チューリップのITセキュリティガイド

目的

ここでは、チューリップのすべてのセキュリティポリシーのガイドを提供します。

この記事は2つのセクションに分かれています。最初のセクション「アプリケーション・セキュリティ」では、エンドユーザーの管理とアクセス、ユーザーデータのセキュリティ、コネクターを使用したインターフェースなど、アプリケーション・レベルでのセキュリティの考慮事項について説明します。2番目のセクションは、「インフラストラクチャー・セキュリティ」で、Tulipの社員がクラウドプロバイダー内でTulipアプリケーションを実行、管理するために使用するインフラのセキュリティについて説明します。

アプリケーションのセキュリティ

ネットワークアクセス

Tulipアプリケーション（管理者インターフェース、Tulip Playerランタイム、すべてのデバイスアクセスを含む）へのすべてのエンドユーザーのアクセスは、TLS暗号化を使用して、既知のIPアドレスにトランザクションされます。各地域のIPアドレスは、Networking Requirementsの記事でご覧いただけます。

暗号化には、クライアントが利用できる最も強力な暗号が使用されます。本番データを扱うチューリップのサービスは、Qualys SSL LabsのテストからA+を獲得しています。Tulipに接続する最新のブラウザは、完全前方秘匿（PFS）を追加する鍵交換にElliptic-Curve Diffie-Hellman Ephemeral（ECDHE）、認証にRSA、暗号化にガロア/カウンターモードの128ビットAES、MACにSHA256を使用しています。古い暗号スイートは禁止されています。私たちのサーバーは、RSA_WITH_3DES_EDE_CBC_SHAより弱いスイートを使用することを拒否します。

エンドユーザーは、自分のクライアントデバイス、ネットワーク、プロキシなどのセキュリティを確保する責任を負わなければなりません。

ユーザー・アイデンティティの管理

チューリップは、エンドユーザーがチューリップ・アプリケーションへのアクセス及び権限を制御することができる組み込みのユーザー管理機能を提供します。パスワードは最低限の複雑さを満たす必要があり、サーバーに送信する前にクライアント側でSHA256でハッシュ化され（TLSで暗号化）、その時点でパスワードは業界標準のbcryptで塩漬けとハッシュ化されて永続的なストレージに書き込まれます。

企業ユーザーは、外部のIDプロバイダー（LDAPまたはSAML）を使用して、Tulipアプリケーションへのアクセスを管理することができます。

外部IDプロバイダーのセキュリティを確保し、TulipとIDプロバイダー間の安全な通信を確保することは、エンドユーザーの責任です。

不正な認証情報でのログイン試行は、10回試行すると10分間タイムアウトし、その後、追加のログイン試行が許可されます。

シングルログインと認証

チューリップは、管理者ごとに個別のログインを保証します。Tulip Playerの認証は、ランダムに生成される共有秘密に基づいて、デバイスごとに行われます。一旦デバイスがチューリップで認証されると、オペレータはRFIDバッジまたは資格情報を使って入力することでそのデバイスを使用することができます。

ユーザーデータ

チューリップは、内部データベースへの直接アクセスを許可せず、チューリップ・アプリケーション内の権限に従ってアクセスを制限しています。すべてのデータベース呼び出しは、インジェクション攻撃を防ぐためにパラメータ化されています。データベースは毎日バックアップされています。

ユーザーの画像、動画、その他データベース以外の資産はオブジェクトストレージに保存され、静止時には暗号化されます。ユーザーがこれらのデータを取得する際には、1回限りの署名付きURLが使用されます。

データエグレスと外部接続

Tulipでは、HTTP API、SQLデータベース、OPC UAサーバー、SMTPおよびSMSプロバイダーなどの外部サービスへの接続を設定することができます。これらの接続は、チューリップのアプリケーション内でサンドボックス化され、チューリップにセキュリティの脆弱性を持ち込まないようになっていますが、エンドユーザーは、これらのサービスを通じて送信される情報が適切に扱われるように責任を持つ必要があります。これには、APIおよびデータベース接続の適切な暗号化の確保、機密または規制対象のデータが規制対象外の宛先に送信されないようにすることが含まれます。

セキュリティの脆弱性の可能性についてのお客様中心の議論については、Tulip Connector Hostsの記事をご覧ください。

インフラストラクチャーのセキュリティ

チューリップの従業員のアクセス権

チューリップの社内システムおよび生産システムへのアクセスは厳密に管理され、必要に応じて従業員にのみ提供されます。チューリップは、従業員のチューリップ情報システムへの物理的および論理的アクセスを、離職日までに終了させます。

インフラストラクチャへの認証

当社は、顧客データにアクセスするすべての当社従業員アカウントに強力なパスワードと2要素認証の使用を要求します。これには、パスワードの最小限の長さ、ロックアウト、有効期限、複雑さ、暗号化、デフォルトパスワードの変更、および仮パスワードの使用に関する要件が含まれます。ユーザーアカウントの認証情報（例：ログインID、パスワード）は決して共有されません。

サードパーティクラウドホスティングプロバイダー

当社は、Amazon Web Services（AWS）及びMicrosoft Azure（AZ）を使用して、当社のサービスを実行するために必要なハードウェア、ソフトウェア、ネットワーク、ストレージ及び関連技術を提供しています。個々のお客様のサイトは、デフォルトでチューリップが選択した単一のプロバイダーに制限されていますが、お客様は必要に応じて、特定のプロバイダーのクラウドへの展開を要求することができます。

提供されるITインフラは、セキュリティのベストプラクティスおよび以下のようなさまざまなITセキュリティ標準に準拠して設計・管理されています。SOC 1/SSAE 16/ISAE 3402（旧SAS 70）、SOC 2、SOC 3、FISMA、DIACAP、FedRAMP、DOD CSM Levels 1-5、PCI DSS Level 1、ISO 9001 / ISO 27001、ITAR、FIPS 140-2, MTCS Level 3など、さまざまなITセキュリティ規格に準拠し、セキュリティのベストプラクティスに沿って設計・管理されています。チューリップは、ホスティングプロバイダーのポリシーを継続的に評価し、当社の社内基準への準拠を保証しています。

各ホスティングプロバイダーの追加情報は、以下のリンクから入手できます。

• AWS
• AWS GovCloud
• アジュール

ファイアウォール/IDS/IPS

チューリップのすべてのサーバーは、チューリップが管理するIPアドレスの外部からの管理を制限するファイアウォールの中にあります。ファイアウォールやその他の境界デバイスを含むネットワークデバイスは、ネットワークの外部境界およびネットワーク内の主要な内部境界での通信を監視および制御するために、ホスティングプロバイダーによって設置されています。これらの境界装置は、ルールセット、アクセス制御リスト（ACL）、および特定の情報システムサービスへの情報の流れを強制するための設定を採用しています。チューリップは、通信の出入口で異常な活動や不正な状態を検出するために設計された監視ツールを使用しています。これらのツールは、サーバーとネットワークの使用状況、ポートスキャン活動、アプリケーションの使用状況、および不正侵入の試みを監視します。クラウドプロバイダーは、分散サービス妨害（DDoS）攻撃、中間者攻撃（MITM）、IPスプーフィング、パケットスニッフィング、ポートスキャンなどの従来のネットワークセキュリティ問題に対して大きな保護機能を提供しています。また、クラウド環境への侵入口には、IDSやIPSなどのセキュリティ管理システムを導入しています。

セキュリティアップデート

当社は、自動セキュリティアップデートを使用して、すべての重要なパッチまたはセキュリティアップデートがリリースされてから30日以内にチューリップ・アプリケーションに適用します。

データベースのセキュリティ

データベースは、各クラウドプロバイダー内に配置され、チューリップVPC内からのトラフィックにのみ開放されています。認証キーはランダムに生成されます。インジェクション攻撃を避けるため、パラメータを使用します。データは静止状態で暗号化されます。

ペネトレーションテスト

チューリップは定期的にサードパーティによる侵入テストを実施しています。また、コードベースの静的解析を行い、一般的な脆弱性を継続的にチェックしています。

開発・テスト環境

開発およびテスト環境は、本番環境と物理的および論理的に分離されています。

セキュリティインシデント

チューリップ情報システムのセキュリティ・インシデントは、ログに記録され、直ちに対処されます。これらのセキュリティで保護されたログは定期的に見直され、最低12ヶ月間維持されます。チューリップのテクニカルオペレーションチームは、ビジネスに影響を与える事象が発生した場合、業界標準の診断手順を用いて解決にあたります。スタッフのオペレーターは、24時間365日体制でインシデントを検出し、その影響と解決を管理します。インシデントや問題を処理する際に、オペレーション担当者を支援し、情報を提供するための文書が整備されています。問題の解決に協力が必要な場合、オペレーションチームは追加のスタッフを手配し、電子会議技術を使って協力し、通信内容を記録して確認します。外部への影響にかかわらず、重大な業務上の問題が発生した場合は、事後検証を行い、根本原因、技術的・手続き的な改善点を特定し、再発防止策を追加で実施します。チューリップは、全従業員がそれぞれの役割と責任を理解し、重要な出来事をタイムリーに伝えられるよう、さまざまな社内コミュニケーションの方法を導入しています。これらの方法には、新入社員向けのオリエンテーションやトレーニングプログラム、業績やその他の事項に関する最新情報を得るための定期的な全体会議、ビデオ会議、電子メールメッセージ、チューリップの社内コミュニケーションチャンネルへの情報掲載などの電子的手段が含まれます。

データ復旧と冗長性

お客様データのバックアップは、少なくとも2つの別々の施設に保管され、個々のデータセンターが失われた場合にも復旧が可能です。バックアップはAWS S3またはAzure Storageを使用して保存され、すべてのバックアップデータは複数の地域に冗長的に保存され、99.9999999%の耐久性と99.99%の可用性を提供します。

変更管理

チューリップは、チューリップ情報システムの変更（緊急の変更を含む）を管理、実施、文書化するための一貫したアプローチを提供する文書化された変更管理手順を実装しており、すべてのコードとインフラの変更の不変記録と変更の体系的なレビューを含んでいます。チューリップのコードとインフラの更新は、ダウンタイムなしの展開戦略の使用や、就業時間中のサービス中断を防ぐためにお客様の生産スケジュールに合わせてダウンタイムをスケジュールするなど、お客様やお客様のサービス利用への影響を最小限に抑えるように行われます。当社は、計画外のダウンタイムがお客様のサービス利用に影響を与える可能性がある場合、または万が一ダウンタイムが営業時間中に発生しなければならない場合、お客様と連絡を取ります。

可用性

ホスティングプロバイダーのデータセンターは、世界のさまざまな地域にクラスターで構築されています。すべてのデータセンターはオンライン状態で顧客にサービスを提供しており、「コールド」データセンターはありません。障害が発生した場合、自動化されたプロセスにより、お客様のデータトラフィックは影響を受けた地域から移動されます。コアアプリケーションはN+1構成で配備され、データセンターに障害が発生しても、残りのサイトにトラフィックを負荷分散できるよう十分な容量が確保されています。データセンターの電力システムは完全に冗長化されており、24時間365日、運用に影響を与えることなく保守できるよう設計されています。UPS（無停電電源装置）は、停電時に施設内の重要かつ不可欠な負荷にバックアップ電源を供給します。データセンターでは、施設全体のバックアップ電源として発電機を使用しています。