Lycoris Studioについて
ビジネスパートナー
その他
セキュリティ対策の概要
Lycoris Studio(以下「当団体」といいます)が利用しているサービスおよび当団体は、企業と顧客のデータや資産を保護するために、技術的および組織的なセキュリティ対策を講じ、維持管理しています。 セキュリティチームは、利用しているサービスとユーザーのセキュリティと完全性を管理するプロセスや制御の促進と開発を先導しています。以下は、利用しているサービスがプラットフォームとユーザーの安全を守るために採用している基本的な対策の概要です。(利用しているサービス)
なお、「Lycoris Mail」および「Lycoris URL」のセキュリティ対策に関しましては「ドメイン保証」をご確認ください。
専属セキュリティチーム
-
利用しているサービスでは、情報セキュリティ、アプリケーションセキュリティ、ネットワークセキュリティのエキスパートであるセキュリティとプライバシーの専門家チームを採用しています。このチームは、会社の防御システムの維持と継続的な改善、セキュリティレビュープロセスの開発、セキュリティインフラの構築、会社のセキュリティポリシーの実施を行っています。
-
利用しているサービスの専属セキュリティチームは、プラットフォームとインフラストラクチャを積極的にスキャンしてセキュリティ上の脅威の検出、侵入テストの実施、品質保証対策とソフトウェアセキュリティレビューの実施、利用しているサービスのプロダクト・エンジニアリングチームにプロジェクト固有のコンサルティングサービスの提供も行っています。
-
セキュリティチームは、外部の専門家の協力を得て、ネットワーク上の不審なアクティビティを常に監視しています。また、情報セキュリティの脅威に対処し、定期的なセキュリティ評価と監査を行っています。
コンプライアンスと証明書
-
利用しているサービスは PCI レベル 1 の加盟店およびサービスプロバイダであり、ISO 27001 および ISO 27018 に準拠していると認定されています。
物理的なアクセス制御
-
利用しているサービスは、AWS と Google Cloud Platform のクラウドベースのデータセンターでホスティングされており、Equinix はすべての物理的なコロケーションサービスを提供しています。利用しているサービスのインフラプロバイダは、ISO 27001、ISO 27017、ISO 27018、SOC 1、SOC 2、SOC 3、PCI DSS レベル 1 などの業界標準のセキュリティ認証を取得しています。
-
利用しているサービスのデータセンターの所在地に関しまして、バックアップサーバーを含め、ヨーロッパとアメリカを含む世界中に設置されています。
-
クラウドサービスプロバイダのセキュリティに関する詳細は、AWS セキュリティページと Google Cloud セキュリティページをご覧ください。
-
利用しているサービスの世界各地にあるオフィスは、個人認証によるアクセス制限と管理によって物理的に保護されています。
事業継続、インシデント対応、災害復旧計画
-
利用しているサービスは、インフラストラクチャとサービスの可用性と継続性を確保するために、別々の地理的場所と異なるタイムゾーンにあるデータセンターとクラウドサービスプロバイダを使用しています。
-
利用しているサービスは、事業継続計画、インシデント対応計画、災害復旧計画を開発・維持しており、これらは定期的にテストされ、更新されます。
-
利用しているサービスは、 DDoS 攻撃の影響に対する保護と緩和のための指定ソリューションを促進します。
-
利用しているサービスは、複数の地域に専門チームを置き、プラットフォーム、サービス、サポートインフラストラクチャをサポートしています。
システムアクセス制御
-
利用しているサービスは、サービスの内部ネットワークと個人データを処理するシステムを取り扱うアクセス制御ポリシーを維持しています。これにより、アクセスログ、モニタリング、制限などの制御プロセスが容易になります。
-
利用しているサービスの記録とシステムは、顧客の記録と情報を非顧客情報と区別しています。
-
データの挿入、削除、変更がスタンプされ、ログ(日時と関係者)に記録されます。
アプリケーションレベルのセキュリティ、モニタリング、リスクの特定・評価
-
利用しているサービスは、サービスユーザーのアカウント認証情報とパスワードをハッシュ化します。
-
サービスユーザーは、セキュリティ強化のため利用しているサービスのアカウントで二段階認証を設定することができます。
-
サービスユーザーは、ウェブサイトの権限の多くをカスタマイズすることができます(これは、使用する特定のサービスや機能によって異なります)。
-
すべての利用しているサービスのクラウドとパブリックインターフェースは、定期的に脆弱性や設定ミスを自動的にスキャンします。利用しているサービスは定期的にプラットフォームへの攻撃をモニター、検出、ブロックします。
-
侵入テストは、利用しているサービスのセキュリティチームと外部の第三者によって定期的に行われます。結果は評価され、(必要であれば)修正されます。
-
利用しているサービスはセキュリティバグ報奨金プログラムを維持しており、独立したセキュリティ研究者に脆弱性レポートをテストし提出するためのプラットフォームを提供しています。
-
利用しているサービスは、顧客のデータプライバシーを確保し、ある顧客が別の顧客のデータにアクセスするのを防ぐために、コード内のプライバシー制御を促進します。
個人データの保管、送信、転送に関する管理とセキュリティ対策
-
利用しているサービスで作成されたすべての新しいサイトでは、利用しているサービスが提供する基本サービスの一部として HTTPS が自動的に有効になります。
-
すべての重要なインターフェースと機能(例:ユーザー認証、決済(PCI データ)、PII 関連のプロセス)は、少なくとも TLS v1.2 を使用してのみアクセスできます。
-
利用しているサービスは、ゼロデイ攻撃のセキュリティ問題から保護するために、複数層のセキュリティアーキテクチャを備えています。
-
不正アクセスを防止するために、ファイアウォールと侵入防止システムが導入されています。
-
利用しているサービスは、さまざまなソース(内部ネットワークトラフィック、システムでの従業員の行動、および脆弱性に関する継続的な調査)から収集された情報に焦点を当てた SOC 24/7/365 モニタリングプログラムを推進しています。分析は、トラフィックのキャプチャと解析のためのさまざまなツールを使用して実行されます。
従業員の意識とトレーニング
-
利用しているサービスのセキュリティチームは、すべての従業員と定期的にコミュニケーションを図り、新たな脅威、フィッシング啓発キャンペーン、その他の業界関連のセキュリティトピックなどをカバーしています。
-
利用しているサービスの全従業員:
-
入社時および(必要に応じて)継続的にセキュリティトレーニングを実施し、さらに(必要に応じて)セキュリティの特定の側面に関する追加の役割に応じたトレーニングを実施します。
-
顧客情報の安全性を確保することを強調した当社の行動規範に同意します。
-
雇用時に機密保持契約書に署名します。
第三者リスク管理プログラム
利用しているサービスのデータ、プラットフォーム、またはシステムにアクセスできる新しいサードパーティサービスプロバイダまたはベンダーに依頼する前に、利用しているサービスの第三者リスク管理プログラムの一環として、ベンダーのデータセキュリティ対策のリスク評価を実施します。
法執行機関要請ポリシー
-
利用しているサービスは、お客様とそのエンドユーザーの人権を尊重します。
-
そのため、利用しているサービスは法執行機関、政府機関または規制機関(以下「当局」)から受信したすべてのデータリクエストが有効であり、適用される法的手続きに従って行われることを保証するために、法執行機関要請ポリシーを実施しています。
-
利用しているサービスは、適用法で義務付けられている場合を除き、当局に個人データを開示することはなく、利用しているサービスは違法な要求に異議を申し立てます。法的に禁止されている場合を除き、利用しているサービスが顧客のユーザー情報のリクエストを受けた場合、利用しているサービスは該当するデータの管理者として、該当顧客に直接要求するよう、当局に指示します。
フォームの安全性確保
-
当団体は、利用者様の個人情報およびそれに付随する危険から安全を保証しています。
-
公開しているフォームは、Googleが提供しているreCAPTCHA認証と同時に、当団体が利用しているサービスの基本的なスパムフィルターを使用しています。
-
Googleフォームを使用する場合、以下の確認を徹底します。
なお、Googleフォームを使用する場合、『点数の割り当て機能』を利用する場合のみ使用します。-
基本的にURLの共有ではなく、サイトに埋め込みを行う形で実施します。(編集用URL漏洩防止の為)
-
『結果の概要を表示する』をオフにしている事の運営確認を徹底します。
-