セキュリティ対策 Security Measures

ISMSの基準を参考に「情報の①機密性②完全性③可用性」を意識し、徹底した管理を実施しています。

1.気密性(保護・外部攻撃からの防御

  1. サーバー・データベース領域の保護
    1. サーバーへのログインは鍵認証のみを許可。かつ22port を不使⽤
    2. AWS コンソールは⼆段階認証ログインを採⽤
    3. サーバーにはSSH を⽤いた暗号化通信以外は接続できない仕様
    4. データベースはprivate subnet のため、アクセスは本番サーバー経由のみ(外部からの直接接続は不可能)
    5. AWSのロードバランサーを使⽤し、サーバの負荷分散を実施
    6. 特定の社員以外、機密情報へのアクセスを制限
  2. 外部接続時の防御
    1. OSS などはLTS を使⽤
    2. ファイアウォールで指定以外のポートによる通信の遮断
  3. クライアント側からの防御及び保護
    1. ウェブサイトはCSRF,XSS,SQL インジェクションの対策を実施
    2. クライアント通信はhttps で暗号化
    3. ログインではブルートフォースアタックの対策を実施
    4. ログインパスワードは暗号化の上、保存

2.完全性(情報の完全性・最新性)

  1. 情報を正確かつ最新の状態に
    1. 個⼈情報⼊⼒時はフリーワードではなく選択制を積極採⽤
    2. 来場者、出展社情報の更新は即時更新(⼀部を除く)
    3. バグがないようリリース時はエンジニアを含むダブルチェック体制
    4. サーバやデータベースの不具合を感知したら⾃動通知する仕様

3.可⽤性(情報の保存・加⼯・取り出し)

  1. バックアップ体制
    1. 万が⼀に備え、弊社サーバにおいて⼀定期間バックアップを取得
    2. 個⼈情報を保有するバックアップデータはイベント終了後、お客様(EventBASEの契約主体者)への破棄確認を以てすみやかに破棄
  2. 情報の簡単な取り出し・分析
    1. 主催社/出展社それぞれのマイページでリードのDLや分析結果の閲覧が可能。リード情報をメールで誤送付するなどのリスクを排除

附則
制定日:2021年08月25日