以下によくお問い合わせいただくセキュリティーについての質問と回答を記載いたしました。
【質問】(2021年10月5日追記)
配信者のビデオグ管理画面ログイン時に、二要素認証は使えますでしょうか?
【回答】
- 可能でございます。
【質問】(2021年10月5日追記)
視聴者からのアクセスを特定のIPアドレスに限定することはできますでしょうか?
【回答】
- 可能でございます。
IPアドレス制限につきましては、以下サポート記事をご参照願います。
IPアドレス制限の設定方法
【質問】(2021年10月5日追記)
未知のマルウェアに対しては、どのように対策されていますでしょうか?
【回答】
- マルウェアのコードを分析して、脆弱性を突くエクスプロイト手法を検知し、その手法を使っている攻撃プロセスを停止させるなどして対策しています。
【質問】(2021年10月5日追記)
プライバシー及び個人情報の取り扱いは法令に従って行われていますでしょうか?
【回答】
- 法令に従い、行っております。
【質問】(2021年10月5日追記)
暗号化機能は、関連する全ての協定、法令及び規制を遵守して用いられているでしょうか?
【回答】
- 法令ならびに規制に遵守し、用いております。
【質問】(2021年10月5日追記)
利用者への通信経路を冗長化できていますでしょうか?
【回答】
- 冗長化されています。
【質問】(2021年10月5日追記)
(セキュリティ監視)アンチウィルスやEDR等を利用したマルウェア監視は
実施されていますでしょうか?
【回答】
- 実施しております。
【質問】(2021年10月5日追記)
通信暗号化はTLS1.2以上で実施されていますでしょうか?
【回答】
- 実施されております。
【質問】(2021年10月5日追記)
サービスで発生しうる障害、及びセキュリティインシデントを定義されていますでしょうか?
【回答】
- 定義しております。
【質問】(2021年10月5日追記)
障害発生時及び情報漏えい懸念事案発生時等セキュリティインシデントが発生(及び発生可能性を認識した際)時の初動対応として、配信者への通知方法を教えて下さい。
【回答】
- メールおよびサービスサイトでの通知を行います。
サポートサイトにつきましては、以下サポート記事をご参照願います。
障害情報
【質問】(2021年10月5日追記)
発生後、事象・想定される被害などを配信者へ報告される期限はいつまででしょうか?
【回答】
- 当日中の連絡を想定しています。
【質問】(2021年10月5日追記)
サービスの利用を終えた(契約終了)後、システム上のコンテンツデータ、設定情報は、どの時点で削除されますでしょうか?
【回答】
- サービス終了日の23:59にコンテンツデータ、設定情報は削除されますが、万一の誤削除防止の為、完全削除は1ヶ月後となります。
【質問】(2021年10月5日追記)
配信者及び視聴者による不正操作等の抑止について教えて下さい。
【回答】
- 作業者機能により、利用可能な権限のコントロールが可能となっています。
作業者機能の設定につきましては、以下サポート記事よりご利用いただけます。
作業者アカウントの設定方法 - 視聴者への不正防止のため、様々なセキュリティ機能を用意しております。
詳しくは、以下サポート記事をご覧ください。
【質問】(2021年10月5日追記)
各種ログ等から、不正な操作と思われる検知し、モニタリング・分析する機能は
備えられていますでしょうか?
【回答】
- 備えられております。
【質問】(2021年4月22日追記)
パスワードは暗号化していますか。
【回答】
- パスワードはハッシュ化されており、ビデオグアカウント登録時は半角英数8桁~20桁での登録が必要となります。
【質問】(2021年3月14日追記)
定期的にWebアプリケーション脆弱性検査を行い、脆弱性の無いことを確認していますか。
【回答】
- 脆弱性診断ソフトによる検査を不定期に行っています。
【質問】(2021年3月14日追記)
利用しているOS・ミドルウエアについての脆弱性情報を収集し、必要な対策(パッチ適用等)をしていますか。
【回答】
- 脆弱性が確認された場合は、対策作業を計画し、必要な作業を実施します。
【質問】(2021年3月14日追記)
サービスの提供に用いるサーバーにおいて、ウイルス対策ソフトウェア導入などの不正プログラム対策をしていますか。
【回答】
- サーバーにウイルス対策ソフトは導入されておりません。不正アクセスをされない為の対策は必要に応じて実施しております。
【質問】(2021年3月14日追記)
ユーザーのアクセスログや認証ログを取得できますか。またそのチェックは行っていますか。
【回答】
- 全てのログは取得していますが、膨大なログとなる為、お客様に提供可能なログは直近1年分の管理者、作業者のログイン情報のみとなっております。その他のログ情報の提供は、一切お客様へは行っておりません。又、チェックについては人為的には行わず、システムによる自動チェックが行われています。
【質問】(2021年3月14日追記)
ビデオグと当社との間で書類による契約書「個人情報の委託契約や秘密保持契約等」を締結することは可能ですか。
【回答】
- 書類のやり取りは、エンタープライズ(月額5万円以上を1年間以上で契約)利用である事が条件となってまいります。また、その書類作成費用については、その量や内容によって個別の御見積となります。
【質問】(2021年3月14日追記)
当社が入力・保存するデータに対して、ビデオグによるデータへのアクセス、処理、伝送がありますか。
【回答】
- お客様がビデオグに入力された情報は、サービスに必要な範囲で保存、バックアップされます。ビデオグでは首都圏で甚大な災害が発生した際のディザスタリカバリー対策として、アメリカ合衆国オレゴン州のデータセンター(AWSオレゴンリージョン)へバックアップを行っています。その通信はセキュリティーに配慮しています。
【質問】(2021年3月14日追記)
ファイルに対する参照・更新等の権限をユーザ単位やグループ単位で制限できますか。あるいは当社ユーザとそれ以外の単位で制限できますか。
【回答】
- お客様は直接ファイルに対して操作する権限は一切ございません。利用できるのは、Web上の管理画面で提供されているサービスのみとなります。
【質問】(2021年3月14日追記)
サービス利用の終了やアカウント削除の際、すべてのデータや該当アカウントに関するデータは削除されますか。
【回答】
- お客様に紐づく情報は基本的に削除されます。但し、弊社サービス上保存が必要な情報については、削除されないものがあります。(売上履歴情報等)
【質問】(2021年2月22日追記)
24時間365日、有人監視体制があるか。
【回答】
- サーバーの監視は、24時間365日のシステムによる監視を行っております。監視サーバーからアラート検知した際は、24時間365日体制で有人による迅速な復旧活動が行えるよう体制を整えています。 またサーバーには予め多くの監視項目が設定されており、障害を事前に防ぐよう様々な抜け目ない監視が行われています。何処よりも安心して利用できる動画配信サービスの提供をお約束致します。
【質問】(2020年6月1日追記)
ISMS、プライバシーマーク等の認証は取得していますか?
【回答】
- ISMS(ISO/IEC27001:2013)
- Intertec Certificate Number : 13120
- Initial Cerification Date : 2019年12月4日
- ※ 現在ISMSは解約しておりますが、インターテック社にて弊社が認証を取得した事をご確認頂けます。(http://intertekjp.com/)
- プライバシーマーク
- 2020年3月25日付与(登録番号:第10824830(01)号)
- ※ 次回更新時は解約する予定です。
ビデオグでは、ISMS、Pマ―クともに取得いたしましたが、業務フロー、セキュリティーポリシーの改善に一定の効果はあったものの、そのナレッジを継続して活かしつつ、お客様へのサービス提供を最優先する事に集中する為、両認証の解約を行います。また今後の両認証の再取得、及び更新の予定はございません。
【質問】(2020年2月26日追記)
HDDの廃棄時にデータの流出事故が起きない様に、どの様な対策を行っていますか?
【回答】
- 弊社がHDDを廃棄する際は、外部業者へ委託することなくデータ抹消ソフトウェアでデータを完全削除した後に、物理的に破壊する措置を行ってから廃棄しております。担当者2名で作業内容をチェックする体制を取っており、廃棄時の情報流出事故が起きない様な業務フローとなっています。
【質問】(2020年2月26日追記)
無停電電源装置(UPS)は利用していますか?
【回答】
- データセンターのUPSを利用しています。また停電時にはUPSに加え自家発電機が動作します。さらに長時間の停電となった場合は、DCに隣接するガソリンスタンドからの軽油燃料優先供給契約を結んでいますので、自家発電機に継続的に燃料の補給が行えるため、長時間の停電にも耐えられる仕様となっています。
【質問】
サービスの稼働率の公表やSLA(サービス品質保証)などはありますか?
【回答】
- 現在2019年12月4日を基点としたサービス稼働率の集計を開始いたしました。約1年程度の計測期間を経て、今後公表していくことを検討しております。また、その後一定のサービス稼働率の計測と安定性の目途がつきましたら、将来的にSLAの導入も視野に入れております。安定性を重視した対策を日々おこなっておりますので、どうぞご安心いただければ幸いです。
【質問】
障害時の復旧目標を教えてください。
【回答】
- ビデオグでは、5分未満のサービスダウンを瞬断、5分以上のサービスダウンを障害として切り分けて管理しております。また障害の復旧目標時間は15分と定めています。障害発生時には速やかに告知を行い、復旧後に原因及び対策について履歴を全て公表してまいります。ただし単体サービス等部分的なサービスダウンについては、この限りではございません。
【質問】
データのバックアップはどのようになっていますか?
【回答】
- 万一都内で大規模な災害が発生した際にも、安定的なサービス提供が可能となるよう、各種システムのバックアップやDR(ディザスタリカバリー)対策が実施されています。詳細はシステムの内容により異なりますが、動画配信で最も重要となる動画ファイルについては、都内データセンターとアメリカ合衆国オレゴン州のデータセンター間でリアルタイムのバックアップが行われております。直線距離で8000km離れた地域にバックアップすることで、大規模な災害にも対応できる状態となっております。その他システムについても、必要に応じて各世代のバックアップやCephストレージによる3重化など国内外データセンターを利用した様々なバックアップ、および安定化策を実施しております。
【質問】
セキュリティー対策についてはどの様なことが行われていますか?
【回答】
- 脆弱性のチェックおよびシステム更新、アップデート作業などを含めたセキュリティー対策が実施されています。また定期的にログのチェック等も行っており、日々様々な対策の実施と定期的な見直し、向上作業を継続しております。
【質問】
利用しているデータセンターを教えて下さい。
【回答】
- 国内のデータセンターには、ベッコアメ・インターネット株式会社を採用しています。国外のデータセンターには、AWSオレゴンリージョンを採用しています。動画は全て2リージョンでバックアップされています。データセンターの入館には、申請者のみ入館できる認証方式となっております。建物の仕様については、以下のリンクからご確認下さい。
【質問】
暗号化サービスを行っていますか?
【回答】
- 基本的にWebサービスは全てSSLによる暗号化を実施しています。またお客様にもSSL通信を推奨しています。
- データベースに格納する情報は、お客様のパスワードのみ暗号化を実施しています。
- 動画自体の暗号化配信については、専用サーバー利用のお客様には提供可能となっており、暗号化配信サービス、DRMを利用した配信サービスをそれぞれ提供しております。お客様の求めるセキュリティーレベルでのご提案が可能となっております。