Cintooのホスティングオプションとサイバーセキュリティ

この記事では、Cintooにおけるクライアントデータの保存方法、主なホスティングオプション、Cintooがさまざまなセキュリティトピックや認証などをどのように管理しているかについて詳しく説明します。


導入


CintooのReality Data管理およびコラボレーションのソリューションはCloudを通じて提供されます。


Cloudは、必要に応じて計算能力、ストレージ、または新しいサービスを簡単に追加できる柔軟性、スケーラビリティ、信頼性を提供するため、Cintooはお客様とともに成長できます。

Cloudにおけるセキュリティは、広範なセキュリティ認証と認定、データ暗号化、強力なデータセンターの物理的セキュリティによって、オンプレミスよりも優れていると認識されています。これらすべてにより、ビジネスのITインフラストラクチャをより安全に管理できます。


組織によってCloudに対する要件は異なり、それらは多くの場合、IT戦略、既存のインフラストラクチャ、セキュリティポリシーによって決定されます。 CintooはCloudオプションに関する柔軟性を提供しており、世界最大級のCloudサービスプロバイダーであるMicrosoft AzureとAmazon Web Services(AWS)の2社を利用しています。


本ドキュメントでは、お客様に最も安全なCloudサービスを提供するためにCintooが講じている各種オプションとサイバーセキュリティ対策全般について説明します。 追加情報は、秘密保持契約(NDA)への署名後に開示される場合があります。


目次


顧客メタデータ対顧客ファイル

Cintooは顧客データを2つの異なるタイプに分類します: 

  • 顧客メタデータは、ユーザー、メンバー、またはビューアーに関するすべてのデータです。 
  • 顧客ファイルは、顧客がアップロードしたデータ、およびCintooツールの使用時に顧客によって生成されるデータです。

顧客データのクラウドホスティングオプション

前書き: 

  • すべての顧客データは、Microsoft Azure、Amazon Web Services(AWS)、またはGoogleのデータセンター内の異なるデータセンターリージョンに保存されます。
  • 顧客ファイルは、オブジェクトストア(Microsoft Azure Blob、AWS S3、または互換性のある任意のストレージ)に保存されます。
  • 顧客メタデータは、現在Microsoft AzureでホストされているSQLデータベースに保存されます。
  • Cintooのオフィス内のローカルサーバーまたはリポジトリに顧客メタデータ顧客ファイルは存在しません。


定義: 

データセンターリージョンとは、低遅延・高帯域幅のネットワークで相互接続された1つ以上のデータセンターの集合で、通常は特定の市場または地理的範囲内にあり、一般的に2つ以上のリージョンを含むことで、データレジデンシーおよびコンプライアンス境界を維持します。 これにより、特定のデータレジデンシーおよびコンプライアンス要件を持つ組織は、データとアプリケーションを近接した場所に維持できます。


コンテンツデリバリネットワーク(CDN)は、特定のプロジェクトのホスティングオプションを選択する際に、有効/無効を切り替えることができます。 CDNは、プロキシサーバーとそのデータセンターからなる地理的に分散されたネットワークです。 CDNは、エンドユーザーに高い可用性と高性能を提供します。

  • CDNを使用する場合、データはCDNに一時的にキャッシュされ、世界中のどこにいてもエンドユーザーのストリーミング性能を向上させます。 データは最終アクセスから30日後にCDNから削除されます。
  • CDNを使用しない場合、データはプロキシサーバーへの配信を行わず、選択されたデータセンターリージョンに常に保持されます。


Cintooホスティングアーキテクチャ

 


ホスティングオプション

顧客メタデータは現在、以下でホストされている管理対象SQLデータベースに保存されています:

  • Central US(アイオワ州)。バックアップはEast US(バージニア州)。
  • または、West Europeリージョン(オランダ - アムステルダム)。バックアップはAzure North Europe(アイルランド - ダブリン)。
  • お客様は、最初のプロジェクト作成前に、これら2つのオプション(US / EU)のいずれかを選択するようCintooに依頼できます。


顧客ファイルは、プロジェクトの作成時に顧客のプロジェクトマネージャーが選択したホスティングオプションに応じて、次のクラウド「リージョン」のいずれかに保存されます。

  • If CDN is used, hosting is either in Europe (AWS Frankfurt) or in the US (AWS Ohio) depending on the customer location, with potential caching in any CDN point of presence.
  • CDNを使用しない場合、プロジェクトマネージャーは各プロジェクトごとに次のクラウドオプションを個別に選択できます:
    • AWS - アジア太平洋 (シドニー)
    • AWS - アジア太平洋 (ジャカルタ)
    • AWS - カナダ (中部)
    • AWS - ヨーロッパ (フランクフルト)
    • AWS - ヨーロッパ (ロンドン)
    • AWS - US East (N. Virginia)
    • AWS - 米国西部 (オレゴン)
    • Azure - オーストラリア東部 (シドニー)
    • Azure - ブラジル南部 (サンパウロ州)
    • Azure - カナダ中部 (トロント)
    • Azure - フランス中央 (パリ)
    • Azure - ノルウェー (オスロ / スタヴァンゲル)
    • Azure - 東南アジア (シンガポール)
    • Azure - スイス北部 (チューリッヒ)
    • Azure - UK南部 (ロンドン)
    • Azure - 西ヨーロッパ (オランダ)
    • Azure - 西米国 (ワシントン)
    • Google - 欧州北部 (フィンランド)
  • プロジェクトに本当に必要なリージョンがこのリストにない場合は、AzureおよびAWSが提案する他のリージョンの利用可否を確認するため、Cintooチーム(support@cintoo.com)までご連絡ください(追加料金が発生する場合があります): 
    • こちらをクリックして、現在の Azure データセンター地域の一覧をご覧ください。
    • 現在のAmazon Web Servicesデータセンターリージョンの一覧は、こちら をクリックしてください。
  • AzureおよびAWSの米国リージョンの一部は、FedRAMP(Federal Risk and Authorization Management Program)認証を取得しており、米国の連邦機関および政府機関を扱うプロジェクトで必要になる場合があります。 CintooのFedRAMPオプション
    • FedRAMPの詳細はこちら。 
    • Microsoft AzureにおけるFedRAMPの詳細はこちら。 
    • Amazon Web ServicesにおけるFedRAMPの詳細はこちら


サービスのスケーラビリティは、リアルタイムで厳密に監視されるエラスティッククラウドリソースの利用によって保証されています。 アプリケーションのパフォーマンスは継続的に監視・改善されており、ユーザー数、プロジェクト数、スキャン数などの観点でプラットフォームがスケーラブルであり続けるようにしています。


ハイブリッドクラウドオプション 

カスタマーファイルを組織のネットワーク内部に保存する必要がある組織向けには、ハイブリッドクラウドオプションが利用可能です。

  • すべての顧客ファイル は、AzureまたはAWSの組織専用のプライベートインスタンスに保存されたままで、Cintooはこのプライベートストレージからユーザーのブラウザへ直接データをストリーミングします。
  • その後、Cintooは顧客のクラウド環境内でCintoo Connectアプリケーションへのアクセスを提供し、ユーザーが直接顧客のクラウドで顧客ファイルにアクセスして共同作業を行えるようにします。
        

カスタマーメタデータは、Cintooアカウント作成時に管理者が行った選択に依存して、Central US (Iowa)または西ヨーロッパ地域のいずれかにホストされたままとなります。 バックアップは別の場所に保存されます。


ハイブリッドクラウドオプションの実装には追加料金がかかります。 


データ分離 

カスタマーメタデータに対して: 

  • Cintooはコミュニティプラットフォームであり、すでに他の顧客からまたは以前の職場からCintooアカウントを持っているユーザーにアクセスを提供する場合がある複数の顧客のデータを扱います。
  • 一般的なURL (aec.cintoo.com) 経由でCintooにアクセスするユーザーには、さまざまなアカウントや顧客間でユーザーを共有することを可能にするデフォルトTenantがあります。 


  • カスタムURL (company.cintoo.cloud) からCintooにアクセスするユーザーに対しては、顧客ごとに1つのTenantがあります: 



For Customer Files

  • 顧客ごとのデータの分離は、カスタマーファイルを特定のフォルダに保存することで保証され、各プロジェクトのオブジェクトストア (または特定のオブジェクトストア) に保存されます。
  • ハイブリッドクラウド ホスティングオプションが選択されると、カスタマーファイルは顧客自身によって保存および管理できます。 

アクセス管理と認証

Cintooプラットフォームのデフォルトの認証方式はログイン/パスワードであり、推奨される最善のセキュリティ対策とプラクティスが適用されています。 

ユーザーアクセス管理はCintooプラットフォームに組み込まれています。 これは、Account Admins という役割と役割と権限 機能を持つ顧客によって処理されます。 これらは、ユーザー向けにロールと権限を設定する管理者が適切な粒度で設定できるよう、カスタマイズ可能です。


これら5つのプリセットロールに加え、Account Adminsは、より細かな管理のためにカスタムロールを定義することもできます。


特定のプロジェクトに対するすべてのユーザー招待の監査トレイルが保持され、アプリケーション内で確認できます。 Account AdminsはCintooの管理 タブから使用レポートをエクスポートできます。これにより、全プロジェクトのすべてのユーザーに関する情報が、過去の週、月、または3ヶ月について日々提供されます。利用可能な情報は以下の通りです。


顧客データへのすべてのアクセスとログイン試行はログに記録されるため、不審なアクティビティを追跡、調査、監査できます。 ただし、適切なユーザーに適切なロール/権限を割り当てる責任は、Administrators およびco-Administratorsにあります。


Cintooの自社アプリケーションはすべて、Azure ADシングルサインオン(SSO)を使用して保護されており、すべてのユーザーに対してMFAが必須で有効化されています。 


顧客データにアクセスできるのは、顧客から明示的な承認を得た後のCintooのサポートエンジニアのみであり、かつ、プロダクションインシデントやバグ修正の調査に必要な場合に限られます。 そのようなアクセスはログに記録され、監査できます。


法人向けシングルサインオン (SSO) 

Cintooは、企業のセキュリティ要件を満たし、ユーザー管理を簡素化するために、企業のシングルサインオン(SSO)ソリューションと統合できます。 企業SSOの利点は、単に覚えるパスワードが1つであることを超えています。 It is about adopting company’s policy for user access, authentication, and password controls (e.g., password changes every 3 months, password configurations, no reuse of former passwords etc.). 

By implementing Corporate SSO, Cintoo Cloud becomes compliant to this policy by essence.


Cintoo supports OpenID Connect (OIDC) and SAML protocols, and is compatible with the following identity providers: 

  • Azure AD (推奨プロバイダー)
  • Microsoft ADFS
  • Okta / Okta MyID
  • Ping Federate 

Contact your Cintoo sales representative or sales@cintoo.com to subscribe to the SSO option for your Cintoo account. Extra fee will be required for this implementation.


Multi-factor Authentication (MFA)

For all Cintoo domains (including eu.cintoo.cloud and us.cintoo.cloud) all users passing by native login flow (outside SSO flow) are obliged to pass one-time password (OTP) verification by email.


SOC 2コンプライアンス

Cintooは、COSO、COBIT 5、およびISO 27001に基づく内部統制フレームワークを開発しており、毎年SOC 2タイプ2監査によって評価されています。 最新の監査結果は、秘密保持契約 (NDA) を締結することで顧客に提供可能です。

Cintooの情報システムセキュリティポリシー ("ISSP")、ITポリシー、運用手順、およびセキュリティ手順は、システムやデータがどのように保護されるかについての組織全体的なアプローチを定義しています。 これには、サービスの設計・開発方法、システムの運用・管理方法、従業員の採用・訓練方法に関する方針が含まれます。ISSPとその管理策は毎年見直され、最高レベルのセキュリティとコンプライアンスを維持します。



ISO 27001認証

CintooはISO 27001準拠認証を維持しています。 ISO 27001は情報セキュリティに関する国際標準であり、情報セキュリティ管理システム (ISMS) についての仕様を定めています。 Cintooは2024年からISO 27001認証を受けています。


ペネトレーションテスト 

日々の監視に加え、Cintooは外部の会社と協力して年2回の侵入テストを実施しています。 侵入テストレポートは、秘密保持契約 (NDA) を締結することで提供可能です。 


FedRAMP

Cintooは現在、FedRAMP認証を受けていません。 しかし、ホスティングオプションの一部はFedRAMP認証されたデータベース/ウェブサーバー部分を持ち、Cintooがその管理を継承することができます。


例:

デフォルトのプロジェクトホスティング (CDN)EU地域のために使用されているAWS GermanyはFedRAMP認証を受けていません

FedRAMP認可インフラ (データベース/ウェブサーバー) を持つためには、プロジェクトホスティングはAzureまたはAWS USのみにする必要があります。


GDPR

Cintooのクラウドプラットフォームに関連する顧客へのサービスやセキュリティの取り組みは、以下のドキュメントに記載され、Cintooを通じてオンラインでアクセス可能です。 

  • サービス利用規約
    • サービス利用規約はCintooおよび関連サービスへのアクセスと利用をCintooの顧客によって統制するものです。
    • すべてのCintooユーザーがアカウント作成時にこのようなサービス利用規約を受け入れる必要があります。
  • データ処理契約
    • データ処理契約はCintooとその顧客との間のサービス条項への追加事項です。 この契約は顧客データの処理と取り扱いに関する要件を文書化し、伝達します。これには、データセキュリティおよびインシデント対応の要件、ならびにEUの一般データ保護規則 (GDPR) の一部としての顧客の責任が含まれます。
    • データ処理契約は、Cintooアカウント作成時にAccount Adminが承諾する必要があります。

データの保持と削除

顧客メタデータについて: 

  • SQLデータベースに保存されている削除された顧客メタデータは、監査目的で3ヶ月間保持されます。
  • 顧客が削除を明示的に要求した場合、このデータはデータベースバックアップに30日間のみ保持されます。

顧客ファイルの場合: 

  • Cintooからプロジェクトが削除された場合(顧客によって明示的に削除された場合 またはサブスクリプション終了に伴う場合)、デフォルトのパブリッククラウドホスティングが使用されているときは、自動プロセスにより1か月後(または顧客から明示的に依頼があればそれより早く)に、オブジェクトストアからすべての顧客ファイル が削除されます。
  • ハイブリッドクラウド オプションが顧客により選択された場合、顧客ファイルの管理、削除を含め、顧客が責任を持ちます。

データのバックアップとリカバリー

Cintooは、正式に定められたバックアップおよびデータ復旧手順を維持しています。 顧客ファイル は、可用性ゾーンや地域に基づいて複数のデータセンターにリアルタイムで保存および複製されます。 さらに、顧客データは30日間のインクリメンタルバックアップ回復期間を持ち、これにより任意のクライアントが過去30日に行われた変更の完全性をいつでも回復できることを意味します。


災害復旧と事業継続

Cintooの全体的な災害復旧(DR)および事業継続(BC)戦略は、重要な社内ITをすべてクラウドにオフロードし、オフィスで災害が発生しても影響を最小限(または影響なし)に抑えることです。 すべての従業員があらゆる状況でサービスを運営し、監視することができます。 ビジネス継続性を保証するための注意深い知識管理が整っています。 DR/BC戦略の担当者は、組織内で明確に割り当てられています。


Cintooサービスに対する当社のDR計画は、可用性ゾーンやペアリージョンの使用によるAzureおよびAWSのすべてのストレージリソースの地理的レプリケーションに主に依存しています。 顧客メタデータ のSQLデータベースは、別のAzureリージョンでリアルタイムでレプリケートされ、地域アウトレージの場合に迅速な復旧を可能にします。 クラウドインフラストラクチャ全体のデプロイメントは、コードとしてのインフラストラクチャを使用して自動化されており、1時間以内にゼロから再作成できます。 Azureストレージアカウントの別のリージョンへのフェイルオーバーも約1時間かかります。


高可用性アーキテクチャが期待どおりに機能することを確認するために、DR計画は年1回テストされます。


SQLデータベースは別のクラウドリージョンにリアルタイムでバックアップされ、バックアップは過去30日間の任意の時点から復元できます。 復元テストは、DR計画のテストの一環として年1回実施されます。

リカバリータイムオブジェクティブ(RTO)およびリカバリーポイントオブジェクティブ(RPO)の詳細は、秘密保持契約(NDA)の締結後に提供されることがあります。 


サービスレベル目標 

Cintooサービスは、高い可用性アーキテクチャから得られ、インフラストラクチャのすべてのレベルでの冗長性および管理されたクラウドサービスの使用によって保証されています。


Cintooは、スケジュールされた保守を除いて、1か月に99.5%の可用性(SLA)で、1日24時間、1年365日サービスを提供します。 Cintooは顧客にメンテナンススケジュールを提供し、予定外のメンテナンスがある場合は事前に通知します。 


暗号化 

AzureストレージおよびAWSに保存されているすべてのデータは、AES 256で静止状態で暗号化されます。 暗号鍵はAzureおよびAWSによって管理され、暗号化されたデータとは別に保存されます: 

適切な鍵管理の証拠は、AzureおよびAWSのSOC 2レポートに見つけることができます。 


すべてのネットワーク転送はTLS 1.2+で保護されています。 パブリッククラウド内のデータは、TLS 1.2+を使用して移動時に暗号化されます。 


ソフトウェア開発

Cintooは、OWASPの安全なコーディングに関する推奨事項およびベストプラクティスをすべて遵守しています。


これらのベストプラクティスは、新しいコードを開発環境に昇進させる前に必須のシステマティックなコードレビューによって保証されています。


技術的な脆弱性は、コードレビュー、自動化されたQAテスト、手動ペネトレーションテストによって定期的に評価されます。 すべての脆弱性は追跡され、最優先で対処されます。


すべての従業員のワークステーションにはアンチウイルスソフトウェアが導入され、OSの最新セキュリティパッチが適用されるよう更新されています。 この手順は、ログ分析や異常なイベント検出を確実にし、外部攻撃者に対する保護の確保に寄与するために設けられています。


外部からCintooの内部ネットワークへアクセスできる手段は、デフォルト拒否ポリシーで設定されたVPNおよびセキュリティシステム(ファイアウォール)を介するものに限られます。

この記事は役に立ちましたか?

それは素晴らしい!

フィードバックありがとうございます

お役に立てず申し訳ございません!

フィードバックありがとうございます

この記事に改善できることがあれば教えてください。

少なくとも一つの理由を選択してください
CAPTCHA認証が必要です。

フィードバックを送信しました

記事の改善におけるご協力ありがとうございます。