# セキュリティとプライバシー

この章では、情報セキュリティ、プライバシー、品質保証に関するよくある質問の概要を説明します。

## データ処理と権限 <a href="#data-processing-and-permissions" id="data-processing-and-permissions"></a>

### 1. RealmJoin はどのデータセンターで運用されていますか？

* Azure リージョン 西ヨーロッパ（本番）&#x20;
* Azure リージョン 北ヨーロッパ（バックアップ）

### 2. どのデータが RealmJoin によって処理されますか？

* コンピューターの状態
* Entra ID のユーザー/デバイス/グループ データ（UPN / メールアドレス データ、名、姓、プロフィール画像を含む）
* Intune データ
* ATP データ
* ログ ファイル

### 3. どのデータが RealmJoin によって、またはその代理で永続的に保存され、どのように保存されますか？

* コンピューターの状態
* Entra ID のユーザー/デバイス参照（UPN / メールアドレス データを含む）
* アプリ管理用の情報
* ログ ファイル

&#x20;データは Blob Storage とデータベースの組み合わせで保存されます。

### 4. ログのアーカイブ機構はありますか？

コンピューターの状態は 90 日間アーカイブされ、その後、保持ポリシーによってデータが削除されます。

### 5. RealmJoin の Web ポータルにアクセスするユーザーは、どのテナント権限への同意が必要ですか？

次を参照してください [必要な権限](https://docs.realmjoin.com/ja/realmjoin-depuroi/required-permissions).

### 6. 質問 5 の同意を付与すると、どのデータが利用可能になりますか？

次を参照してください [必要な権限](https://docs.realmjoin.com/ja/realmjoin-depuroi/required-permissions).

### 7. RealmJoin が公開している外部アクセス可能なエンドポイントはどれですか？

1. RealmJoin Portal
   * サービスの管理を可能にする Web ポータル。
2. RealmJoin Client-API
   * クライアント アプリケーション向けの API（内部利用）。
3. RealmJoin Customer-API
   * 顧客向けの API。
4. RealmJoin Internal-API
   * 関連するバックエンド操作向けの API（内部利用）。
5. RealmJoin CDN
   * BranchCache 対応のバイナリ データ。
6. RealmJoin Package Server
   * カスタム nuget パッケージ リポジトリ。

### 8. 質問 7 のエンドポイントはどのように保護されていますか？

1. RealmJoin Portal
   * Microsoft Entra ID (Azure AD) を使用した OAuth 2.0 認証で保護されています。
2. RealmJoin Client-API
   * Microsoft Entra ID (Azure AD) を使用した OAuth 2.0 認証で保護されています。
   * Entra-Device-Certificate を使用したカスタム認証。
3. RealmJoin Customer-API
   * 顧客ごとの事前共有キー。
4. RealmJoin Internal-API
   * 顧客ごとの事前共有キー。
5. RealmJoin CDN
   * 定義上は認証なしですが、暗号化されたファイルを使用して保護できます。
6. RealmJoin Package Server
   * 顧客ごとの事前共有キー。

### 9. 質問 7 のエンドポイントではどのポートとプロトコルが使用されますか？

1. すべてのエンドポイントは既定で TLS を使用します。
   * HTTPS（TCP / 443）。
2. RealmJoin CDN
   * トラブルシューティング目的で HTTP（TCP / 80）を許可しています。
   * 構成済みの URL は HTTPS（TCP / 443）のみを使用します。

## ID 管理

### 1. RealmJoin にアクセスするためには、どの認可方式が使用されますか？

管理者アクセスは、プラットフォームに登録されたユーザーに対して Microsoft Entra ID (Azure AD) を使った OAuth 2.0 認証で実現されています。

### 2. RealmJoin を保護するための条件付きアクセス / ロールベースのアクセス制御はありますか？

はい。RealmJoin 管理ポータルには、 [ロール](https://docs.realmjoin.com/ja/realmjoin-no/permission) を各ユーザーに割り当てる機能があります。&#x20;

利用可能な既定ロール：

* Admin
* Auditor
* Supporter
* Runbook Runner
* Software Agent
* ソフトウェア申請者
* Organic Software Requester
* Notification Agent

さらに、RealmJoin ではカスタム ロールを作成できます。

### 3. アクセス資格情報は復旧できますか？ 可能であれば、どのように？

RealmJoin は SSO を使用しており、顧客テナント内の Microsoft Entra ID (Azure AD) ポリシーの対象となります。

## データ保護

### 1. どのように *保存データ* は不正アクセスから保護されていますか？

* ベストプラクティスに従った制限付き管理者アクセス。
* Passkey MFA の使用。
* データベースは外部アクセスに対して VPN IP に制限されています。

### 2. どのように *転送中データ* は不正アクセスから保護されていますか？

RealmJoin Service（バックエンド）と RealmJoin Agent（クライアント）間の通信は、Transport Layer Security（TLS）1.2 以上で保護されています。

さらに、一部のコンテンツ（例：ソフトウェア パッケージ）は RealmJoin Service によって署名されるため、RealmJoin Agent は転送中にデータが改ざんされていないことを確認できます。

### 3. 顧客テナントはどのように相互に分離されていますか？

サービスの制約とパフォーマンス面の考慮に応じて、個別のグループ/コンテナーまたはテーブル分割のいずれかで分離されています。

コード パスは、分離のために環境ベースの顧客コンテキストを使用します。

## セキュリティ・バイ・デザイン

### 当社は高いセキュリティ基準に取り組んでいます

* 当社の開発チームと運用チームは ISO 27001 認証を取得しています。
* 最新のクラウド開発ツール（例：GitHub）を使用しており、コードは保護されたリポジトリに保存されています。
* 最新の開発、構築、運用手法（例：CI/CD）に取り組んでいます。
* チーム メンバーは Entra ID の ID を使用し、多要素認証の利用が必須です。
* エンドポイント、ID、サービスは最新の技術（例：Microsoft Sentinel と EDR を含む M365 Defender Suite）で保護され、Security Operations Center によって監視されています。
* すべてのシステムは継続的に更新されています。

### 1. RealmJoin の設計には、どのような技術、スタック、プラットフォームが使用されましたか？

* `Azure`

## 可用性

### 1. RealmJoin の可用性をどのように確保していますか？

RealmJoin の高可用性を維持するために、堅牢で中断のないサービスアクセスを提供するよう設計された複数の重要な戦略を実施しています。これらの対策には次が含まれます。

* **冗長インフラストラクチャ**：1 つの場所で障害が発生しても継続的なサービスを確保するため、複数のデータセンターに展開しています。RealmJoin は複数の Azure データセンターで Azure IaaS を活用しています。
* **自動フェールオーバー プロセス**：障害発生時にトラフィックを自動的に稼働中のサーバーへ振り向け、ダウンタイムを最小限に抑える仕組みがあります。
* **スケーラブルなアーキテクチャ**：需要に応じてリソースを迅速に増減できるため、ピーク時のパフォーマンス維持に役立ちます。
* **定期的な更新とパッチ適用**：脆弱性の修正とパフォーマンス向上のために定期的な保守と更新を適用し、プラットフォームの安全性と効率性を維持しています。
* **監視とアラート**：システム健全性の継続的な監視と、サービス可用性に影響しうる問題に対する自動アラート。
* **復旧計画**：当社では複数層の復旧対策を実装しています。データベースにポイントインタイム リカバリがあるため、主要システム状態は直近数週間分まで復元できます。さらに、万が一システム全体が完全に停止した場合でも、IaC アプローチ（Terraform）を使用して主要な RealmJoin サービスを復旧でき、復旧時間を大幅に短縮できます。

## GDPR とデータ所在地

### 1. データはヨーロッパ خارج に出ますか？

いいえ。

### 2. RealmJoin はどのサードパーティ クラウド プロバイダーに依存しており、その理由は何ですか？

<table><thead><tr><th>会社</th><th>サービス</th><th width="221.671875">連絡先</th><th>目的</th></tr></thead><tbody><tr><td>Microsoft Corporation</td><td>クラウド サービス（Azure）</td><td>Building 3, Carmanhall Road Sandyford,<br>Industrial Estate 18, Dublin,<br>Ireland</td><td>クラウド サービス（Azure）</td></tr><tr><td>GitHub B.V.</td><td>git コード リポジトリ、統合、テスト、リリース自動化</td><td>Prins Bernhardplein 200, Amsterdam, 1097JB<br>Netherlands</td><td>コード リポジトリ、CI/CD パイプライン。</td></tr><tr><td>GitLab, Inc.</td><td>git コード リポジトリ、統合、テスト、リリース自動化</td><td>268 Bush Street #350, San Francisco, CA 94104-3503, <br>United States</td><td>パッケージング パイプライン</td></tr></tbody></table>

## その他

### 1. RealmJoin はバグバウンティ プログラムの対象ですか？

いいえ。

### 2. どのような QA 対策が講じられていますか？

* 署名済みバイナリを実行しています。
* 当社のアプリ パッケージは一貫した方法で構築されており、最先端のコード リポジトリと CI/CD 手法を活用して最大限の整合性を確保しています。
* アプリ パッケージはビルド プロセス中に署名され、クライアントへのインストール前に RJ エージェントによってチェックされます。

### 3. 定期的に侵入テストを実施していますか？

いいえ。

Secure Development Practices の一環として、コードベースをスキャンして CVE やその他の一般的な攻撃手法（サードパーティ ライブラリなどの依存関係を含む）を検出するツールを使用しています。これらは、RealmJoin が公開するエンドポイントのセキュリティに影響を及ぼす可能性があります。リリース前には、関連する検出結果を評価し、修正して、RealmJoin に既知の脆弱性が残らないようにしています。なお、当社は自社で侵入テストを実施しておらず、サードパーティの「Penetration Test-as-a-Service」ツールも使用していません。前者については、利益相反が本質的に存在すると考えています。後者については、一般的な侵入テスト サービスは公開されたエンドポイントを CVE やその他の既知の攻撃手法に照らして確認するだけであることが多く、静的コード解析で既に実施しているチェックに追加価値はないと考えています。独自に侵入テストを実施したい場合は、 [お問い合わせください](https://www.realmjoin.com/help/) お客様の要件をお知らせください。

### 4. パッチ適用プロセスはありますか？

はい、脆弱性の修正とパフォーマンス向上のために定期的な保守と更新を適用し、プラットフォームの安全性と効率性を維持しています。

### 5. パッチの SLA はどうなっていますか？

* CVE / セキュリティ脆弱性向けパッチ：脆弱性が公になった時点、または当社独自のコード内で脆弱性を特定した時点のいずれか早い方から、脆弱性を認識してから 24 時間以内にホットフィックスを提供します。
* その他のパッチ：SLA なし。

### 6. RealmJoin はバックアップを実行しますか？

RealmJoin は、すべての重要なデータに対してポイントインタイム リストア技術を使用しています。PACKaaS パイプラインとリポジトリをホストする GitLab は定期的にバックアップされています。&#x20;

### 7. バックアップ復元テストはありますか？

いいえ。次を参照してください [可用性](#id-1.-how-do-you-ensure-the-availability-of-realmjoin) をご覧ください。

### 8. RealmJoin パッケージがコミュニティ ソリューションより安全なのはなぜですか？

コミュニティ ソリューションとは異なり、当社は常にあらゆるパッケージとバイナリを完全に制御しています。実装済みの複数のチェックにより、破損したデータがデバイス上で実行されないことを নিশ্চিতしています。&#x20;

* **公開リポジトリなし**：当社は GitLab、nuget、cdn の各インスタンスをホストしています。RealmJoin エージェントは現在 Chocolatey エンジンの改変版を利用していますが、パッケージ ソースは glueckkanja AG のパッケージ サーバーに制限されています。&#x20;
* **分離されたリポジトリ**：顧客固有のパッケージは当社サーバー上の顧客専用セクションに配置され、他の顧客はアクセスできません。&#x20;
* **完全なバージョン管理**：すべてのツールおよび RealmJoin パッケージ ストアは、コミット情報と監査情報を提供します。いつでも、どのパッケージで誰が何を変更したのかが常に透明です。&#x20;
* **特定データの回避**：パッケージのコードとバイナリを分離することで、通常はバイナリから機密情報を削除でき、傍受されたバイナリが悪用されることを防げます。&#x20;
* **暗号化とハッシュ**：パッケージ スクリプトは、高度に制限されたアクセス権を持つ暗号化サーバーに保存されています。RealmJoin エージェントは暗号化された接続を介してスクリプトをダウンロードします。追加のセキュリティとして、すべてのバイナリは何らかの処理を行う前にハードコードされたハッシュと照合されます。
* **ペンテスト**：ここ数年、RealmJoin エージェントは複数の顧客ペンテストで良好な結果を収めています。
* **テスト**：すべての RealmJoin パッケージは、Defender が稼働している Windows デバイス上で PACKaaS QA 中に複数回インストールされます。マルウェア スキャンは自動ビルドおよびデプロイ プロセスの一部です。保守されるパッケージは公式ベンダー ソースを使用しています。&#x20;