セキュリティ

私達にとって、セキュリティは最も重要な経営課題の一つです。
モデルやコンテンツなど皆様のデータに対して、機密性・完全性・可用性を保証するために、組織全体としてセキュリティ対策に取り組んでいます。

第三者認証

ISO/IEC 27001 (ISMS)

情報セキュリティマネジメントシステム(ISMS)に関する国際規格「ISO/IEC 27001」の認証を取得しています。Newtでは、情報セキュリティ対策の継続的な改善を行い、お客様に安心してサービスをご利用いただけるよう努めてまいります。

ISMS-AC認定シンボル
  • 登録組織: Newt株式会社
  • 認証登録番号: JP23/00000265
  • 認証規格: ISO/IEC 27001:2013 (JIS Q 27001:2014)
  • 認証登録範囲: ヘッドレス CMS『Newt』の開発および提供
  • 認証機関: SGSジャパン株式会社

データを保護するための取り組み

保存データの暗号化

Newtで保存するお客様のデータは、すべて暗号化して保存されています。万が一、攻撃者にアクセスされてしまっても、データを理解することも復号することもできません。

暗号化通信

NewtのAPI・管理画面との通信はTLSを使用して、すべて暗号化されています。この通信中の暗号化により、攻撃者による情報の読み取りや操作が不可能になります。

バックアップ

画像データ以外のデータは日次でバックアップが作成されます。バックアップデータもその他のデータと同様、すべて暗号化して保存されています。
画像データのバックアップを設定したい場合は、外部ストレージ機能をご利用いただき、お客様ご自身でバックアップの設定をお願いいたします。

決済情報

すべてのクレジットカードおよび決済情報は、Stripeによって処理されます。Stripeは決済業界で最も厳しい認定レベルである、PCIサービスプロバイダレベル1の認定を受けています。
Stripeのセキュリティについては、Stripeのドキュメントをご確認ください。

インフラストラクチャ

NewtのAPI・管理画面は、Google Cloud Platformでホストされています。Googleは業界最高水準のセキュリティでサービスを提供しており、独立した第三者機関の監査を受けて、ISO/IEC 27001・ISO/IEC 27017・ISO/IEC 27018・ISO/IEC 27701などの認証を取得しています。
GCPのセキュリティについては、Googleのドキュメントをご確認ください。

可用性を高めるための取り組み

Cloud Run

NewtのAPI・管理画面は、Cloud Runで実行しています。Cloud Runでは、受信したすべてのリクエストを迅速に処理するために、自動的にスケーリングが行われ、必要に応じてゾーン間で負荷分散されます。

データベースの冗長化

Newtで保存するお客様のデータは、複数のアベイラビリティゾーンに冗長的に保存されています。そのため、単一のアベイラビリティゾーンでサービスが停止しても復元力を備えるように設計されています。

CDN

NewtのCDN APIは、Fastlyのグローバルなコンテンツ配信ネットワークを通じて提供されています。キャッシュを利用することで、オリジンサーバーが提供しなければならないデータを減らし、より多くのリクエストに対応できるようになります。

提供しているセキュリティ機能

二要素認証

二要素認証を設定して、Newtアカウントを保護できます。Google Authenticator、Twilio Authyなどの認証アプリを利用して設定できます。
管理者は、どのメンバーが二要素認証を有効にしているか、管理画面から確認できます。

OpenID Connect

外部認証プロバイダ(現在はGoogleのみ)を使用して、Newtアカウントにログインできます。Newtを利用するために、新しくパスワードを覚える必要はありません。

メンバーの権限管理(有料)

スペース単位・App単位でメンバーの権限を管理できます。各メンバーのアクセス可能なリソース、実行可能なアクションを定義することで、各スペースの管理者は、重要なデータを保護できるようになります。

APIキーの権限管理

APIキーに対して権限を管理できます。アクセス可能なリソースを定義することで、APIキーが漏洩した場合のリスクを下げ、重要なデータを保護できるようになります。

IP制限(有料)

Newtの管理画面やAPI(Newt CDN API・Newt API)に対するアクセスをIPアドレスで制限できます。指定したIPアドレスからのみアクセス可能にすることで、より安全に管理できます。

監査ログ(有料)

スペース内のあらゆるリソースに対する変更を記録し、確認できます。不正アクセスをリアルタイムに監視できるほか、問題発生時に原因を究明できます。

シングルサインオン(有料)

OktaやAzure AD、Auth0といったIDプロバイダ(Identity Provider, IdP)の認証機能を用いて、Newtサービスへのログイン/ログアウトを実現できます。不正アクセス、機密情報漏えいのリスクを軽減します。

コンテンツ変更履歴(有料)

作成された全コンテンツに対して、それぞれ最大100件まで変更履歴を記録します。更新者・更新日時・入力内容を確認できるほか、コンテンツを以前のバージョンに戻すことも可能です。

組織的・人的な取り組み

セキュリティを強化するためには、技術的な取り組みに加えて、組織的・人的な対策も大切です。当社では、すべての社員・業務委託契約者は機密保持契約に署名する必要があり、自分の役割に必要なリソースにのみアクセスできます。

情報セキュリティ方針

当社の保有する情報資産を、漏えいや破壊等のリスクから保護すべく、情報セキュリティ方針を定めています。

二要素認証の必須化

Newtが依存する主要なサービス全体に対して、すべての社員は強力なパスワードを設定する必要があり、二要素認証を必須化しています。

NewtMade in Newt