この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。
Ctrlk

セキュリティとプライバシー

この章では、情報セキュリティ、プライバシー、品質保証に関するよくある質問の概要を説明します。

データ処理と権限

1. RealmJoin はどのデータセンターで稼働していますか?

  • Azure リージョン West Europe(本番)

  • Azure リージョン North Europe(バックアップ)

2. RealmJoin によってどのデータが処理されますか?

  • コンピューターの状態

  • Entra ID のユーザー/デバイス/グループ データ(UPN / メールアドレス、名、姓、プロフィール画像を含みます)

  • Intune データ

  • ATP データ

  • ログファイル

3. RealmJoin によって、または RealmJoin に代わって永続的に保存されるデータは何で、どのように保存されますか?

  • コンピューターの状態

  • Entra ID のユーザー/デバイス参照情報(UPN / メールアドレス データを含みます)

  • アプリ管理のための情報

  • ログファイル

データは blob ストレージとデータベースの組み合わせで保存されます。

4. ログのアーカイブ機構はありますか?

コンピューターの状態は 90 日間アーカイブされ、その後保持ポリシーによってデータが削除されます。

5. RealmJoin Web ポータルにアクセスするユーザーは、どの Tenant 権限への同意が必要ですか?

以下を参照してください 必須の権限.

6. 質問 5 の同意を付与すると、どのデータが利用可能になりますか?

以下を参照してください 必須の権限.

7. RealmJoin はどの外部アクセス可能なエンドポイントを公開していますか?

  1. RealmJoin ポータル

    • サービスの管理を容易にする Web ポータル。

  2. RealmJoin Client-API

    • クライアントアプリケーション向け API(内部利用)。

  3. RealmJoin Customer-API

    • 顧客向け API。

  4. RealmJoin Internal-API

    • 関連するバックエンド操作向け API(内部利用)。

  5. RealmJoin CDN

    • BranchCache 対応のバイナリデータ。

  6. RealmJoin Package Server

    • カスタム nuget パッケージ レジストリ。

8. 質問 7 のエンドポイントはどのように保護されていますか?

  1. RealmJoin ポータル

    • Microsoft Entra ID (Azure AD) による OAuth 2.0 認証で保護されています。

  2. RealmJoin Client-API

    • Microsoft Entra ID (Azure AD) による OAuth 2.0 認証で保護されています。

    • Entra-Device-Certificate を使用したカスタム認証。

  3. RealmJoin Customer-API

    • 顧客ごとの事前共有キー。

  4. RealmJoin Internal-API

    • 顧客ごとの事前共有キー。

  5. RealmJoin CDN

    • 定義上は認証なしですが、暗号化されたファイルを使用して保護できます。

  6. RealmJoin Package Server

    • 顧客ごとの事前共有キー。

9. 質問 7 のエンドポイントでは、どのポートとプロトコルが使用されますか?

  1. すべてのエンドポイントは既定で TLS を使用します。

    • HTTPS(TCP / 443)。

  2. RealmJoin CDN

    • トラブルシューティング目的で HTTP(TCP / 80)を許可します。

    • 設定された URL は HTTPS(TCP / 443)のみを使用します。

ID 管理

1. RealmJoin へのアクセスを得るために、どの認可スキームが使用されますか?

管理者アクセスは、プラットフォームに登録されているユーザーに対して Microsoft Entra ID (Azure AD) による OAuth 2.0 認証で実現されています。

2. RealmJoin を保護するための Conditional Access / ロールベースのアクセス制御はありますか?

はい。RealmJoin Admin ポータルには、各ユーザーに ロール を割り当てる機能があります。

利用可能な既定ロール:

  • Admin

  • Auditor

  • Supporter

  • Runbook Runner

  • Software Agent

  • ソフトウェア要求者

  • Organic Software Requester

  • Notification Agent

さらに、RealmJoin では Custom Roles を作成できます。

3. アクセス資格情報は復元できますか? できる場合、その方法は?

RealmJoin は SSO を使用しており、顧客 Tenant 内の Microsoft Entra ID (Azure AD) ポリシーの対象となります。

データ保護

1. 保存データ は、どのように不正アクセスから保護されていますか?

  • ベストプラクティスに従った制限付き管理者アクセス。

  • Passkey MFA の使用。

  • データベースは外部アクセス用に VPN IP に制限されています。

2. 転送中のデータ は、どのように不正アクセスから保護されていますか?

RealmJoin Service(バックエンド)と RealmJoin Agent(クライアント)間の通信は、Transport Layer Security(TLS)1.2 以上で保護されています。

さらに、一部のコンテンツ(例: ソフトウェアパッケージ)は RealmJoin Service によって署名されるため、RealmJoin Agent は転送中にデータが改ざんされていないことを確認できます。

3. 顧客 Tenant はどのように相互に分離されていますか?

サービス制約とパフォーマンス上の考慮に応じて、個別のグループ/コンテナー、またはテーブル分割によって分離されています。

コードパスでは、分離のために環境ベースの顧客コンテキストを使用します。

設計段階からのセキュリティ

私たちは高いセキュリティ基準を遵守しています

  • 開発チームおよび運用チームは ISO 27001 認証を取得しています。

  • 最新のクラウド開発ツール(例: GitHub)を使用し、コードは保護されたリポジトリに保存されています。

  • 最新の開発・構築・運用手法(例: CI/CD)に取り組んでいます。

  • チームメンバーは Entra ID の ID を使用し、多要素認証の利用が必須です。

  • エンドポイント、ID、サービスは最新技術(例: Microsoft Sentinel や EDR を含む M365 Defender Suite)で保護され、Security Operations Center によって監視されています。

  • すべてのシステムは継続的に更新されています。

1. RealmJoin の設計に使用された技術、スタック、プラットフォームは何ですか?

  • Azure

可用性

1. RealmJoin の可用性はどのように確保していますか?

RealmJoin の高可用性を維持するため、堅牢で中断のないサービスアクセスを提供するよう設計された複数の主要戦略を実装しています。これには以下が含まれます:

  • 冗長インフラストラクチャ: 1 か所で障害が発生しても継続的なサービスを確保できるよう、複数のデータセンターに展開しています。RealmJoin は複数の Azure データセンターにまたがる Azure IaaS を活用しています。

  • 自動フェールオーバープロセス: 障害発生時にトラフィックを自動的に稼働中のサーバーへ切り替える仕組みがあり、ダウンタイムを最小限に抑えます。

  • スケーラブルなアーキテクチャ: 需要に応じてリソースを迅速に増減できるため、ピーク時のパフォーマンス維持に役立ちます。

  • 定期的な更新とパッチ適用: 脆弱性の修正とパフォーマンス向上のために定期メンテナンスと更新を適用し、プラットフォームの安全性と効率性を維持します。

  • 監視とアラート: システム健全性の継続監視と、サービス可用性に影響しうる問題に対する自動アラート。

  • 復旧計画: いくつかの復旧対策を実装しています。データベースに point-in-time recovery があるため、メインシステムの状態は直近数週間分を復元できます。さらに、万一システム全体が完全停止した場合でも、IaC アプローチ(Terraform)を使用して主要な RealmJoin サービスを復旧でき、復旧時間を大幅に短縮できます。

GDPR とデータ居住性

1. データはヨーロッパ外へ移動しますか?

いいえ。

2. RealmJoin はどの第3者クラウドプロバイダーに依存しており、なぜですか?

会社
サービス
連絡先
目的

Microsoft Corporation

Cloud Services (Azure)

Building 3, Carmanhall Road Sandyford, Industrial Estate 18, Dublin, Ireland

クラウドサービス(Azure)

GitHub B.V.

git コードリポジトリ、統合、テスト、リリース自動化

Prins Bernhardplein 200, Amsterdam, 1097JB オランダ

コードリポジトリ、CI/CD パイプライン。

GitLab, Inc.

git コードリポジトリ、統合、テスト、リリース自動化

268 Bush Street #350, San Francisco, CA 94104-3503, United States

パッケージングパイプライン

その他

1. RealmJoin はバグバウンティプログラムの対象ですか?

いいえ。

2. どの QA 対策が実施されていますか?

  • 署名済みバイナリを実行しています。

  • 最新のコードリポジトリと CI/CD 手法を活用し、最大限の整合性を確保するために、アプリパッケージは一貫した方法でビルドされています。

  • アプリパッケージはビルド工程中に署名され、クライアントへのインストール前に RJ agent によって検証されます。

3. 定期的に侵入テストを実施していますか?

いいえ。

Secure Development Practices の一環として、コードベースをスキャンして CVE やその他の一般的なエクスプロイト(サードパーティライブラリなどの依存関係を含む)を検出するツール(例: 静的コード解析)を使用しています。これらは RealmJoin が公開するエンドポイントのセキュリティに影響を与える可能性があります。リリース前に、関連する検出結果は評価され、修正され、RealmJoin が既知の脆弱性を含まないことを নিশ্চিতします。私たちは自社で侵入テストを実施せず、サードパーティの「Penetration Test-as-a-Service」ツールも使用しません。前者については、固有の利益相反があると考えています。後者については、一般的な侵入テストサービスは公開エンドポイントを CVE やその他の既知のエクスプロイトと照合するだけであることが多く、静的コード解析ですでに実施しているチェック以上の価値はないと考えています。ご自身で侵入テストを実施したい場合は、 ご連絡ください そしてご要件をお知らせください。

4. パッチ適用プロセスはありますか?

はい。脆弱性の修正とパフォーマンス向上のために定期メンテナンスと更新を適用し、プラットフォームの安全性と効率性を維持します。

5. パッチの SLA はどのようになっていますか?

  • CVE / セキュリティ脆弱性向けパッチ: 脆弱性が公知になった時点、または当社自身のコード内で脆弱性を特定した時点から、認識してから 24 時間以内にホットフィックスを提供します。

  • その他のパッチ: SLA なし。

6. RealmJoin はバックアップを実施していますか?

RealmJoin は、すべての重要データに point-in-time restore テクノロジーを使用しています。GitLab(PACKaaS パイプラインとリポジトリをホスト)は定期的にバックアップされています。

7. バックアップ復元テストはありますか?

いいえ。以下を参照してください 可用性 をご覧ください。

8. RealmJoin パッケージがコミュニティソリューションより安全な理由は何ですか?

コミュニティソリューションとは異なり、私たちはあらゆるパッケージおよびあらゆるバイナリを常に完全に管理しています。実装済みの複数のチェックにより、破損したデータがデバイス上で実行されることはありません。

  • 公開リポジトリなし: 私たちは GitLab、nuget、cdn の各インスタンスを運用しています。現在、RealmJoin agent は Chocolatey エンジンを改変した版を利用していますが、パッケージソースは glueckkanja AG のパッケージサーバーに制限されています。

  • 分割リポジトリ: 顧客固有のパッケージは、当社サーバーの顧客専用セクションに配置され、他の顧客からアクセスすることはできません。

  • 完全なバージョン管理: すべてのツールおよび RealmJoin のパッケージストアは、コミット情報と監査情報を提供します。どの時点で誰がどのパッケージを変更したかは常に透明です。

  • 特定データの回避: パッケージコードとバイナリを分離することで、バイナリから機密情報を一般的に削除でき、傍受されたバイナリであっても悪用できなくなります。

  • 暗号化とハッシュ: パッケージスクリプトは、厳しくアクセス制限された暗号化サーバーに保存されています。RealmJoin agent は暗号化された接続経由でスクリプトをダウンロードします。追加のセキュリティとして、すべてのバイナリは何らかの操作を行う前にハードコードされたハッシュと照合されます。

  • Pentest: 近年、RealmJoin agent は複数の顧客の pentest で成功裏に対象となりました。

  • テスト: すべての RealmJoin パッケージは、Defender が動作する Windows デバイス上での PACKaaS QA 中に複数回インストールされます。マルウェアスキャンは、自動ビルドおよびデプロイプロセスの一部です。保守されているパッケージは公式ベンダーソースを使用します。

最終更新

役に立ちましたか?