Security

(Last updated 23rd August, 2023)

はじめに

Statusbrew株式会社(以下、当社)は、 あらゆる規模の企業がより良いマーケターとなり、顧客とのより強固な信頼関係を構築し、より情報に基づく意思決定をし、世界で最も愛されるブランドとなることのサポートを使命としています。

当社は、お客様から提供された情報を、喪失、悪用、未承認のアクセスあるいは開示から保護するため、常に組織的且つ技術的な対策を講じています。このような対策においては、当社が取集、処理、保存する情報の機密性、技術の現状、実装に伴うコスト、そして当社がおこなうデータ処理の性質、範囲、コンテキスト、目的を考慮しています。

GDPR(General Data Protection Regulations)の遵守

EUでは、2018年5月25日に一般データ保護規則(GDPR)が施行されました。当社は、安全且つ安心なインターネットのためのこれらの規則を全面的に支持しています。当社は設計段階からプライバシーを尊重し、可能な限り個人を特定できる情報を収集しないように努めています。

当社のプライバシーポリシーでは、個人を特定できる情報が必要な場合についていくつかの例を挙げています。例えば、当社サービスへログインするためのメールアドレスや、お客様のアカウントを管理するためのソーシャルネットワークのユーザーネームがそれにあたります。

当社はプライバシー・バイ・デフォルトを目指しています。当社製品が作動するためにデータが必要でない場合には、当社はデータを収集しません。これはGDPRの精神と合致しており、また幸いなことに、これまで当社ではこのようなデータ収集を数多く実践してきました。そのため、トラッキングあるいはその他を目的として、個人を特定する情報を収集するための同意を要求するバナーやフォームを見かけることがあるかもしれません。当社はこの情報が当社サービスをお客様へ提供するうえで必要不可欠なものとは考えておらず、この情報が関連するようなアクティビティーやストラテジーには関与しません。

当社では、現在使用しているすべてのサブプロセッサ―の一覧を提供しています。またそれには個人情報を共有する第三者も含まれます。

お客様におかれましては、ご自身の情報をエクスポートし内容の確認をご希望の場合には、いつでもリクエストいただくことが可能です。また、情報の削除や抹消をご希望の場合にも速やかに対応します。その場合は、support@statusbrew.comまでメールにてお問合せください。

DPA(Data Processing Addendum、データ処理契約)

当社ではGDPRのためDPA(データ処理契約)を実施しています。GDPR DPAおよびそれに関するFAQsの一部は、すべてのお客様にご利用いただけます。当社においてGDPR DPAの締結をご希望の場合には、 support@statusbrew.comまでメールにてお問合せください。当社のデータ処理契約書をお送りいたしますので、ご記入、サインのうえご返送ください。

秘密保持

当社では、お客様や承認されたユーザーが当社サービスを通じて入手可能とする顧客コンテンツへアクセスできる従業員を制限するため適切に管理し、アクセス権限をもたない者による顧客コンテンツへのアクセスを防止しています。

当社の全従業員は顧客コンテンツの秘密保持のに関する当社のポリシーに拘束されます。

当社の従業員は入社時およびその後の業務のなかで、セキュリティ研修を受講します。従業員は当社サービスの提供に使用されるシステムおよびサービスの機密性、完全性、可用性、そしてレジリエンスを網羅したセキュリティーポリシーを読み、各自からのサインを義務付けています。特にセンシティブな立場である従業員を採用する場合には、必要に応じて、雇用前に犯罪歴の有無のチェックもおこなっています。

データセンター

当社の製品はAmazon Web Services (AWS)でホスティングされています。 AWSは世界標準ホスティング設備を提供しています。安全性、可用性、冗長性に優れ、CSA( Cloud Security Alliance)のSTAR Level2、ISO 9001、27001、 27017、 27018、PCI DSS(Payment Card Industry Data Security Standard)Level1、SOC(System and Organization Controls)1、2、3に準拠しています。AWSの証明書やコンプライアンスプログラムの詳細は、 https://aws.amazon.com/compliance/programsをご確認ください。

顧客情報は、AWSの米国東部(us-east-1 region)にホストされています。当社はEU諸国やスイスからの個人情報の転送についてプライバシーシールドより承認されており、これはGDPRに準拠しています。 AWSデータセンターは世界規模の物理的なホスティング機能を誇ります。建物には、温度や湿度を監視・管理する機能、水害の自動検知・除去機能、火災の自動検知・抑制機能が備わっています。複数の電力供給、無停電電源装置(UPS)、その他発電機など、様々な種類の電力コンビネーションにより電力のバックアップが可能になっています。

アプリケーションセキュリティ

当社のデベロッパーは年に一度、セキュアコーディングに関する研修を受講しています。すべてのアプリケーションコードは、当社の従業員によって書かれており、いかなる変更もピアレビューを経ています。 セキュリティの脆弱性は緊急に対処され、即座に修正されます。

データ暗号化
当社では、転送中のすべてのトラフィックを暗号化するため、最新の業界標準の安全な暗号スイートとプロトコルをサポートしています。当社は現在、メインのWEBサイトおよびクレジットカード情報を受信するすべてのページでTLS 1.2のみをサポートしています。

顧客コンテンツは、コンテンツの性質や関連するリスクに応じて、それが適切な場合には、保存される際にも暗号化されます。当社が処理する情報は、すでにどこか他の場所で公開されている情報がほとんどであるため、プライバシー上のリスクは伴いません。

当社は、変化めまぐるしい暗号化の現状を注視し、新たな暗号化の弱点に対処できるよう、当社サービスをアップグレードし、進化するベストプラクティスを実装できるよう商業的に合理的な努力をおこないます。

二要素認証
二要素認証を追加することで、お客様の当社サービスアカウントの保護がより一層高まります。 お客様がご自身のアカウントへログインする際は必ず、認証情報を入力後、ご自身のスマートフォンにGoogleオーセンティケータ―のアプリに届く認証コードを追加で入力いただく必要があります。この二段階認証を追加いただくことで、当社はお客様だけがご自身のアカウントへログインすることを保証します。

シングルサインオン(SSO)
当社はシングルサインオン(SSO)を提供しています。SSOとは、一度のログイン認証で複数のアプリケーションへのアクセスを可能とする技術です。SSOは円滑で一貫性のあるアカウント保護とユーザー体験をもたらします。従業員のアクセス権限に変更がある場合、ネットワーク管理者は、該当するユーザー関連するアカウントをデータベースを通して簡単に無効にすることが可能です。

第三者によるペネトレーション(侵入)テスト
当社は、年に数回のペネトレーション(侵入)テストを実施するため、複数のペネトレーションテスト会社と契約しています。

PCI DSS(Payment Card Industry Data Security Standard)
クレジットカードによる支払処理の際、当社ではPCI DSSに準拠した第三者の企業を利用しています。当社では、お客様のクレジットカード情報を保存、転送または処理することはありません。当社においては、処理済みのトランザクションとして識別される匿名のトークンとして保存されるにとどまります。

製品セキュリティ機能

セキュア認証ストレージアカウントのパスワードは、最新の強固なアルゴリズムおよびアプローチを伴ってソルト化およびハッシュ化され、定期的に監視されます。当社の従業員を含め人間ではパスワードを確認することはできません。もしお客様が当該パスワードを失念なさった場合、復元することはできず、リセットされます。

ブルートフォース攻撃からの保護

計算的に難しいハッシュに加えて、当社の認証サービスは追加のレート制限保護とReCAPTCHAを導入しています。

承認ワークフロー
アカウントオーナーおよび管理者が、承認ワークフローにおける一部のアクティビティを制限する場合があります。これにより、公開されるアクションについては中央の意思決定者によって確認および管理されているという安心感をもたらし、チームの間でタスクの分担が可能になります。

アクセス許可
アカウントオーナーおよび管理者は、アカウントのユーザーごとにその権限を細かく設定することで、プロファイル、機能、アクション(含む、読む・書く)およびその他の情報へのアクセスを権限することが可能です。

メール署名
当社では、送信されたメールが間違いなく当社からのメールであることを確認するため、Sender Policy Framework (SPF) およびDomainKeys Identified Mail (DKIM) を導入し、なりすましを防止し、信頼性を確かなものとしています。

脆弱性開示ポリシー

当社では、お客様および当社サービスのセキュリティ基準を最高水準で維持するため、外部のセキュリティリサーチが重要な役割を果たすと考えています。また、当社のユーザーおよびシステムの安全に関する取り組みの一部として、当社は我々のプラットフォームや設備で発見されたいかなる脆弱性も責任ある報告がなされることを奨励しています。本ポリシーはそうした脆弱性を報告するためのガイドラインであり、それらに対処する当社の取り組みの概要です。

オーソリゼーション

お客様がセキュリティリサーチにおいて本ポリシーを遵守し、誠意をもって努力いただいた場合、当社はお客様のリサーチを承認し、当該問題の速やかな理解ならびに解決のためお客様と協力し、 また、当社はお客様のリサーチに関し法的な措置を推奨あるいは求めることはありません。本ポリシーに従ってとられた行動について、第三者がお客様に対し法的措置を開始した場合、当社はこの承認について周知します。

ガイドライン

本ポリシーにおいて「リサーチ」とは次のことを意味します。

  • セキュリティに関し、実際のあるいは潜在的な問題を発見した後、速やかに当社へ知らせること
  • 適宜お客様からのレポートの受領について通知すること
  • プライバシー違反、ユーザーエクスペリエンスの劣化、製品システムの破壊、データの破壊あるいは不正操作を防ぐためあらゆる努力をおこなうこと
  • 脆弱性の存在を確認するためにのみ、必要な範囲でエクスプロイトを使用すること(データ侵害や流出、持続的なコマンドラインアクセスの確立、他のシステムにピボットするためにエクスプロイトを使用することは禁止します)
  • 脆弱性の公開を求める場合には、公開前に問題を解決するための合理的な時間を当社へ提供すること
  • 質の低いレポートを大量に提出することはしないでください

脆弱性が存在することを確認した場合、あるいは個人を特定できる情報や、財務情報、独自の情報や企業秘密などを含むセンシティブ情報に遭遇した場合には、直ちにテストを中止し、直ちに当社へ通知しなくてはなりません。また、当該データの公開を禁じます。

範囲

本ポリシーは次のシステムおよびサービスに適用されます。

上記以外のサービスについては、接続されているサービスも含めて対象範囲から除外され、テストは許可されていません。

Statusbrewは、Facebook、Google、LinkedInといったソーシャルネットワークから提供されるAPIに大きく依存しているため、ソーシャルネットワークへのアクセス要求をおこなう機能は対象範囲外であり、テストは許可されていません。例えば、Statusbrewのエンゲージツールを用いたコメントやメッセージへの返信、予約プランナーを用いたコンテンツ投稿などは対象の範囲外です。

当社は様々なオンラインシステムやサービスを運用・管理していますが、調査や検証の実施は、この文書の範囲内で述べられているものに限るようお願いいたします。もしも対象外のシステムで調査が必要と思われる場合には、当社に事前にご相談ください。当社は本ポリシーの対象範囲を段階的に拡げることを考えています。

なお、当社のベンダーから提供されたシステムにおいて脆弱性が発見された場合、本ポリシーの対象外となり、当該ベンダーの公開ポリシーがある場合には、それに従って当該ベンダーへ直接報告してください。

認められないリサーチ方法

当社では、次の種類のリサーチを認めていません。

  • ネットワークサービス拒否(DoSまたはDDoS)のテスト、またはシステムやデータへのアクセスを弱めたりダメージを与えるその他のテスト
  • 物理的なテスト(例:MS Accessへの攻撃、バックドア攻撃、テールゲート攻撃)やソーシャルエンジニアリング(例:フィッシング、ビッシング)、その他の非技術的な脆弱性テスト
  • 所有権がないデータへのアクセスやデータ取得を試みること
  • 不要な、または不正メールやスパム、その他の種類の迷惑通信の配信、また配信を試みること
  • 当社サービスに接続している外部のウェブサイト、アプリケーション、サービスでのテスト実施
  • ウイルスやマルウェアなどの悪意あるソフトウエアを故意に送信、アップロード、リンク、転送、保存すること
  • 未成年者、制裁リストに記載がある者、制裁リストに記載されている国の居住者によって実施されたテスト

対象外の脆弱性

以下の脆弱性は、当社では本ポリシーの対象外となりますのでご注意ください。

  • 第三者/オープンソースコンポーネントの脆弱性:当社の管理外における問題となります
  • 分散型サービス拒否攻撃(DDoS):大量の情報を送りつけてサービスを妨害するサイバーセキュリティ攻撃
  • ソーシャルエンジニアリング/フィッシング:機密情報を開示するように人間を操るサイバー攻撃
  • メールボム/フラッディング: 保存できないほどの大量のメールが届いてしまうサイバー攻撃
  • 検証されていない自動スキャナーの結果:手動検証されていない自動化ツールからの結果
  • サーバーやソフトウェアのバージョンの公開:サーバーやソフトウェアのバージョンの単なる公開
  • パスワード強化やポリシーに関する問題:パスワードの強化またはガイドラインに関する懸念事項
  • iOSのジェイルブレイク(脱獄)/Androidのルート化の際のエクスプロイト:侵害されたデバイスにのみ生じるセキュリティの欠陥(脱獄/ルート化した結果、生じた脆弱性)
  • セルフエクスプロイト(自己悪用)攻撃:ユーザーが自分自身に対してのみ悪用可能な脆弱性
  • 古いブラウザのエクスプロイト:すでにサポートされていない古いバージョンのブラウザにのみ影響する問題
  • サブリソース完全性の確認:サブリソース完全性の検証の欠如
  • ヘッダーの誤設定やセキュリティヘッダーの欠如:遠隔の被害者に対して悪用される可能性があることを証明できないヘッダーの問題
  • 類似した未請求のソーシャルメディアアカウント、リンク、ドメイン:当社の公式チャネルに類似した未請求のデジタルアセット
  • DMARC(Domain-based Message Authentication, Reporting and Conformance )/SPF(Sender Policy Framework)の問題:送信ドメイン認証に関する問題
  • TLS/SSLのバージョンに関する問題:使用されているTLS/SSLのバージョンのみに起因する問題

セキュリティ脆弱性の報告方法

当社サービスにおいてセキュリティ脆弱性を発見された場合には、以下の手順に従って当社へ報告いただきますようお願いいたします。

  • 安全性の高い方法によるご連絡: こちらのフォームを使うか、または、security@statusbrew.comへ暗号化されたメールをお送りください。レポートには、脆弱性が見つかったURLやコンポーネントなどを含め詳細を記載してください。またスクリーンショットやPoC(概念実証)、使用されたツール等、補足資料もあわせてお送りください
  • お知らせいただく情報:脆弱性がある場所、または潜在的脆弱性の影響がある場所。脆弱性を再現するために必要な手順の詳細(PoCスクリプトやスクリーンショットがあると助かります)。お客様のご連絡先も記載してください
  • 報告いただいたあと:10営業日以内にいただいたレポートを確認します。進捗に応じて定期的にアップデートをおこないます。問題が解決したときにはお知らせいただいたご連絡先に通知します

当社からの明示的な文書による許可がない状態で、脆弱性に関する詳細を公開することはご遠慮いただいております。また、潜在的な脆弱性を報告いただく場合には、当社がお客様のアクションを再現し、それに対応できるだけの充分な詳細をお知らせください。

セーフハーバー

脆弱性について報告いただく際、お客様が本ポリシーを遵守された場合、当社は問題の理解および速やかな解決のため、お客様とともに働きます。当社はお客様に対し法的措置や、各機関への行政的または法的な不服申し立てをおこないません。そのため、お客様には次のことをお願いしております。

  • 問題を公開する前に、それを解決するために必要な合理的な時間を当社に提供すること
  • お客様がリサーチされる際、プライバシー侵害、データ破壊、当社サービスの妨害あるいは劣化を防ぐために誠実に努力すること

報酬

当社は現在のところ報奨金をともなうバグバウンティプログラムは導入していませんが、セキュリティコミュニティによる貢献を高く評価しています。そうした貢献に対する称賛や報酬は、報告された脆弱性の深刻度や創造性に基づき、担当部門である当社セキュリティチームにて判断されます。

連絡先

セキュリティに関しご質問やさらなる情報についてのお問合せは、security@statusbrew.comまでご連絡ください。