Shifter のセキュリティに関する取り組み

お客様に安心して Shifter をご利用いただくため、セキュリティ最優先のサービス運営を行なっています。

信頼性の高いデータセンター

サービスを提供するデータセンターとして Amazon Web Services (以降、AWS ) を利用しています。

AWS のデータセンターのロケーションは災害のリスクを考慮して計画され、冗長化のために物理的に離れた複数のデータセンターで運営されています。データセンターの所在地は AWS の中でも限られた担当者しか把握しておらず、AWS の社員であっても知らされていません。

AWS は、PCI 、ISO 、SOC の第三者認証を取得し、その他多くの公的な監査を受けて運営されています ( AWS が取得している第三者認証についてはこちら) 。日本国内でも金融や医療の分野で採用が進んでいるほか、2020年10月より、日本政府による「政府共通プラットフォーム」としても採用されています。

Shifter のインフラに関する方針・対応については、 AWS の指針に準じます。

お客様のご契約情報(ユーザ名、メールアドレス、ご請求情報)につきましては日本国内に保管され、Shifter 上でホストする WordPress など Web サイトのデータにつきましては、米国のデータセンターに保管されます。米国以外の地域のデータセンターを利用する必要がある場合は、Amimoto マネージドホスティングの利用をご検討ください。

常に最新バージョンの WordPress が起動

WordPress は自動でアップデートが行われ、常に最新のバージョンでご利用いただけます。

WordPress 関連のバージョン、使用しているプラグインにつきましては、WordPress の管理画面にてご確認いただけます。

厳格なアクセス制限とセキュリティ対策

Shifter が稼働する AWS 上のインフラへのアクセス権は、システム運用担当のスタッフに限定しており、全ての操作履歴が自動で保存されています。

また、サイトに保管されているデータには、調査目的など、お客様から依頼があった場合以外にはアクセスを行いません。

その他、個人情報の扱いについては、利用規約およびプライバシーポリシーに従った運用をおこない、セキュリティ対策の徹底と意識向上に努めています。

第三者認証

ISMS(ISO/IEC 27001)認定を取得しています。

安心のデータバックアップ

システム障害や人的ミスによるデータ損失に備えて、定期的なバックアップを行なっています。

また、 Shifter の機能として「自動バックアップ生成」を有効にすることで 、ジェネレートするタイミングでバックアップを取得できます。

不正アクセスの防止

静的なコンテンツとして配信します

Shifter は、WordPress で管理するウェブサイトを静的化したファイルに変換し公開する仕組みになっています。通常の WordPress で構築したサイトは「動的サイト」と呼ばれ、 ウェブサイトにアクセスが発生するたびにプログラムが実行され、その場でウェブページが生成されます。

その特性を悪用し、WordPress やプラグインの脆弱性を起点に不正なプログラムを挟み込んでサイバー攻撃が行われますが、Shifter では WordPress を利用しながらも、 HTML、 CSS、 JavaScript のみを用いた「静的サイト」を生成して公開するため、サーバサイドで不正なコードが実行されることはありません。

必要な時のみ WordPress を起動します

WordPress を標準のまま利用すると管理画面のログイン URL が簡単に推測できるため、対策を行わない状態では不正アクセスのリスクが存在します。

Shifter では、投稿/編集の時だけ WordPress を起動する仕組みとなっており、管理画面に不正アクセスされるリスクを大幅に低減できます。

管理画面に対して脆弱性検査を実施しています

安全性向上のための取り組みとして、Shifter のダッシュボード( go.getshifter.io )に対して脆弱性診断ツールを使用したセキュリティテストを定期的に実施しています。

診断結果につきましてはこちらをご覧ください。

※ユーザーによる Shifter ダッシュボード への脆弱性診断は禁止しております。

標準で HTTPS にて暗号化通信されています

Shifter のサイトでは、標準で HTTPS による暗号化通信をおこなっており、大切なデータを暗号化された状態でやり取りされています。

障害対策も万全、毎日安心して使えます

監視・障害対応

Shifter を構成する各マネージドサービスの状態をモニタリングし、アラート及び自動復旧の仕組みを構築しています。

障害やメンテナンス時は適宜情報をお知らせ

メンテナンスによる計画停止の際には、原則一週間前に、Shifter の通知にて事前告知を行います。障害発生時には、Shifter サイトもしくは当社コーポレートサイトにて状況をご報告いたします。

システム障害時の復旧の目安

サイト操作や契約管理などを行うためのダッシュボードの障害 :24時間以内
プラットフォーム障害 : 24時間以内

セキュリティチェックシートの提供

経済産業省による「クラウドサービスレベルのチェックリスト」、及び IPA(独立行政法人情報 処理推進機構)による「安全なウェブサイトの作り方改訂第7版」に準拠したセキュリティ チェックシートをご提供しています。Shifter の導入検討時などにご活用ください。

セキュリティチェックシートのダウンロード

セキュリティチェックシートの適用範囲は、Shifter 管理画面および、ご提供している OS、ミドルウェアなどインフラレイヤーまでの範囲となります。
上記以外の、Shifter 上で動作する WordPress(プラグイン・テーマを含む)やWebアプリケーションについては含まれず、お客様ご自身にて管理していただく範囲となります。

お客様独自のチェックリストへの回答をご希望の場合は、別途有料オプションにてご対応可能です。
また、当社に Webサイトの構築をご依頼いただく場合の「納品物に関するセキュリティチェック」のご依頼につきましても、お気軽にサポートまでお問い合わせください