circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

セキュリティとプライバシー

この章では、情報セキュリティ、プライバシー、品質保証に関するよくある質問の概要を提供します。

hashtag
データ処理と許可

hashtag
1. RealmJoin はどのデータセンターから運用されていますか?

  • Azure リージョン West Europe(プライマリ)

  • Azure リージョン North Europe(バックアップ)

hashtag
2. RealmJoin によって処理されるデータは何ですか?

  • コンピュータの状態

  • Entra ID のユーザー/デバイス/グループデータ(UPN/メールアドレス、名、姓、プロフィール画像を含む)

  • Intune データ

  • ATP データ

  • ログファイル

hashtag
3. RealmJoin によって、または RealmJoin の代わりに永続的に保存されるデータは何で、どのように保存されますか?

  • コンピュータの状態

  • Entra ID のユーザー/デバイス参照(UPN/メールアドレスデータを含む)

  • アプリ管理に関する情報

  • ログファイル

データはブロブストレージとデータベースの組み合わせで保存されます。

hashtag
4. ログのアーカイブ機構はありますか?

コンピュータの状態は90日間アーカイブされ、その後保持ポリシーによりデータが削除されます。

hashtag
5. RealmJoin ウェブポータルにアクセスするユーザーは、テナントのどの許可に同意する必要がありますか?

参照してください 必要な権限.

hashtag
6. 質問5の同意を付与することでどのようなデータが利用可能になりますか?

参照してください 必要な権限.

hashtag
7. RealmJoin が公開する外部アクセス可能なエンドポイントはどれですか?

  1. RealmJoin ポータル

    • サービスの管理を容易にするウェブポータルです。

  2. RealmJoin クライアント API

    • クライアントアプリケーション向けの API(内部利用)。

  3. RealmJoin カスタマー API

    • 顧客向けの API。

  4. RealmJoin 内部 API

    • 関連バックエンド操作向けの API(内部利用)。

  5. RealmJoin CDN

    • BranchCache をサポートするバイナリデータ。

  6. RealmJoin パッケージサーバー

    • カスタム nuget パッケージレジストリ。

hashtag
8. 質問7のエンドポイントはどのように保護されていますか?

  1. RealmJoin ポータル

    • Microsoft Entra ID(Azure AD)による OAuth 2.0 認証で保護されています。

  2. RealmJoin クライアント API

    • Microsoft Entra ID(Azure AD)による OAuth 2.0 認証で保護されています。

    • Entra デバイス証明書を用いたカスタム認証。

  3. RealmJoin カスタマー API

    • 顧客ごとの事前共有キー。

  4. RealmJoin 内部 API

    • 顧客ごとの事前共有キー。

  5. RealmJoin CDN

    • 定義上認証なし。暗号化されたファイルで保護可能です。

  6. RealmJoin パッケージサーバー

    • 顧客ごとの事前共有キー。

hashtag
9. 質問7のエンドポイントで使用されるポートとプロトコルは何ですか?

  1. すべてのエンドポイントはデフォルトで TLS を使用します。

    • HTTPS(TCP / 443)。

  2. RealmJoin CDN

    • トラブルシューティング目的で HTTP(TCP / 80)を許可します。

    • 構成された URL は HTTPS(TCP / 443)専用で使用されます。

hashtag
アイデンティティ

hashtag
1. RealmJoin へのアクセスを得るためにどのような認可スキームが使用されていますか?

管理者アクセスは、プラットフォームに登録されたユーザーに対して Microsoft Entra ID(Azure AD)による OAuth 2.0 認証を通じて実現されます。

hashtag
2. RealmJoin を保護するための条件付きアクセス/ロールベースのアクセス制御はありますか?

はい。RealmJoin 管理ポータルは以下を割り当てる機能を提供します、 ロール を各ユーザーに割り当てます。

利用可能なデフォルトロール:

  • 管理者(Admin)

  • 監査者(Auditor)

  • サポート(Supporter)

  • Runbook 実行者(Runbook Runner)

  • ソフトウェアエージェント(Software Agent)

  • ソフトウェア要求者(Software Requester)

  • 組織内ソフトウェア要求者(Organic Software Requester)

  • 通知エージェント(Notification Agent)

さらに、RealmJoin はカスタムロールの作成を許可します。

hashtag
3. アクセス認証情報は回復可能ですか?可能であれば、どのように?

RealmJoin は SSO を使用しており、顧客テナント内の Microsoft Entra ID(Azure AD)ポリシーの対象となります。

hashtag
データ保護

hashtag
1. どのように 保管時データ(data at-rest) は不正アクセスから保護されていますか?

  • ベストプラクティスに従った制限された管理者アクセス。

  • パスキー MFA の使用。

  • データベースは外部アクセスに対して VPN の IP に制限されています。

hashtag
2. どのように 転送中データ(data in transit) は不正アクセスから保護されていますか?

RealmJoin サービス(バックエンド)と RealmJoin エージェント(クライアント)間の通信は、TLS 1.2 以上で保護されています。

さらに、一部のコンテンツ(例:ソフトウェアパッケージ)は RealmJoin サービスによって署名されており、RealmJoin エージェントは転送中にデータが改ざんされていないことを確認できます。

hashtag
3. 顧客テナントは互いにどのように分離されていますか?

サービスの制約やパフォーマンスに応じて、別々のグループ/コンテナによる分離、またはテーブルパーティショニングによる分離が行われます。

コードパスは分離のために環境ベースの顧客コンテキストを使用します。

hashtag
設計によるセキュリティ(Security by Design)

hashtag
我々は高いセキュリティ基準を遵守しています

  • 当社の開発チームおよび運用チームは ISO 27001 認証を取得しています。

  • 最新のクラウド開発ツール(例:GitHub)を使用し、コードは保護されたリポジトリに保存されます。

  • 我々は最先端の開発、ビルド、運用手法(例:CI/CD)を採用しています。

  • チームメンバーは Entra ID の識別を使用し、多要素認証の使用が義務付けられています。

  • エンドポイント、アイデンティティ、サービスは最新技術(例:Microsoft Sentinel および M365 Defender Suite を含む EDR)で保護され、セキュリティオペレーションセンターによって監視されています。

  • すべてのシステムは継続的に更新されています。

hashtag
1. RealmJoin を設計するためにどのような技術、スタック、プラットフォームが使われましたか?

  • Azure

hashtag
可用性

hashtag
1. RealmJoin の可用性をどのように確保していますか?

RealmJoin の高可用性を維持するために、いくつかの重要な戦略を実施しており、それぞれが堅牢で途切れないサービスアクセスを提供するよう設計されています。これらの対策には以下が含まれます:

  • 冗長化されたインフラストラクチャ: 障害発生時にサービスを継続させるため、複数のデータセンターにまたがって展開されています。RealmJoin は複数の Azure データセンターで Azure IaaS を活用しています。

  • 自動フェイルオーバープロセス: 障害時にトラフィックを稼働中のサーバーへ自動的にリダイレクトする仕組みがあり、ダウンタイムを最小限に抑えます。

  • スケーラブルなアーキテクチャ: 需要に応じてリソースを迅速に拡張または縮小できる能力により、ピーク時のパフォーマンスを維持します。

  • 定期的な更新とパッチ適用: 脆弱性修正やパフォーマンス向上のための定期メンテナンスと更新を適用し、プラットフォームの安全性と効率を確保します。

  • 監視とアラート: システムの健全性を継続的に監視し、サービス可用性に影響を与える可能性のある問題に対して自動アラートを発します。

  • 復旧計画: いくつかの層にわたる復旧手段を実装しています:データベースはポイントインタイム復元を備えているため、主要システム状態を過去数週間内に復旧できます。さらに、万が一の完全なシステム障害時には、IaC(Terraform)アプローチを用いて主要な RealmJoin サービスを復旧でき、復旧時間を大幅に短縮します。

hashtag
GDPR とデータ所在(Data-residency)

hashtag
1. データはヨーロッパを離れますか?

いいえ。

hashtag
2. RealmJoin が依存するサードパーティのクラウドプロバイダーは何で、なぜですか?

会社
サービス
連絡先
目的

Microsoft Corporation

クラウドサービス(Azure)

Building 3, Carmanhall Road Sandyford, Industrial Estate 18, Dublin, Ireland

クラウドサービス(Azure)

GitHub B.V.

git コードリポジトリ、統合、テストおよびリリースの自動化

Prins Bernhardplein 200, Amsterdam, 1097JB Netherlands

コードリポジトリ、CI/CD パイプライン。

GitLab, Inc.

git コードリポジトリ、統合、テストおよびリリースの自動化

268 Bush Street #350, San Francisco, CA 94104-3503, United States

パッケージングパイプライン

hashtag
その他(Miscellaneous)

hashtag
1. RealmJoin はバグバウンティプログラムの一部ですか?

いいえ。

hashtag
2. どのような QA 対策が講じられていますか?

  • 署名されたバイナリを実行しています。

  • 当社のアプリパッケージは、最新のコードリポジトリと CI/CD 手法を活用して一貫した方法でビルドされ、最大限の完全性を確保しています。

  • アプリパッケージはビルドプロセス中に署名され、クライアントへのインストール前に RJ エージェントによってチェックされます。

hashtag
3. 定期的にペネトレーションテストを実施していますか?

いいえ。

セキュアな開発慣行の一環として、静的コード解析などのツールを用いてコードベースをスキャンし、CVE やエンドポイントのセキュリティに影響を与える可能性のある他の一般的な脆弱性(サードパーティライブラリなどの依存関係を含む)を検出しています。リリース前に関連する所見を評価・修正し、既知の脆弱性が RealmJoin に残らないようにしています。私たちは自社でペネトレーションテストを実施せず、またサードパーティの「Penetration Test-as-a-Service」ツールも使用していません。前者は利害の対立が内在すると考えるためであり、後者は一般的なペネトレーションテストサービスが公開された CVE や既知のエクスプロイトに対して公開エンドポイントを単にチェックすることが多く、静的コード解析で既に行っているチェックに対して付加価値がないと判断するためです。独自にペネトレーションテストを実施したい場合は、どうぞ お問い合わせください(reach out to us)arrow-up-right そして要件をお知らせください。

hashtag
4. パッチ適用プロセスはありますか?

はい。脆弱性を修正しパフォーマンスを向上させるために定期的なメンテナンスと更新を適用しており、プラットフォームの安全性と効率を確保しています。

hashtag
5. パッチに関する SLA は何ですか?

  • CVE/セキュリティ脆弱性に対するパッチ:脆弱性が公知になった時点、または当社が自社コード内の脆弱性を識別した時点から、当該脆弱性を認識してから最大24時間以内にホットフィックスを提供します。

  • その他のパッチ:SLA はありません。

hashtag
6. RealmJoin はバックアップを実行していますか?

RealmJoin は重要データすべてにポイントインタイム復元技術を使用しています。PACKaaS パイプラインとリポジトリをホスティングする GitLab は定期的にバックアップされています。

hashtag
7. バックアップ復元テストはありますか?

いいえ。詳細については 可用性 を参照してください。

hashtag
8. RealmJoin のパッケージはコミュニティソリューションより安全なのはなぜですか?

コミュニティソリューションと異なり、我々は常にあらゆるパッケージとすべてのバイナリを完全にコントロールしています。いくつかの実装済みチェックにより、破損したデータがデバイス上で実行されないことが保証されます。

  • 公開リポジトリはありません: 我々は GitLab、nuget、および CDN のインスタンスをホスティングしています。RealmJoin エージェントは現在改変した Chocolatey エンジンのバージョンを利用していますが、パッケージソースは glueckkanja AG のパッケージサーバーに限定されています。

  • 分割されたリポジトリ: 顧客固有のパッケージは当社サーバーの顧客専用セクションに配置され、他の顧客がアクセスすることはできません。

  • 完全なバージョニング: すべてのツールおよび RealmJoin パッケージストアはコミットと監査情報を提供します。ある時点で誰がどのパッケージを変更したかは常に透明です。

  • 特定データの回避: パッケージのコードとバイナリを分離することで、一般的にバイナリから敏感な情報を除去できるため、仮にバイナリが傍受されても悪用されにくくなります。

  • 暗号化とハッシュ: パッケージスクリプトはアクセスが厳しく制限された暗号化サーバー上に保存されています。RealmJoin エージェントは暗号化された接続を介してスクリプトをダウンロードします。追加のセキュリティとして、すべてのバイナリは操作を行う前にハードコードされたハッシュと照合されます。

  • ペネトレーションテスト(Pentest): 過去数年間で、RealmJoin エージェントは複数の顧客によるペネトレーションテストの対象となり、成功を収めています。

  • テスト: すべての RealmJoin パッケージは、PACKaaS の QA の間に Windows デバイス上で Defender を実行しながら複数回インストールされます。マルウェアスキャンは自動化されたビルドおよびデプロイプロセスの一部です。メンテナンスされたパッケージは公式ベンダーのソースを使用しています。

最終更新

役に立ちましたか?