Security
認証・セキュリティ
お客様のウェブサイトのセキュリティを
最優先事項として取り組んでいます。
セキュリティ
セキュリティに関する取り組み
お客様に安心して Amimoto をご利用いただくため、セキュリティを最優先にしたサービス運営を行なっています。
セキュリティ対策
ファイアウォール、DDoS攻撃からの保護、WAF (ウェブアプリケーションファイアウォール)などのセキュリティオプションを提供し、WordPressウェブサイトを多層の防御で保護しています。
メンテナンス
定期的なバックアップとセキュリティアップデートを提供し、ウェブサイトのデータ保護とセキュリティ向上を実施しています。
脅威検出
AWS GuardDutyを使用し、潜在的な脅威やマルウェアを検出してアカウントのセキュリティを監視しています。
脆弱性検査の実施
ダッシュボードでは、脆弱性診断ツール VAddy を使用して定期的に脆弱性診断を行なっております。また、定期的な診断だけでなく、機能追加を行なった際も VAddy での脆弱性診断を実施しています。
AWS の FTR に合格
Amimoto マネージドはAWSのアーキテクチャ設計ガイドラインに従っています。AWSのファウンデーションテクニカルレビュー(FTR)に合格したセキュアなインフラを提供しています。
セキュリティチェックシートの提供
経済産業省による「クラウドサービスレベルのチェックリスト」、及び IPA(独立行政法人情報処理推進機構)による「安全なウェブサイトの作り方 改訂第7版」に準拠したセキュリティチェックシートをご提供しています。
お客様独自のチェックリストへの回答をご希望の場合は、別途有料オプションにてご対応可能です。また、当社に Web サイトの構築をご依頼いただく場合の「納品物に関するセキュリティチェック」のご依頼につきましても、お気軽にサポートまでお問い合わせください。
ホスティング環境は最新バージョンで構築
Amimoto は、Amazon Web Services (以降、AWS ) を利用しています。
AWS のデータセンターのロケーションは災害のリスクを考慮して計画され、冗長化のために物理的に離れた複数のデータセンター内で運営されています。データセンターの所在地は AWS の中でも限られた担当者しか把握しておらず、その他の人は AWS の社員であっても知らされていません。
AWS は、PCI 、ISO 、SOC の第三者認証を取得し、その他多くの公的な監査を受けて運営されています ( AWS が取得している第三者認証についてはこちら) 。日本国内でも金融・医療などの分野で採用が進んでいるほか、2020年10月より、日本政府による「政府共通プラットフォーム」としても採用されています。
Amimoto のインフラに関する方針・対応については、 AWS の指針に準じます。お客様のご契約情報(ユーザ名、メールアドレス、ご請求情報)につきましては日本国内に保管され、Amimoto マネージドホスティング上でホストする WordPress など Web サイトのデータにつきましては、原則米国のデータセンターに保管されます。米国以外の地域のデータセンターをご利用される必要がある場合は、サポートまでお問い合わせください。
ホスティング環境は最新バージョンで構築
お客様にご提供するサーバ環境を構築する際は、過去の特定のバージョンではなく、その時点の最新バージョンを使用します。
OS やミドルウェアのバージョンについては、必要に応じてお客様ご自身でサーバにログインしてご確認いただけます。
WordPress について
WordPress コア・プラグインは、初回インストール時にその時点の最新バージョンを使用します。初回以降は、お客様ご自身にてアップデートを実施していただく必要があります。WordPress のアップデート代行サービスをご利用いただければ、WordPress コアに加え、プラグインについても当社の検証環境で互換性チェックを行ない、お客様にご確認いただいた上で本番環境の更新を代行で実施いたします。
お客様のデータ管理
AWS 上のサーバへのアクセス権は、システム運用担当のスタッフに限定しており、全ての操作履歴が自動で保存されています。また、サーバに保管されているデータには、調査目的など、お客様から依頼があった場合にのみアクセスを行います。その他、個人情報の扱いについては、利用規約およびプライバシーポリシーに従った運用をおこない、セキュリティ対策の徹底と意識向上に努めています。
定期的にセキュリティパッチを適用
AWSから提供されるセキュリティパッチの適用を毎週自動的に実施しています。
第三者認証
ISMS(ISO/IEC 27001)認定を取得しています。
安心のデータバックアップ対策
Amimoto マネージドホスティングでは、障害や人的ミスによるデータ損失に備えて、定期的なバックアップを行なっています。お客様ごとのサイトのバックアップは、 Web サーバ・データベース・共有ストレージのフルバックアップを毎日自動で取得し、3世代まで保存します。バックアップからの復元は、 Amimoto マネージドホスティングの管理画面にてデータを指定し、当社に依頼していただくことで対応いたします。
マルウェアによる不審な通信の検査
サーバーから外部へのマルウェアによる不審な通信がないかを監視、不審な通信が検知された場合には自動でサーバー内へのマルウェアスキャンを実施いたします。マルウェアスキャンによりお客様のサイト内で脅威を検知した場合、当社担当者からお客様にご連絡します。お客様へのご連絡は当社サポート時間内で実施となります。マルウェア対策の詳細については Amazon GuardDuty をご参照ください。お客様個別でのリアルタイムの通知や脅威の隔離、レポートがご必要な場合は有償にて対応可能ですのでお気軽にサポートまでご相談ください。
不正アクセスのブロック
Amimoto マネージドホスティングでは IP アドレスや Basic 認証によるアクセス制限を設定できます。例えば、社内のIPアドレスからのみ WordPress の管理画面にアクセスできるように制限することで、外部からの不正なアクセスを抑制します。また、プラグインを用いてお客様自身で「いつ、誰が、どのような操作を行ったか」を確認できるようにすることも可能です。
ファイヤーウォール ( WAF )を標準装備
Amimoto マネージドホスティングでは、全てのプランに WordPress に最適化された Web Application Firewall (WAF) が標準装備されています。また同時に DDoS 攻撃を遮断するファイヤーウォールにも標準対応しています。
通信はすべて暗号化
Amimoto マネージドホスティングとの通信は、全て HTTPS により暗号化されています。第三者が盗聴を試みても、内容を知ることは出来ません。
セキュリティ問題を迅速に対応
OS やミドルウェアに関する脆弱性への対応は、Amimoto マネージドホスティングの保守に含まれます。AWS から常に最新の情報を入手し、特に Amimoto マネージドホスティングの環境において緊急度が高いと判断される問題については、迅速に反映する体制をとっています。保守に関する詳しい情報は、テクニカルサポートを効果的にお使いいただくためのガイドラインでご確認いただけます。
システム障害時の復旧の目安
・サーバの契約状況の確認や、新規契約・解約などを行うためのダッシュボード :24時間
・お客様に提供している Web サーバ: 12時間
サーバの監視・障害対応
サーバの監視は 24 時間 365 日無停止で行い、以下のような異常を検知した場合は、システム運用担当のスタッフに即座に通知され、状況にあわせた迅速な対応を行います。
・Web サーバ、MySQL サーバの CPU 負荷が 80% を超えた時
・AutoScaling でサーバの台数が増減した時
・ロードバランサーで 50x エラーを検知した時
・その他サービス停止時
サーバ監視に関する詳しい情報は、Amimotoマネージドホスティングのサーバ監視とアラート検知時の対応でご確認いただけます。
最新の障害・メンテナンス情報を通知
メンテナンスによる計画停止の際には、原則一週間前に、 Amimoto マネージドホスティングサイトの通知にて事前告知を行います。
障害発生時には、Amimoto マネージドホスティングサイトもしくは当社コーポレートサイトにて状況をご報告いたします。
当社は AWS パートナーネットワークの認定を受けています
AWS パートナーネットワーク(以下APN)において、「AWS ISV Accelerate プログラム」の認定サービスとなりました。Amimoto が AWS からのプログラム要件「 AWS ファンデーショナルテクニカルレビュー( FTR )」をクリアし、グローバル規模で利用できるサービスである証ともいえます。 また、これまで AWS と WordPress を活用してきた多くの実績から、AWS パートナーネットワークとして3種の認定を受けています。
