Amazon KMS (キー管理サービス) を使用してデータを対称的に暗号化します。これは、アプリケーションに暗号化キーを使用するもので、データ暗号化に便利な技術です。miniOrange は、RSA、DSA、TRIPLE-DES、AES、HMAC のさまざまなバージョンを使用します。顧客の機密データも、上記の暗号化バージョンのいずれかを使用して暗号化されます。機密データには、パスワードなど、ユーザーの個人を特定できる情報が含まれます。
MiniOrange でローカルにユーザーが作成されると、ローカル miniOrange パスワードが与えられ、AWS RDS データベースに保存されます。ユーザー パスワードを保護するために、ラウンド数の多いソルト付き bcrypt を使用します。速度を重視して設計されているためレインボー テーブル攻撃やブルート フォース攻撃の影響を受けやすい他のハッシュ アルゴリズムとは異なり、bcrypt は非常に低速で適応型関数であるため、計算能力が増加するとハッシュ関数のコストが高くなり、速度が遅くなる可能性があります。
ユーザーがサードパーティの ID プロバイダー、または AD や LDAP サーバーなどのディレクトリにいる場合、認証はユーザー ID プロバイダーから直接行われます。この種類の認証は委任認証と呼ばれます。
miniOrange の技術チームは、市場をリードするオンデマンド サービスの開発と運用において幅広い経験を持っています。サービスのセキュリティとスケーラビリティに適したパートナーを選択するために、インフラストラクチャ プロバイダーの包括的な評価が行われました。miniOrange と Amazon (AWS) は、miniOrange サービスのセキュリティと信頼性を確保するための包括的なアプローチを採用しています。これは、物理的なデータ センターから始まり、サービスのコンピューティング、ネットワーク、ストレージ レイヤーにまで及びます。
AWS ネットワークは、分散型サービス拒否攻撃 (DDoS)、中間者 (MITM) 攻撃、IP スプーフィング、ポートスキャン、他のテナントによるパケットスニッフィングなどの従来のネットワークセキュリティ問題に対する保護を提供します。
当社のクラウドソリューションは、WAFと負荷分散環境の背後にあるAWS上に展開され、自動スケールアップオプションが有効になっています。 ここをクリック 高レベルのインフラストラクチャ図をご覧ください。
miniOrange クラウドは、複数のアベイラビリティゾーンを備えた Elastic Load Balancer の背後にある AWS 米国東部 (バージニア北部)、ヨーロッパ、オーストラリア、アイルランドのデータセンターでホストされており、99.99% の稼働率を保証します。
miniOrange クラウド サービスは AWS でホストされているため、複数の監視ツールを利用して、システムが常にスムーズに動作していることを確認しています。異常が発生したときやステータス チェックが失敗したときに適切なチームに通知が届くように、通知が設定されています。これにより、DOS 攻撃や DDOS 攻撃から保護され、予期しない負荷の急増を防止できます。
サーバー環境のスナップショットは定期的に作成され、データベースは毎日バックアップされます。災害復旧が必要な場合でも、すぐにバックアップを実行して実行できます。
Amazon S3 は、バックアップと静的コンテンツの保存に使用されてきました。
キャッシュには AWS Elasticache (Memcached) と DynamoDB が使用され、実装されています。
miniOrange は、災害を含むセキュリティやプライバシーに関するイベントをお客様が報告するための公開メカニズムを提供します。miniOrange は、障害や災害管理が発生した場合に上流プロバイダーと連携してサービスの継続性を監視します。
miniorange は、ユーティリティ サービスのセキュリティを確保し、環境条件を緩和するために、環境制御、フェイルオーバー メカニズム、またはその他の冗長性を実装しました。
当社では、コードを 1 行も書く前にソフトウェアにセキュリティを組み込みます。厳格なセキュリティ チェックポイントにより、設計からコーディング、テスト、展開まで、開発ライフサイクルのすべてのステップが管理されます。miniOrange の社内セキュリティ チームは、独立した外部のセキュリティ研究者と協力して、ソフトウェアのセキュリティを検証しています。
当社では毎年、最新の安全なプログラミングとコードレビューの手法について開発者をトレーニングしています。
miniOrange のソフトウェア セキュリティは、社内のセキュリティ研究者である同業者によって定期的にレビューされています。
miniOrange のセキュリティ制御は、従業員と請負業者に対して、miniOrange での勤務前、勤務中、勤務後に適用されます。
miniOrange のセキュリティ チームは、セキュリティ意識を高め、コンプライアンスを確保するために従業員をテストすることで、セキュリティを企業文化に組み込んでいます。
当社では、業務の遂行に必要なユーザーのみに本番環境へのアクセスを制限し、そのアクセスを継続的に監視することでリスクを軽減しています。
基盤となる miniOrange プラットフォームのコア セキュリティ機能には、クロスサイト スクリプティング (XSS)、クロスサイト リクエスト フォージェリ (XSRF)、SQL インジェクション攻撃を防ぐ機能が含まれます。入力とリクエストの強力な検証と SQL ステートメントの厳格なプログラム制御により、これらの脅威を最小限に抑えます。
当社のセキュリティ戦略の一環として、miniOrangeは次のようなさまざまな一般的なテストツールを使用しています。 ネットスパーカー 全体的なサービス セキュリティを理解し、改善するために、侵入テストを実行します。評価には、設計レビュー、ソース レビュー、侵入テストが含まれます。miniOrange の開発者は、セキュリティ上の脅威を特定し、潜在的な脅威に対するソリューションを開発します。セキュリティ プログラムを使用して、ソフトウェアのバグを積極的に探します。また、お客様には miniOrange で侵入テストを実行する権利があると信じており、そのためのテスト環境を提供しています。
弊社は、コンピューティング、ストレージ、ネットワーク伝送など、インフラストラクチャのあらゆるポイントでお客様のデータを保護します。miniOrange 環境の各サーバーは、可用性を追跡するために、マシンのヘルス メトリックが 1 分に 2 回監視されます。AWS データ センターは、目立たない施設内にあります。物理的なアクセスは、ビデオ監視、最先端の侵入検知システム、その他の電子手段を利用するプロのセキュリティ スタッフによって、境界と建物の入口の両方で厳重に管理されています。許可されたスタッフは、データ センターのフロアにアクセスするために、2 要素認証を少なくとも 2 回通過する必要があります。従業員によるすべての物理的なアクセスは記録され、定期的に監査されます。
インスタンスを管理するためにホスト オペレーティング システムへの管理アクセスを行うには、多要素認証を使用する必要があります。管理ホスト システムは、クラウドの管理プレーンを保護するために特別に設計、構築、構成、強化されています。すべてのアクセスはログに記録され、監査されます。弊社では、すべてのサービス プロバイダーがデータ保護基準を満たしていることを確認しています。
セキュリティは、雇用する人々から始まります。miniOrange のすべての候補者に対して身元調査が行われ、従業員、請負業者、およびサードパーティのユーザーは、雇用契約またはベンダー契約の一環として、情報セキュリティに関する自分の役割と責任を理解していることを書面で確認する必要があります。
最終更新日18年2024月XNUMX日
このセキュリティ プラクティス ポリシー (以下、「ポリシー」) は、miniOrange (以下、「当社」) によって制定され、当社のソフトウェア、システム、知的財産、およびデータの保護に関するガイドライン、手順、および責任を規定しています。このポリシーは、当社の資産のセキュリティ、整合性、および機密性を確保し、適用される法律および規制要件に準拠することを目的としています。
本ポリシーにおいて、以下の用語は以下に定める意味を有するものとします。
miniOrange プラットフォームは、クラウド アプリケーションの拡張と管理を行う機能のための安全で信頼性の高い基盤を提供するように設計されています。これにより、miniOrange との通信が安全かつ検証済みとなり、miniOrange サービスの制御とアクセスが組織全体に委任され、顧客データが安全に保たれます。追加のセキュリティ対策により、クロスサイト スクリプティング、偽造リクエスト、SQL インジェクションを防止します。miniOrange は、外部のセキュリティ専門家と協力して、設計と実装のセキュリティを検証しています。
miniOrange は、顧客データを保護するためにいくつかの手順を踏んでいます。すべてのクエリ、取得、および一括更新において、miniOrange サービスは検証済みのデータのみを返すか更新します。リクエストに対するすべての miniOrange システム応答は、その顧客と miniOrange 登録ユーザーに対して設定されているアクセス制限の対象となります。このユーザーと顧客の関係はリクエストごとに再検証され、顧客のサブドメイン内の承認されたユーザーのみがデータを表示できるようにします。
当社の最先端の暗号化技術は、保存時とユーザーのブラウザへの転送時の両方で顧客データを保護し、攻撃者にとっての弱点を残しません。miniOrange の暗号化された DB インスタンスは、基盤となるストレージへの不正アクセスからデータを保護することで、データ保護のレイヤーを追加します。当社は Amazon RDS 暗号化を使用して、クラウドにデプロイされたアプリケーションのデータ保護を強化し、保存データの暗号化に関するコンプライアンス要件を満たします。
miniOrange は、Amazon KMS (キー管理サービス) を使用してデータを対称的に暗号化します。これは、アプリケーション用の暗号化キーを使用するもので、データ暗号化に便利な手法です。miniOrange は、RSA、DSA、TRIPLE-DES、AES、HMAC のさまざまなバージョンを使用します。顧客の機密データも、上記の暗号化バージョンのいずれかを使用して暗号化されます。機密データには、パスワードなど、ユーザーの個人を特定できる情報が含まれます。
MiniOrange でローカルにユーザーが作成されると、ローカル miniOrange パスワードが与えられ、AWS RDS データベースに保存されます。ユーザー パスワードを保護するために、ラウンド数の多いソルト付き bcrypt を使用します。速度を重視して設計されているためレインボー テーブル攻撃やブルート フォース攻撃の影響を受けやすい他のハッシュ アルゴリズムとは異なり、bcrypt は非常に低速で適応型関数であるため、計算能力が増加するとハッシュ関数のコストが高くなり、速度が遅くなる可能性があります。
ユーザーがサードパーティの ID プロバイダー、または AD や LDAP サーバーなどのディレクトリにいる場合、認証はユーザー ID プロバイダーから直接行われます。この種類の認証は委任認証と呼ばれます。
miniOrange の技術チームは、市場をリードするオンデマンド サービスの開発と運用において幅広い経験を持っています。サービスのセキュリティとスケーラビリティに適したパートナーを選択するために、インフラストラクチャ プロバイダーの包括的な評価が行われました。miniOrange と Amazon (AWS) は、miniOrange サービスのセキュリティと信頼性を確保するための包括的なアプローチを採用しています。このアプローチは、物理データ センターから始まり、サービスのコンピューティング、ネットワーク、ストレージ レイヤーにまで及びます。
AWS ネットワークは、分散型サービス拒否攻撃 (DDoS)、中間者 (MITM) 攻撃、IP スプーフィング、ポートスキャン、他のテナントによるパケットスニッフィングなどの従来のネットワークセキュリティ問題に対する保護を提供します。
当社のクラウドソリューションは、WAFと負荷分散環境の背後にあるAWS上に展開され、自動スケールアップオプションが有効になっています。 ここをクリック 高レベルのインフラストラクチャ図をご覧ください。
miniOrange クラウドは、複数のアベイラビリティゾーンを備えた Elastic Load Balancer の背後にある AWS 米国東部 (バージニア北部)、ヨーロッパ、オーストラリア、アイルランドのデータセンターでホストされており、99.99% の稼働率を保証します。
miniOrange クラウド サービスは AWS でホストされているため、複数の監視ツールを利用して、システムが常にスムーズに動作していることを確認しています。異常が発生したり、ステータス チェックが失敗した場合に適切なチームに通知が届くように、通知が設定されています。これにより、DOS 攻撃や DDOS 攻撃から保護され、予期しない負荷の急増を防止できます。
サーバー環境のスナップショットは定期的に作成され、データベースは毎日バックアップされます。災害復旧が必要な場合でも、すぐにバックアップを実行して実行できます。
Amazon S3 は、バックアップと静的コンテンツの保存に使用されてきました。
キャッシュには AWS Elasticache (Memcached) と DynamoDB が使用され、実装されています。
miniOrange は、災害を含むセキュリティやプライバシーに関するイベントをお客様が報告するための公開メカニズムを提供します。miniOrange は、障害や災害管理が発生した場合に上流プロバイダーと連携してサービスの継続性を監視します。
miniorange は、ユーティリティ サービスのセキュリティを確保し、環境条件を緩和するために、環境制御、フェイルオーバー メカニズム、またはその他の冗長性を実装しました。
当社では、コードを 1 行も書く前にソフトウェアにセキュリティを組み込みます。厳格なセキュリティ チェックポイントにより、設計からコーディング、テスト、展開まで、開発ライフサイクルのすべてのステップが管理されます。miniOrange の社内セキュリティ チームは、独立した外部のセキュリティ研究者と協力して、ソフトウェアのセキュリティを検証しています。
当社では毎年、最新の安全なプログラミングとコードレビューの手法について開発者をトレーニングしています。
miniOrange のソフトウェア セキュリティは、社内のセキュリティ研究者である同業者によって定期的にレビューされています。
miniOrange のセキュリティ制御は、従業員と請負業者に対して、miniOrange での勤務前、勤務中、勤務後に適用されます。
miniOrange のセキュリティ チームは、セキュリティ意識を高め、コンプライアンスを確保するために従業員をテストすることで、セキュリティを企業文化に組み込んでいます。
当社では、業務の遂行に必要なユーザーのみに本番環境へのアクセスを制限し、そのアクセスを継続的に監視することでリスクを軽減しています。
基盤となる miniOrange プラットフォームのコア セキュリティ機能には、クロスサイト スクリプティング (XSS)、クロスサイト リクエスト フォージェリ (XSRF)、SQL インジェクション攻撃を防ぐ機能が含まれます。入力とリクエストの強力な検証と SQL ステートメントの厳格なプログラム制御により、これらの脅威を最小限に抑えます。
miniOrange は、セキュリティ戦略の一環として、Netsparker などのさまざまな一般的なテスト ツールを使用して侵入テストを実行し、サービス全体のセキュリティを理解して改善しようとしています。評価には、設計レビュー、ソース レビュー、侵入テストが含まれます。miniOrange の開発者は、セキュリティ上の脅威を特定し、潜在的な脅威に対するソリューションを開発します。当社は、セキュリティ プログラムを使用してソフトウェアのバグを積極的に探します。また、お客様には miniOrange で侵入テストを実施する権利があると信じており、そのためのテスト環境を提供しています。
コンピューティング、ストレージ、ネットワーク伝送など、インフラストラクチャのあらゆるポイントでお客様のデータを保護します。miniOrange 環境の各サーバーは、可用性を追跡するために、マシンのヘルス メトリックが 1 分に 2 回監視されます。AWS データ センターは、目立たない施設内にあります。物理的なアクセスは、ビデオ監視、最先端の侵入検知システム、その他の電子手段を使用するプロのセキュリティ スタッフによって、境界と建物の入口の両方で厳重に管理されています。許可されたスタッフは、データ センターのフロアにアクセスするために、2 要素認証を少なくとも 2 回通過する必要があります。従業員によるすべての物理的なアクセスは記録され、定期的に監査されます。
インスタンスを管理するためにホスト オペレーティング システムへの管理アクセスを行うには、多要素認証を使用する必要があります。管理ホスト システムは、クラウドの管理プレーンを保護するために特別に設計、構築、構成、強化されています。すべてのアクセスはログに記録され、監査されます。弊社では、すべてのサービス プロバイダーがデータ保護基準を満たしていることを確認しています。
セキュリティは、雇用する人々から始まります。miniOrange のすべての候補者に対して身元調査が行われ、従業員、請負業者、およびサードパーティのユーザーは、雇用契約またはベンダー契約の一環として、情報セキュリティに関する自分の役割と責任を理解していることを書面で確認する必要があります。
本ポリシーは、当社の裁量により随時修正または更新される場合があります。すべての修正または更新は、従業員、請負業者、および関連するサードパーティベンダーに通知されるものとします。本ポリシーの最新バージョンの遵守は必須です。
すべての従業員、請負業者、およびサードパーティベンダーは、本ポリシーの条件を読み、理解し、遵守することに同意したことを書面で認める必要があります。
最終更新日: 17年2025月XNUMX日
このセキュリティ プラクティス ポリシー (以下、「ポリシー」) は、miniOrange (以下、「当社」) によって制定され、当社のソフトウェア、システム、知的財産、およびデータの保護に関するガイドライン、手順、および責任を規定しています。このポリシーは、当社の資産のセキュリティ、整合性、および機密性を確保し、適用される法律および規制要件に準拠することを目的としています。
本ポリシーにおいて、以下の用語は以下に定める意味を有するものとします。
miniOrange プラットフォームは、クラウド アプリケーションの拡張と管理を行う機能のための安全で信頼性の高い基盤を提供するように設計されています。これにより、miniOrange との通信が安全かつ検証済みとなり、miniOrange サービスの制御とアクセスが組織全体に委任され、顧客データが安全に保たれます。追加のセキュリティ対策により、クロスサイト スクリプティング、偽造リクエスト、SQL インジェクションを防止します。miniOrange は、外部のセキュリティ専門家と協力して、設計と実装のセキュリティを検証しています。
miniOrange は、顧客データを保護するためにいくつかの手順を踏んでいます。すべてのクエリ、取得、および一括更新において、miniOrange サービスは検証済みのデータのみを返すか更新します。リクエストに対するすべての miniOrange システム応答は、その顧客と miniOrange 登録ユーザーに対して設定されているアクセス制限の対象となります。このユーザーと顧客の関係はリクエストごとに再検証され、顧客のサブドメイン内の承認されたユーザーのみがデータを表示できるようにします。
当社の最先端の暗号化技術は、保存時とユーザーのブラウザへの転送時の両方で顧客データを保護し、攻撃者にとっての弱点を残しません。miniOrange の暗号化された DB インスタンスは、基盤となるストレージへの不正アクセスからデータを保護することで、データ保護のレイヤーを追加します。当社は Amazon RDS 暗号化を使用して、クラウドにデプロイされたアプリケーションのデータ保護を強化し、保存データの暗号化に関するコンプライアンス要件を満たします。
miniOrange は、Amazon KMS (キー管理サービス) を使用してデータを対称的に暗号化します。これは、アプリケーション用の暗号化キーを使用するもので、データ暗号化に便利な手法です。miniOrange は、RSA、DSA、TRIPLE-DES、AES、HMAC のさまざまなバージョンを使用します。顧客の機密データも、上記の暗号化バージョンのいずれかを使用して暗号化されます。機密データには、パスワードなど、ユーザーの個人を特定できる情報が含まれます。
MiniOrange でローカルにユーザーが作成されると、ローカル miniOrange パスワードが与えられ、AWS RDS データベースに保存されます。ユーザー パスワードを保護するために、ラウンド数の多いソルト付き bcrypt を使用します。速度を重視して設計されているためレインボー テーブル攻撃やブルート フォース攻撃の影響を受けやすい他のハッシュ アルゴリズムとは異なり、bcrypt は非常に低速で適応型関数であるため、計算能力が増加するとハッシュ関数のコストが高くなり、速度が遅くなる可能性があります。
ユーザーがサードパーティの ID プロバイダー、または AD や LDAP サーバーなどのディレクトリにいる場合、認証はユーザー ID プロバイダーから直接行われます。この種類の認証は委任認証と呼ばれます。
miniOrangeは、データとシステムを保護するために最高レベルのセキュリティ対策を義務付けています。保存中のすべての機密データはAES-256で暗号化され、転送中のすべてのデータはTLS 1.2以上で保護されます。パスワードはbcryptまたは同等の暗号化関数を使用して保存されます。データベースレベルの暗号化は該当する場合に行われ、すべての機密ファイルは保存または転送前にPGPまたはAESで暗号化されます。
miniOrangeは、施設、資産、機密情報を保護するために、厳格な物理的セキュリティ対策を実施しています。訪問者管理システムによってアクセスは厳格に管理されており、身分証明書の提示、登録、および立ち入り禁止区域内での付き添いが義務付けられています。出荷および受領プロトコルは、入出荷貨物の安全な取り扱いを保証するものであり、検証、検査、および許可された担当者のみのアクセス制限が含まれます。環境リスクを軽減するため、miniOrangeは消火システム、空調設備、無停電電源装置(UPS)、災害復旧対策などの安全対策を講じ、業務の継続性を確保しています。これらの基準を維持するために、定期的なセキュリティ評価とコンプライアンスチェックを実施しています。
miniOrangeは、顧客のセキュリティ要件に定められた厳格なオフボーディング手順を採用・実施し、従業員の退職時にシステム、データ、資産を保護します。これらの要件に従い、不正アクセスを防止するため、退職または辞職後、すべてのアクセス権、資格情報、および権限は直ちに取り消されます。退職する従業員は、ノートパソコン、アクセスカード、機密文書など、会社から支給されたすべての資産を最終勤務日までに返却する必要があります。完全なコンプライアンスを確保するために、標準化された退職チェックリストに従って資産を返却し、返却がない場合は法的措置または財務措置が講じられる場合があります。さらに、従業員の退職後にはデータアクセスログをレビューし、異常を検出して対処することで、顧客のポリシー要件に沿って安全かつコンプライアンスを遵守した移行を確実に実施します。
miniOrange の技術チームは、市場をリードするオンデマンド サービスの開発と運用において幅広い経験を持っています。サービスのセキュリティとスケーラビリティに適したパートナーを選択するために、インフラストラクチャ プロバイダーの包括的な評価が行われました。miniOrange と Amazon (AWS) は、miniOrange サービスのセキュリティと信頼性を確保するための包括的なアプローチを採用しています。このアプローチは、物理データ センターから始まり、サービスのコンピューティング、ネットワーク、ストレージ レイヤーにまで及びます。
AWS ネットワークは、分散型サービス拒否攻撃 (DDoS)、中間者 (MITM) 攻撃、IP スプーフィング、ポートスキャン、他のテナントによるパケットスニッフィングなどの従来のネットワークセキュリティ問題に対する保護を提供します。
当社のクラウドソリューションは、WAFと負荷分散環境の背後にあるAWS上に展開され、自動スケールアップオプションが有効になっています。 ここをクリック 高レベルのインフラストラクチャ図をご覧ください。
miniOrange クラウドは、複数のアベイラビリティゾーンを備えた Elastic Load Balancer の背後にある AWS 米国東部 (バージニア北部)、ヨーロッパ、オーストラリア、アイルランドのデータセンターでホストされており、99.99% の稼働率を保証します。
miniOrange クラウド サービスは AWS でホストされているため、複数の監視ツールを利用して、システムが常にスムーズに動作していることを確認しています。異常が発生したり、ステータス チェックが失敗した場合に適切なチームに通知が届くように、通知が設定されています。これにより、DOS 攻撃や DDOS 攻撃から保護され、予期しない負荷の急増を防止できます。
サーバー環境のスナップショットは定期的に作成され、データベースは毎日バックアップされます。災害復旧が必要な場合でも、すぐにバックアップを実行して実行できます。
Amazon S3 は、バックアップと静的コンテンツの保存に使用されてきました。
キャッシュには AWS Elasticache (Memcached) と DynamoDB が使用され、実装されています。
miniOrange は、災害を含むセキュリティやプライバシーに関するイベントをお客様が報告するための公開メカニズムを提供します。miniOrange は、障害や災害管理が発生した場合に上流プロバイダーと連携してサービスの継続性を監視します。
miniorange は、ユーティリティ サービスのセキュリティを確保し、環境条件を緩和するために、環境制御、フェイルオーバー メカニズム、またはその他の冗長性を実装しました。
当社では、コードを 1 行も書く前にソフトウェアにセキュリティを組み込みます。厳格なセキュリティ チェックポイントにより、設計からコーディング、テスト、展開まで、開発ライフサイクルのすべてのステップが管理されます。miniOrange の社内セキュリティ チームは、独立した外部のセキュリティ研究者と協力して、ソフトウェアのセキュリティを検証しています。
当社では毎年、最新の安全なプログラミングとコードレビューの手法について開発者をトレーニングしています。
miniOrange のソフトウェア セキュリティは、社内のセキュリティ研究者である同業者によって定期的にレビューされています。
miniOrange のセキュリティ制御は、従業員と請負業者に対して、miniOrange での勤務前、勤務中、勤務後に適用されます。
miniOrange のセキュリティ チームは、セキュリティ意識を高め、コンプライアンスを確保するために従業員をテストすることで、セキュリティを企業文化に組み込んでいます。
当社では、業務の遂行に必要なユーザーのみに本番環境へのアクセスを制限し、そのアクセスを継続的に監視することでリスクを軽減しています。
基盤となる miniOrange プラットフォームのコア セキュリティ機能には、クロスサイト スクリプティング (XSS)、クロスサイト リクエスト フォージェリ (XSRF)、SQL インジェクション攻撃を防ぐ機能が含まれます。入力とリクエストの強力な検証と SQL ステートメントの厳格なプログラム制御により、これらの脅威を最小限に抑えます。
miniOrange は、セキュリティ戦略の一環として、Netsparker などのさまざまな一般的なテスト ツールを使用して侵入テストを実行し、サービス全体のセキュリティを理解して改善しようとしています。評価には、設計レビュー、ソース レビュー、侵入テストが含まれます。miniOrange の開発者は、セキュリティ上の脅威を特定し、潜在的な脅威に対するソリューションを開発します。当社は、セキュリティ プログラムを使用してソフトウェアのバグを積極的に探します。また、お客様には miniOrange で侵入テストを実施する権利があると信じており、そのためのテスト環境を提供しています。
コンピューティング、ストレージ、ネットワーク伝送など、インフラストラクチャのあらゆるポイントでお客様のデータを保護します。miniOrange 環境の各サーバーは、可用性を追跡するために、マシンのヘルス メトリックが 1 分に 2 回監視されます。AWS データ センターは、目立たない施設内にあります。物理的なアクセスは、ビデオ監視、最先端の侵入検知システム、その他の電子手段を使用するプロのセキュリティ スタッフによって、境界と建物の入口の両方で厳重に管理されています。許可されたスタッフは、データ センターのフロアにアクセスするために、2 要素認証を少なくとも 2 回通過する必要があります。従業員によるすべての物理的なアクセスは記録され、定期的に監査されます。
インスタンスを管理するためにホスト オペレーティング システムへの管理アクセスを行うには、多要素認証を使用する必要があります。管理ホスト システムは、クラウドの管理プレーンを保護するために特別に設計、構築、構成、強化されています。すべてのアクセスはログに記録され、監査されます。弊社では、すべてのサービス プロバイダーがデータ保護基準を満たしていることを確認しています。
本ポリシーは、当社の裁量により随時修正または更新される場合があります。すべての修正または更新は、従業員、請負業者、および関連するサードパーティベンダーに通知されるものとします。本ポリシーの最新バージョンの遵守は必須です。
すべての従業員、請負業者、およびサードパーティベンダーは、本ポリシーの条件を読み、理解し、遵守することに同意したことを書面で認める必要があります。