セキュリティ
私達にとって、セキュリティは最も重要な経営課題の一つです。
モデルやコンテンツなど皆様のデータに対して、機密性・完全性・可用性を保証するために、組織全体としてセキュリティ対策に取り組んでいます。
第三者認証
ISO/IEC 27001 (ISMS)
情報セキュリティマネジメントシステム(ISMS)に関する国際規格「ISO/IEC 27001」の認証を取得しています。Newtでは、情報セキュリティ対策の継続的な改善を行い、お客様に安心してサービスをご利用いただけるよう努めてまいります。
- 登録組織: Newt株式会社
- 認証登録番号: JP23/00000265
- 認証規格: ISO/IEC 27001:2013 (JIS Q 27001:2014)
- 認証登録範囲: ヘッドレス CMS『Newt』の開発および提供
- 認証機関: SGSジャパン株式会社
データを保護するための取り組み
保存データの暗号化
Newtで保存するお客様のデータは、すべて暗号化して保存されています。万が一、攻撃者にアクセスされてしまっても、データを理解することも復号することもできません。
暗号化通信
NewtのAPI・管理画面との通信はTLSを使用して、すべて暗号化されています。この通信中の暗号化により、攻撃者による情報の読み取りや操作が不可能になります。
バックアップ
画像データ以外のデータは日次でバックアップが作成されます。バックアップデータもその他のデータと同様、すべて暗号化して保存されています。
画像データのバックアップを設定したい場合は、外部ストレージ機能をご利用いただき、お客様ご自身でバックアップの設定をお願いいたします。
決済情報
すべてのクレジットカードおよび決済情報は、Stripeによって処理されます。Stripeは決済業界で最も厳しい認定レベルである、PCIサービスプロバイダレベル1の認定を受けています。
Stripeのセキュリティについては、Stripeのドキュメントをご確認ください。
インフラストラクチャ
NewtのAPI・管理画面は、Google Cloud Platformでホストされています。Googleは業界最高水準のセキュリティでサービスを提供しており、独立した第三者機関の監査を受けて、ISO/IEC 27001・ISO/IEC 27017・ISO/IEC 27018・ISO/IEC 27701などの認証を取得しています。
GCPのセキュリティについては、Googleのドキュメントをご確認ください。
可用性を高めるための取り組み
Cloud Run
NewtのAPI・管理画面は、Cloud Runで実行しています。Cloud Runでは、受信したすべてのリクエストを迅速に処理するために、自動的にスケーリングが行われ、必要に応じてゾーン間で負荷分散されます。
データベースの冗長化
Newtで保存するお客様のデータは、複数のアベイラビリティゾーンに冗長的に保存されています。そのため、単一のアベイラビリティゾーンでサービスが停止しても復元力を備えるように設計されています。
CDN
NewtのCDN APIは、Fastlyのグローバルなコンテンツ配信ネットワークを通じて提供されています。キャッシュを利用することで、オリジンサーバーが提供しなければならないデータを減らし、より多くのリクエストに対応できるようになります。
提供しているセキュリティ機能
二要素認証
二要素認証を設定して、Newtアカウントを保護できます。Google Authenticator、Twilio Authyなどの認証アプリを利用して設定できます。
管理者は、どのメンバーが二要素認証を有効にしているか、管理画面から確認できます。
OpenID Connect
外部認証プロバイダ(現在はGoogleのみ)を使用して、Newtアカウントにログインできます。Newtを利用するために、新しくパスワードを覚える必要はありません。
メンバーの権限管理(有料)
スペース単位・App単位でメンバーの権限を管理できます。各メンバーのアクセス可能なリソース、実行可能なアクションを定義することで、各スペースの管理者は、重要なデータを保護できるようになります。
APIキーの権限管理
APIキーに対して権限を管理できます。アクセス可能なリソースを定義することで、APIキーが漏洩した場合のリスクを下げ、重要なデータを保護できるようになります。
IP制限(有料)
Newtの管理画面やAPI(Newt CDN API・Newt API)に対するアクセスをIPアドレスで制限できます。指定したIPアドレスからのみアクセス可能にすることで、より安全に管理できます。
監査ログ(有料)
スペース内のあらゆるリソースに対する変更を記録し、確認できます。不正アクセスをリアルタイムに監視できるほか、問題発生時に原因を究明できます。
シングルサインオン(有料)
OktaやAzure AD、Auth0といったIDプロバイダ(Identity Provider, IdP)の認証機能を用いて、Newtサービスへのログイン/ログアウトを実現できます。不正アクセス、機密情報漏えいのリスクを軽減します。
コンテンツ変更履歴(有料)
作成された全コンテンツに対して、それぞれ最大100件まで変更履歴を記録します。更新者・更新日時・入力内容を確認できるほか、コンテンツを以前のバージョンに戻すことも可能です。
組織的・人的な取り組み
セキュリティを強化するためには、技術的な取り組みに加えて、組織的・人的な対策も大切です。当社では、すべての社員・業務委託契約者は機密保持契約に署名する必要があり、自分の役割に必要なリソースにのみアクセスできます。
情報セキュリティ方針
当社の保有する情報資産を、漏えいや破壊等のリスクから保護すべく、情報セキュリティ方針を定めています。
二要素認証の必須化
Newtが依存する主要なサービス全体に対して、すべての社員は強力なパスワードを設定する必要があり、二要素認証を必須化しています。