Miroのセキュリティ
企業ユースに最適なMiroのセキュリティ水準、ガバナンス、コンプライアンスについてご確認ください。Miroには無償のFreeプランを含めていくつかのプランがありますが、企業でお使いの場合は、システム監査に対応可能なEnterpriseプランをお薦めしています。
セキュリティチェックリスト(Excel版・Zip形式)をご提供しております
セキュリティを監査する情報システム部門などの担当者の方々向けに、Miro導入ご検討にご参考いただけるセキュリティチェックシートを公開しております。お客さまのセキュリティ基準を満たしているかのご確認にご活用ください。
セキュリティについて
目次
このページのMiroボード版はこちらです。
セキュリティ
認証
Miroはクラウドベースのプラットフォームで、IDとパスワードですべてのユーザーを認証します。ユーザはデスクトップとモバイルの両方で、多くの一般的なブラウザ経由でアクセスできます。また、デスクトップ、モバイル、タブレット用のネイティブアプリを提供しています。
シングルサインオン(SSO)、SAML2.0、および多要素認証 ※対象プランあり
Miroは二要素認証機能(2FA機能)を提供しております。また、SAML2.0準拠のシングルサインオン(SSO)をサポートし、SP-initiatedおよびIdP-initiatedログインを使用可能です。SSOを使用すると、従業員がサインインする際にパスワード認証に加えて多要素認証(MFA)や条件付きアクセスを使用するなど、IdPによる独自の認証ポリシーを設定することができます。Miroは、System for Cross-domain Identity Management (SCIM)によるユーザ自動管理もサポートしています。
※シングルサインオン(SSO)は、BusinessプランおよびEnterpriseプランのみ対応しています(2023/3時点)。
※多要素認証(MFA)は、Enterpriseプランのみ対応しています(2023/3時点)。
※System for Cross-domain Identity Management (SCIM)は、Enterpriseプランのみ対応しています(2023/3時点)。
マルチテナンシーアクセスコントロール
MiroはマルチテナントSaaSソリューションです。顧客データは、一意のアカウントIDで論理的に分離され、データが意図せず公開されたり、他のユーザからアクセスされないよう設計されています。特定のアカウントに正常にログインしたユーザーのみが、あらかじめ設定された権限に基づいてデータを取得することができます。
暗号化
保存データ (data-at-rest) の暗号化
Miroは業界標準の暗号化アルゴリズムを導入し、顧客のデータ、ファイル、メディアを保護します。全てのデータはNIST標準に準拠したAES-256を使用して暗号化されています。
データ転送の暗号化
MiroはTLS1.2を利用して、APIを含む転送中の全データを暗号化しています。DNS CAA標準の認証局を経由し、Webサーバーの認証を保護します。
Miroプラットフォームパスワード: ハッシュ、ソルト、ストア
Miroは、すべてのサインインに用いる認証情報を保存するために、多層防御アプローチをとります。
- パスワードのハッシュ化:これは、様々な長さのパスワードを暗号化された固定長のフレーズに変換して保存するための一般的なアプローチです。Miroは、業界標準のSHA256アルゴリズムを用い、パスワードを堅牢なハッシュ化します。
- ソルト:また、Miroは、すべてのハッシュにユニークでランダムなデータを追加することで、さらに高度なパスワード保護を提供しています。加えて、Miroは通信時にTLS1.2を利用し、SSL/TLSは無効としています。
鍵管理ポリシー
Miroの鍵管理は、運用・技術・手続き上のセキュリティ制御を行うよう設計されています。暗号化鍵の生成、交換、および保管は分散処理されます。
- ファイル暗号化キー:ファイル暗号化キーは、本番システム基盤のセキュリティ管理によって作成、保管、保護されています。
- 内部SSH鍵:本番システムへのアクセスは、一意のSSHキー・ペアで制限されます。
- 鍵の配布:鍵の管理・配布を自動化し、運用に必要なシステムのみに自動配布します。鍵の配布システムは、AWSの鍵管理システム(KMS)を採用しています。
アクセス制御 ※対象プランあり
Miroのエンジニアのデータセンターへのアクセスはグループ及びロールによって定義され、集中管理されています。また、一部のプランでは利用者ごとのアクセスおよび共有範囲を設定できます。詳しくはアカウント アクセスレベルをご覧ください。
※利用者ごとのアクセスおよび共有範囲アカウント アクセスレベルの設定は、Enterpriseプランのみ対応しています(2023/3時点)。
アイドルセッション管理 ※対象プランあり
セッションタイムアウト機能により、セッションが失効するまでの時間を設定できます。セッションがタイムアウトすると、ユーザーは自分のアカウントにアクセスするために再ログインする必要があります。
※セッションタイムアウト機能は、Enterpriseプランのみ対応しています(2023/3時点)。
スキャン・監視
自動セキュリティスキャン
Miroの内部セキュリティチームは、Miroのネットワークとインフラストラクチャに脆弱性がないことを確認するために、毎月脆弱性スキャンを実施しています。追加のセキュリティスキャンは、コードがシステム開発ライフサイクル(SDLC)を通過する際に定期的に実行されます。これにはセキュアコード解析(SCA)、ダイナミックアプリケーションセキュリティテスト(DAST)、スタティックアプリケーションセキュリティテスト(SAST)スキャンが利用されています。
全てのクラウド資産について、潜在的な脅威に優先順位を付け、問題の種類とその深刻度やリスクに従って分類し、適切な改善プロセスを割り当てています。Miroは自動化されたツールと手動ツールを組み合わせて、セキュリティの脅威を継続的にスキャンし、インシデントや脆弱性に優先順位を付けて調査し、是正しています。
継続的なセキュリティ監視
Miroセキュリティは、インフラストラクチャの継続的な監視のために、業界をリードするレベルのセキュリティスキャンを活用しています。Miroのソリューションは、インターネットの境界システム、内部ネットワーク、およびWebアプリケーションに重要なセキュリティ保護を提供します。
ウェブトラフィックの検査とサニテーション
Miroはウェブアプリケーションファイアウォール(WAF)を活用して、あらゆる形態のクロスサイトスクリプティング(XSS)、SQLインジェクション、その他の悪意のあるウェブ攻撃を防止します。
Miroは独自のサニタイズエンジンをプラットフォームに完全に統合し、処理前にすべてのトラフィックを検査します。アクセス制御メカニズムの重要性を考慮し、Miroはセキュリティシステムとプロセスを継続的に監視およびテストし、それらが適切に機能していることを確認しています。
侵入防止
Miroのファイアウォールは、高帯域幅と低遅延を維持しながら、ディープパケットインスペクションを含む次世代保護を提供します。
アンチウイルス保護
今日のウイルスとマルウェアは永続的で、検出が難しく、対策に多層的なアプローチを必要とします。Miroのネットワークトポロジーにより、Miroのセキュリティチームはネットワーク上の複数のポイントを介してシステムの健全性を可視化し、疑わしい動作やボットネットのコマンドと制御を検査することができます。
マルチエンジン・アーキテクチャ
Miroのアンチウイルスエンジンは、ウイルス、トロイの木馬、マルウェア、およびゼロデイ攻撃を含むその他の悪質なコードからサービスを保護します。すべてのスキャンエンジンは管理サーバーに接続されており、そこで完全なEDR (Endpoint Detection Response) 機能を備えています。
管理サーバーは、すべてのアップデートが導入され、適切に機能しているかを検証し、アップデートの失敗を示すような異常がないかを調べます。更新が失敗した場合、管理サーバーはMiroセキュリティチームにリアルタイムで警告を発します。
データ漏洩、データ損失防止
Miroは、データ漏洩とデータ損失防止の両方について定義されたフレームワークを持っています。DLPという言葉を使う場合、それが何について話しているのかを正確に理解することが重要です。DLPは2つの異なるタイプのソリューションを指すことがあります。一つはデータ漏洩を防止するもの(Data Leakage Prevention)、もう一つはデータ損失を防止するもの(Data Loss Prevention)です。データ漏洩とデータ損失の両方がデータ侵害につながる可能性がありますが、それぞれのDLPソリューションの機能を考慮する必要があります。
物理セキュリティ
MiroはAmazon Web Services (AWS) 上で動作し、Amazonのセキュリティと環境制御によって保護されています。AWSのセキュリティに関する詳細情報は、以下を参照してください。
https://aws.amazon.com/jp/security/
https://aws.amazon.com/jp/compliance/shared-responsibility-model/
人的セキュリティ
Miroは、すべての従業員および請負業者のスクリーニングに全力を尽くします。すべての候補者は事前にスクリーニングされ、法律で認められている場合は身元調査の対象となります。さらに、すべての社員と契約社員は、Miroの倫理規定、情報セキュリティ方針、適用、セキュリティトレーニング、および非開示契約に拘束されます。
ガバナンス
利用規約
利用規約はこちらをご覧ください。また、エンタープライズプランのユーザ向けにクラウド基本契約書を公開しています。
サービスレベルアグリーメント (SLA)
Miroはお客様向けにサービスレベルアグリーメントを公開しています。こちらをご覧ください。
プライバシーポリシー
こちらをご覧ください。
一般データ保護規則 (GDPR)
GDPRは、EU域内の個人データの取り扱いに関する包括的なプライバシー法で、EUおよびEEA域外に転送されるデータも対象としています。EU域内に拠点を構えているかどうかは問いません。Miroは以前EU-米国間のプライバシーシールドを遵守していましたが、「シュレムスII」判決以降はデータの法的および契約上の移転のために標準契約条項(SCC)を利用しています。オランダとイギリスのデータ当局についてはこちらをご覧ください。
データ処理補遺 (Data Processing Addendums, DPA)
一般データ保護規則(GDPR)の整合性と適合性を必要とする事業体に対して、必要なDPA文書を提供します。
カリフォルニア州消費者プライバシー法 (CCPA)
CCPAは、米国カリフォルニア州の住民のプライバシー権および消費者保護を強化することを目的とした州法です。MiroはCCPAのすべての要求事項に適合しています。
サブプロセッサー
Miroは、サードパーティのサブプロセッサの情報を公開しています。弊社の第三者が提供するセキュリティやコンプライアンスに関しては、ベンダー各社にお問い合わせください。
データ保管場所
Miroは、すべての本番データをAWSでホストしています。保管場所については、こちらのHelp Center記事をご確認ください。
年次透明性報告書
お客様の信頼を獲得し維持するための取り組みの一環として、Miroは年次透明性報告書の発行を開始しました。ユーザデータの提供やコンテンツの削除、ユーザアカウントの停止など、政府からの要請件数についてお客様にお知らせしています。
※その他の情報保護やデータガバナンス情報については、こちらをご覧ください。
※サービス規約等のリーガル情報については、こちら(英語)をご覧ください。
コンプライアンス
外部セキュリティ監査
Miroは、ソフトウェア開発サイクルの一環として、定期的に外部のセキュリティ評価や専門のアプリケーション監査を受けています。専門家はOWASP (Open Web Application Security Project)の手法や、Miroと共同で開発した独自の攻撃シナリオに基づく侵入テストを実施します。また、Miroはさらなる脆弱性検出のため、HackerOneを通じてバグバウンティプログラムを運用しています。
侵入テスト
Miroは、機密保持契約(NDA)に基づき、第三者による侵入テストのサマリーをお客様向けに提供しています。
パッチマネジメントライフサイクル
セキュリティテストにより潜在的なセキュリティの脆弱性とバグを定期的に特定し、パッチを適用しています。パッチは、要求された品質保証テストと厳格なポリシー承認に合格した後、本番ネットワークに展開されます。
認証および証明書
MiroはNDAの下、SSAE18 SOC 2 Type 2の認証および報告書をお客様向けに提供しています。こちらから申請してください。一般向けには、SOC 3認証レポートを提供しています。
情報セキュリティ
Miroのセキュリティチームは、Miroの防御システムの維持、セキュリティレビュープロセスの開発、セキュリティ設計と実装レビューの実施、およびセキュリティインフラの構築に責任を負っています。このチームはまた、セキュリティポリシーと標準の開発、文書化、実施に責任を負います。
データセンターの認証と証明書
Miroのデータセンターは、以下の認証および証明書を取得して運営しています。
- SSAE18 米国公認会計士協会(AICPA)が発行する基準で、受託業務を行う会社の、内部統制の有効性を評価する保証となります。
- ISO 27001:2013 情報セキュリティ、物理セキュリティ、事業継続の各レベルに関して、データセンターでサポートされている保護基準を示す認証です。
災害復旧と事業継続
Miroは、米国とヨーロッパに分散するすべてのデータセンターで、堅牢な災害復旧プログラムを維持しています。暗号化されたVPN高速通信でデータセンター間を結び、トラフィックシフトやトラフィックフェイルオーバーをサポートします。データ損失を防ぐために、Miroは各データセンター内でローカル災害復旧サイトへの継続的なデータレプリケーションとバックアップを行っています。Miroは災害復旧計画と事業継続計画の両方を備え、SSAE 18 SOC2プログラムによる追加審査が毎年実施されています。
強力な企業パスワードポリシー
MiroはNISTのガイドラインに沿ったパスワード作成・管理の各種機能を提供し、企業の強力なパスワードポリシー要件に対応します。企業の環境にアクセスするために、すべての個人は固有のアカウントIDを持つ必要があります。このアカウントIDは、ユーザーの活動を記録し、役割ベースのアクセス制御(RBAC)を利用して正しい権限レベルを与えるために使用されます。Miroは、パスワード攻撃から組織を保護するために、下記のベストプラクティスとテクノロジーを適用しています。
- ロックアウトポリシー:ログイン試行回数とロックアウト時間を設定すると、ユーザーアカウントがロックされます。
- パスワード管理アプリケーション:Miroは集中型パスワード管理システムを利用しています。
- 監視と警告:ログイン状況を監視し、警告のしきい値を設定することができます。
- アンチボットゲートウェイ:Miroはアンチボットゲートウェイ技術を実装し、ボット活動を特定および防止します。
データ保持
データの保持期限は、サービスの終了 (T) + 180日です。この間お客様のデータをエクスポートし、作成したコンテンツを当社のバックアップシステムから削除することができます。
アクセタブルユースポリシー (AUP)
Miroは包括的で明確なアクセタブルユースポリシー (AUP) を定め、Miroの全従業員および契約社員に通知しています。AUPは、すべての機器、情報、電子メール、IT機器、ネットワークリソースの許容される使用について概説しています。Miroは、ウイルス攻撃、法的な問題、システムまたはサービスの侵害のリスクを最小化するため、従業員が情報セキュリティ方針を理解し、遵守することを保証します。
※その他のISOやSOCなどのコンプライアンス情報については、こちら(英語)をご覧ください。
Enterpriseプラン導入サポートについて
Miroは、世界で8,000万人が利用し、25万以上の企業が採用しているイノベーションワークスペースです。組織が生産的に業務を進めるための多くの機能とエンタープライズ水準のセキュリティを備え、日本では120万人以上に幅広くご利用いただき、TOPIX100の60%以上の企業に採用されています。試験的に導入してみたい、説明を聞いてみたいなどのご要望がありましたら、お気軽にお問合せください。