セキュリティへの取り組み

最終更新日: 2016年 9月 19日

概要

momeriは、お客様の大切な思い出をお預かりするサービスです。皆様に安心してサービスをご利用いただけるよう、お預かりしたデータを万全のセキュリティで保護することは責務であると考えております。
このページでは、運営者がお客様のデータを保護するために行っている取り組みについてご紹介いたします。

アカウントの保護

momeriでは、お客様のアカウントに紐づくパスワードをそのままの状態で保管することは一切ありません。ユーザーのログイン認証用に必要なパスワードはすべて、強力な一方向ハッシュアルゴリズム(十分な長さのソルトを付加した上で1000回以上Blowfish暗号を用いる)によって不可逆暗号化されます。

お客様にお決めいただくパスワードは6文字以上に設定することをお願いしております。お客様のパスワードをより強固なものにしていただくためですので、ご理解ください。

サーバーのセキュリティ

サービスの提供を行うサーバーのセキュリティを保つため、IDS(侵入検知システム)やRootkit検出ツールなどといったセキュリティソフトウェアを導入し、定期的なソフトウェアアップデートおよび脆弱性スキャンも実施しています。

ネットワークへのアクセスにおいてはファイアウォールを運用し、外部ネットワークとの通信を必要最低限に抑えています。

電子メールのセキュリティ

momeriからお客様に送信される、また外部からmomeriメールサーバーに送られる全てのメールはウイルス対策ソフトウェアを用いてリアルタイムにチェックを行っています。

お客様に、momeriから届くEメールが確かに私たちのメールサーバーから送信されたものであることをお確かめいただくため、momeriからお客様にお送りする全てのメールにはDKIM (Domainkeys Identified Mail)を用いた電子署名を行い、公開用SPFレコードに記録されたIPアドレスよりお送りします。

製品のセキュリティ

お客様に直接ご利用いただくウェブサイトおよびアプリケーションの脆弱性を取り除くべく、信頼性の高いアプリケーションフレームワークを使用して開発しております。
クロスサイトスクリプティングやSQLインジェクションといった一般的なウェブアプリケーションのセキュリティ問題に対しては開発段階で十分なテストを行った上でご提供いたします。
開発段階で取り除けなかった脆弱性に対処するため、専用の脆弱性検出ツールを用いた製品のスキャンを定期的に行っています。

転送データの暗号化

送受信されるお客様のデータは、TLS (Transport Layer Security) や SSL (Secure Socket Layer) と呼ばれる一般的な暗号化技術を用いて保護しています。
常に最新の暗号強度をもつ暗号化アルゴリズムを採用し、今後、より安全な暗号化アルゴリズムへの移行の必要が認められた場合は速やかに移行します。

また、送受信されるメールはSTARTTLSに対応しています。お客様のメールプロバイダがTLSに対応している場合、momeriとの間で送受信されるメールは転送時に暗号化されます。

管理ツールのセキュリティ

momeriでは、サービスの開発と運用を円滑に進めるため、お客様のデータを含むサーバーにアクセスできる管理ツールをスタッフ専用に運用しています。
これらはSSHやWebインターフェイスを備えていますが、外部からのアクセスを防ぐため鍵認証や複数のパスワードを用いた認証を必要とします。また、アクセス可能なIPアドレスを限定し、内部ネットワーク以外からのアクセスは一切遮断しています。

お客様のデータへのアクセス

一つ上の項目で述べたように、momeriにはお客様のデータにアクセスすることができる、スタッフ専用の管理ツールがあります。しかしながらこのツールを使用してお客様のデータにアクセスすることは、不具合の解決やお客様のお問い合わせに対処するなど、明らかにその必要性が認められる場合を除いて、一切ありません。

「管理ツールのセキュリティ」で述べたように管理ツールへのアクセスには複数の認証を必要とし、お客様データへのアクセスを含む全てのアクティビティのログを収集しています。スタッフによる権限の濫用を防ぐため、定期的なログのチェックを実施しています。

セキュリティ問題の報告

もしお客様がmomeriの提供するサービスやインフラ等において、サービスの安全性を脅かす脆弱性や不具合を発見したと思われる場合は、他の誰にも伝えずに、至急以下のメールアドレスまでご連絡ください。
takaki@momeri.jp (セキュリティ担当者: 竹内 貴紀)

メールの暗号化をご希望の場合は、こちらのPGP公開鍵をご利用ください。