Skip to content

Latest commit

 

History

History
77 lines (39 loc) · 10.5 KB

security-ja.md

File metadata and controls

77 lines (39 loc) · 10.5 KB

Exploratory セキュリティ

弊社ではお客様のデータが、お客様やお客様のビジネスにとって非常に重要であることを理解しており、その保護に日々努めております。

現在、Exploratoryは3つのサービスや製品を提供しています。

Exploratory デスクトップ

Exploratoryはユーザーが最新のデータサイエンスの手法を使ってデータ分析を行うためのデスクトップアプリケーションです。ユーザーは様々なデータソースからデータをインポートすることができ、データを加工したり、可視化したり、さらに様々なアナリティクスのアルゴリズムを使って分析することができます。また、可視化または分析した結果をノートやダッシュボードとしてレポートにし、他の人達と共有したりすることができます。

ExploratoryにインポートするデータはExploratoryデスクトップがインストールされているPC上にのみ保存され、全ての処理はPC上でのみ行われます。

データを、そのままのデータ、またはチャート、ノート、ダッシュボードとしてExploratoryサーバーにパブリッシュして共有またはスケジュールすることができます。しかし、これはユーザーが「パブリッシュ」するボタンを押して明示的に行う場合のみで、それ以外はデータは常にExploratoryデスクトップがインストールされているPC上でのみ保存、処理され、気づかないうちにサーバーに転送されるというようなことはありません。

Exploratory サーバー

お客様が共有またはスケジュールするためにデータ、チャート、ノート、またはダッシュボードをExploratory サーバー(https://exploratory.io)にパブリッシュにする場合、それらは暗号化され、弊社が米国でホストする適切に保護されたデータベースに保存されます。

弊社は、転送中のお客様のデータを保護するために業界標準の暗号化を採用しています。これらの技術は一般的にトランスポート・レイヤー・セキュリティ("TLS")、またはセキュア・ソケット・レイヤー("SSL")として知られています。しかしながら、こちらはインターネットにおけるデータ転送が、100%安全であることを保証するものではなく、お客様と弊社の間のデータ転送中のセキュリティを保証するものではありません。そのため、データを転送する場合、それはお客様がお客様の責任のもとで行うことに同意されたものとさせていただきます。

弊社がセキュリティシステムの侵害を認識した場合、それが可能な場合、お客様が提供した電子メールアドレス、弊社のウェブサイト、または他の通信プラットフォームを介して通知を行い、保護措置に関する情報の提供をさせていただく場合があります。

Exploratory コラボレーション・サーバー

弊社は、セキュリティ対策を非常に重要に捉えており、積極的に取り組んでおります。しかしその一方で、多くのお客様にとってファイアウォールの外でデータを保管することには抵抗があるかもしれません。そのようなお客様のために、お客様のネットワーク内のサーバーにインストールすることができるExploratoryコラボレーション・サーバーという、前述のExploratoryサーバーの機能を提供する製品を提供させていただいております。

データセンター・セキュリティ

Exploratory サーバーは、国際的に認知され、様々なコンプライアンス基準の監査と認定を受けているDigitalOceanのデータセンターでホストされています。詳しくは、DigitalOceanのポリシーページをご覧ください。

ソフトウエア・セキュリティ

弊社では、24時間365日体制でサーバーのスペシャリストを雇用し、ソフトウェアやソフトエアを取り巻く環境を常に最新の状態に保つことで、潜在的なセキュリティの脆弱性を排除しています。また、サイトへの攻撃を防止・排除するために、様々な監視ソリューションを採用しています。

セキュリティ・エンジニアリング

弊社のエンジニアチームは、セキュリティが開発プロセス全体の重要な要素であることを担保する責任を負っています。設計レビューからテストサイクルや問題の修正に至るまで、セキュリティの問題は綿密に追跡・監視されます。全てのセキュリティの問題は徹底的に調査され、問題が解決された後、適切に改善されていることを確認するために再テストが行われます。さらに、主要なエンジニアリングチームのメンバーには、安全なコード開発のためのトレーニングを受けることを義務付けています。トレーニングは定期的に実施されており、新入社員に対しては随時実施しております。これは、セキュリティを考慮したコーディングとテストが随時行われることを保証するためです。

セキュリティ監視、テスト、検証

弊社は、標準的な製品テストのプロセスの一環として、すべてのリリースにおいて社内で脆弱性とウェブアプリケーションスキャンを実施しています。

弊社のセキュリティテスト担当者は、自動・手動を問わず、様々なテストを実行します。テスト計画には、一般的な脆弱性のほか、Open Web Application Security Project(OWASP)が公表するトップレベルの脆弱性に関するテストケースが含まれています。また、製品に含まれるサードパーティーコンポーネントに影響を与える可能性のある脆弱性については、National Vulnerability Databaseを監視しています。

お客様のデータの分離

Exploratory サーバーはマルチテナントであり、お客様のデータと他のお客様のデータを区分けすることはありません。お客様のデータは、他のお客様のデータと同じサーバーに保存されます。私たちはお客様のデータをプライベートなものと考え、お客様が明示的に共有しない限り、他のお客様がアクセスすることを許可しません。

データの保持と削除

Exploratory サーバーは、データ、チャート、ノート、およびダッシュボードをユーザーが削除する明確な手順を踏まない限り、コンテンツを保持し続けます。削除の方法については、こちらのヘルプドキュメントをご覧ください。弊社の保持方針については、弊社のプライバシーポリシーの「データの保持と削除」の項目を参照してください。

従業員のデータへのアクセス

Exploratoryサーバーにパブリッシュしたデータ、チャート、ノート、ダッシュボードなどのプライベートコンテンツに、弊社の従業員がアクセスすることは、サポートのために必要な場合を除き、一切ありません。弊社はお客様のサポートが必要な場合、お客様のプライバシーを尊重し、お客様の問題を解決するために必要なコンテンツと設定にのみアクセスするよう最善を尽くします。

セキュリティの維持

弊社は「総当たり攻撃」からログインを保護するために、レート制限を実施しています。また全てのパスワードは、すべてのログから除外され、暗号化技術を利用して、データベース内で不可逆暗号化されています。ログイン情報は常にSSLで送信されます。

弊社には、新しい攻撃ベクトルを特定し防止するために、フルタイムのセキュリティスタッフがいます。XSSで保護されたWikiや、ページがクッキーにアクセスできないようにするなど、潜在的な攻撃を排除するため、常に新しい機能をテストしています。

クレジットカードのセキュリティ

クレジットカードの決済はStripeに委託しています。Stripeは、数千のビジネスおよびSaaSプラットフォームのオンライントランザクションをサポートしており、クレジットカード情報の保存と取り扱いにおいてPCIに準拠しています。

セキュリティの脆弱性を報告する必要はありますか?

脆弱性を公にすることは、Exploratoryの製品やサービスを使うお客様やユーザーの方たちのコミュニティ全体を危険にさらす可能性があります。もし、脆弱性の可能性を発見された場合は、[email protected]までメールでご連絡いただければ幸いです。私たちは、問題の範囲を評価・理解し、あらゆる懸念に完全に対処するために、お客様と協力させていただきます。全ての電子メールは、問題が迅速に解決されるように、直ちに弊社の技術スタッフに送信されます。サービスの安全性とセキュリティを第一に考え、セキュリティに関するメールは最優先で取り扱わせていただいております。

通知

セキュリティ関連の通知は、コミュニティページや電子メールを使ってお客様にお知らせするシステムが確立しております。また、弊社の製品・サービスに影響を与えるインターネット上のセキュリティ脆弱性への対応やセキュリティバグの修正に関する情報などは、リリースのたびに更新されるリリースノートの方にも掲載させていただいております。

お問い合わせ

弊社のセキュリティに関するご質問、ご懸念、ご意見がありました際は、[email protected]までご連絡ください。