セキュリティとプライバシー

本章では、情報セキュリティ、プライバシー、および品質保証に関するよくある質問の概要を提供します。

データ処理と権限

1. RealmJoin はどのデータセンターから稼働していますか？

• Azure リージョン West Europe（プライマリ）

• Azure リージョン North Europe（バックアップ）

2. RealmJoin ではどのデータが処理されますか？

• コンピュータの状態

• Entra ID のユーザー/デバイス/グループデータ（UPN / メールアドレス、名前、姓、プロフィール画像を含む）

• Intune データ

• ATP データ

• ログファイル

3. RealmJoin によって、または RealmJoin の代わりに永続的に保存されるデータは何ですか、またどのように保存されますか？

• コンピュータの状態

• Entra ID のユーザー/デバイス参照（UPN / メールアドレスを含む）

• アプリ管理のための情報

• ログファイル

データはブロブストレージとデータベースの組み合わせで保存されます。

4. ログのアーカイブ機能はありますか？

コンピュータの状態は 90 日間アーカイブされ、その後保持ポリシーによりデータが削除されます。

5. RealmJoin ウェブポータルにアクセスするユーザーが同意しなければならないテナント権限は何ですか？

参照してください 必要な権限.

6. 質問5の同意を付与することでどのデータが利用可能になりますか？

参照してください 必要な権限.

7. RealmJoin が公開している外部からアクセス可能なエンドポイントはどれですか？

1. RealmJoin ポータル

   • サービスの管理を容易にするウェブポータル。

2. RealmJoin クライアント API

   • クライアントアプリケーション向けの API（内部用）。

3. RealmJoin カスタマー API

   • 顧客向けの API。

4. RealmJoin 内部 API

   • 関連するバックエンド操作向けの API（内部用）。

5. RealmJoin CDN

   • BranchCache 対応のバイナリデータ。

6. RealmJoin パッケージサーバー

   • カスタム nuget パッケージレジストリ。

8. 質問7のエンドポイントはどのように保護されていますか？

1. RealmJoin ポータル

   • Microsoft Entra ID（Azure AD）による OAuth 2.0 認証で保護されています。

2. RealmJoin クライアント API

   • Microsoft Entra ID（Azure AD）による OAuth 2.0 認証で保護されています。

   • Entra デバイス証明書を使用したカスタム認証。

3. RealmJoin カスタマー API

   • 顧客ごとの事前共有キー。

4. RealmJoin 内部 API

   • 顧客ごとの事前共有キー。

5. RealmJoin CDN

   • 定義上認証されていませんが、暗号化されたファイルで保護することができます。

6. RealmJoin パッケージサーバー

   • 顧客ごとの事前共有キー。

9. 質問7のエンドポイントで使用されるポートとプロトコルは何ですか？

1. すべてのエンドポイントはデフォルトで TLS を使用します。

   • HTTPS（TCP / 443）。

2. RealmJoin CDN

   • トラブルシューティング目的で HTTP（TCP / 80）を許可します。

   • 設定された URL は HTTPS（TCP / 443）のみを使用します。

アイデンティティ

1. RealmJoin へのアクセスを得るためにどの認可方式が使用されていますか？

管理者アクセスは、プラットフォームに登録されたユーザーに対して Microsoft Entra ID（Azure AD）による OAuth 2.0 認証を通じて実現されます。

2. RealmJoin を保護するための条件付きアクセスポリシー / 役割ベースのアクセス制御はありますか？

はい。RealmJoin 管理ポータルは、次の割り当て機能を提供します： 役割 を各ユーザーに割り当てます。

利用可能なデフォルト役割：

• 管理者（Admin）

• 監査担当（Auditor）

• サポーター（Supporter）

• Runbook 実行者（Runbook Runner）

• ソフトウェアエージェント（Software Agent）

• ソフトウェア依頼者

• オーガニックソフトウェア要求者（Organic Software Requester）

• 通知エージェント（Notification Agent）

さらに、RealmJoin はカスタム役割の作成を許可します。

3. アクセス資格情報を回復できますか？もし可能なら、どのように？

RealmJoin は SSO を使用しており、顧客テナント内の Microsoft Entra ID（Azure AD）ポリシーの対象となります。

データ保護

1. どのように 静止データ（data at-rest） が不正アクセスから保護されていますか？

• ベストプラクティスに従った制限付き管理者アクセス。

• パスキー MFA の使用。

• データベースは外部アクセスに対して VPN の IP に制限されています。

2. どのように 通信中データ（data in transit） が不正アクセスから保護されていますか？

RealmJoin サービス（バックエンド）と RealmJoin エージェント（クライアント）間の通信は、Transport Layer Security（TLS）1.2 以上で保護されています。

さらに、一部のコンテンツ（例：ソフトウェアパッケージ）は RealmJoin サービスによって署名されており、RealmJoin エージェントは輸送中にデータが改ざんされていないことを検証できます。

3. 顧客テナントはどのように相互に分離されていますか？

サービスの制約やパフォーマンスの考慮に応じて、個別のグループ/コンテナによるか、テーブル分割によって分離しています。

コードパスは環境ベースの顧客コンテキストを使用して分離を行います。

設計によるセキュリティ（Security by Design）

私たちは高いセキュリティ基準にコミットしています

• 当社の開発および運用チームは ISO 27001 認証を取得しています。

• 最新のクラウド開発ツール（例：GitHub）を使用し、コードは保護されたリポジトリに保存されています。

• 私たちは最新の開発、ビルド、および運用手法（例：CI/CD）に取り組んでいます。

• チームメンバーは Entra ID の ID を使用し、多要素認証の使用が義務付けられています。

• エンドポイント、アイデンティティ、サービスは最新技術（例：Microsoft Sentinel および M365 Defender Suite（EDR 含む））で保護され、セキュリティオペレーションセンターによって監視されています。

• すべてのシステムは継続的に更新されています。

1. RealmJoin を設計するために使用された技術、スタック、プラットフォームは何ですか？

• Azure

可用性

1. RealmJoin の可用性をどのように確保していますか？

RealmJoin の高い可用性を維持するために、サービスへの堅牢で継続的なアクセスを提供するよう設計された複数の主要な戦略を実装しています。これらの対策には以下が含まれます：

• 冗長インフラストラクチャ: ある場所で障害が発生した場合でもサービスを継続するために複数のデータセンターに展開します。RealmJoin は複数の Azure データセンターで Azure IaaS を活用しています。

• 自動フェイルオーバープロセス: 障害時にトラフィックを稼働中のサーバーへ自動的にリダイレクトするシステムを備え、ダウンタイムを最小限に抑えます。

• スケーラブルなアーキテクチャ: 需要に応じてリソースを迅速に拡張または縮小する能力により、使用ピーク時のパフォーマンスを維持します。

• 定期的な更新とパッチ適用: 脆弱性を修正しパフォーマンスを改善するための定期的な保守と更新を適用し、プラットフォームの安全性と効率を確保します。

• 監視とアラート: システムの健全性を継続的に監視し、サービス可用性に影響を及ぼす問題に対して自動アラートを設定しています。

• 復旧計画: いくつかの層にわたる復旧対策を実装しています：データベースはポイントインタイム復旧を備えているため、メインシステムの状態を過去数週間内に復元できます。さらに、完全なシステム障害が発生した場合でも、IaC（Terraform）アプローチを使用して主要な RealmJoin サービスを復旧できるため、復旧時間を大幅に短縮できます。

GDPR とデータ所在

1. データはヨーロッパ外に移動しますか？

いいえ。

2. RealmJoin が依存しているサードパーティのクラウドプロバイダーは何で、なぜですか？

その他

1. RealmJoin はバグバウンティプログラムの一部ですか？

いいえ。

2. どのような QA 対策が講じられていますか？

• 署名済みバイナリを実行しています。

• 当社のアプリパッケージは一貫した方法で構築され、最新のコードリポジトリと CI/CD 手法を活用して最大限の完全性を確保しています。

• アプリパッケージはビルドプロセス中に署名され、クライアントへのインストール前に RJ エージェントによって検査されます。

3. 定期的にペネトレーションテストを実施していますか？

いいえ。

セキュア開発プラクティスの一環として、静的コード解析などのツールを使用してコードベースをスキャンし、CVE やその他の一般的な脆弱性（サードパーティライブラリなどの依存関係を含む）を検出します。リリース前に、関連する所見は評価され修正され、RealmJoin が既知の脆弱性から解放されていることを確認します。私たちは自社でペネトレーションテストを実施せず、サードパーティの「Penetration Test-as-a-Service」ツールも使用していません。前者については利害の対立があると考えており、後者については一般的なペネトレーションテストサービスが公開されている CVE 等に照らして単に公開エンドポイントをチェックするだけであることが多く、静的コード解析で既に実施しているチェックに対する付加価値がないと判断しているためです。独自にペネトレーションテストを実施したい場合は、どうぞ お問い合わせください そしてご要件をお知らせください。

4. パッチ適用プロセスはありますか？

はい、脆弱性を修正しパフォーマンスを改善するための定期的な保守と更新を適用し、プラットフォームの安全性と効率を確保しています。

5. パッチに関する SLA は何ですか？

• CVE / セキュリティ脆弱性のパッチ：脆弱性が公知になった時点、または当社が自社コード内の脆弱性を特定した時点から、当該脆弱性を認識してから 24 時間以内にホットフィックスを提供します。

• その他のパッチ：SLA はありません。

6. RealmJoin はバックアップを実行していますか？

RealmJoin はすべての重要データに対してポイントインタイム復元技術を使用しています。PACKaaS パイプラインとリポジトリをホストする GitLab は定期的にバックアップされています。

7. バックアップ復元テストはありますか？

いいえ。参照してください 可用性 Azure Marketplace での購入が機能しないのはなぜですか？

8. RealmJoin パッケージはコミュニティソリューションよりなぜ安全なのですか？

コミュニティソリューションとは異なり、当社は常にあらゆるパッケージとバイナリの完全な管理権を保持しています。複数の実装されたチェックにより、破損したデータがデバイス上で実行されないことを保証します。

• 公開リポジトリはありません: 当社は GitLab、nuget、および CDN のインスタンスをホストしています。RealmJoin エージェントは現在修正された Chocolatey エンジンのバージョンを利用していますが、パッケージソースは glueckkanja AG のパッケージサーバーに制限されています。

• 分割リポジトリ: 顧客固有のパッケージはサーバーの顧客専用セクションに配置され、他の顧客からはアクセスできません。

• 完全なバージョニング: すべてのツールおよび RealmJoin パッケージストアはコミットおよび監査情報を提供します。いつでも誰がいつどのパッケージを変更したかが透明です。

• 特定データの回避: パッケージのコードとバイナリを分離することで、一般的にバイナリから機密情報を除去できるため、仮にバイナリが傍受されても悪用されにくくなります。

• 暗号化とハッシュ: パッケージスクリプトは暗号化されたサーバーに保存され、アクセスは厳しく制限されています。RealmJoin エージェントは暗号化された接続経由でスクリプトをダウンロードします。追加のセキュリティとして、すべてのバイナリは処理を行う前にハードコーディングされたハッシュと照合されます。

• ペネトレーションテスト（Pentest）: 過去数年にわたり、RealmJoin エージェントは複数の顧客によるペネトレーションテストの対象となり、成功を収めています。

• テスト: すべての RealmJoin パッケージは PACKaaS の QA 中に Defender を実行している Windows デバイス上で複数回インストールされます。マルウェアスキャンは自動ビルドおよびデプロイプロセスの一部です。保守されているパッケージは公式ベンダーのソースを使用します。