セキュリティ

Kurocoではクラウドネイティブに構築されておりセキュリティに配慮した設計となっております。

API

• 完全に暗号化されたHTTPS通信
• TLS証明書
• 独自ドメイン設定
• WAF
• CDN
• DDoS対策
• 固定トークン・ダイナミックトークン・Cookieを利用したアクセス制御
• CORSの柔軟な設定
• ユーザーのグループ設定による細かな権限の制御
• IPアドレス制限
• アクセスログ（監査ログ）
• アプリケーションログ
• SAML/OAuthによる外部ログイン連携

管理画面

• 完全に暗号化されたHTTPS通信
• TLS証明書
• WAF
• DDoS対策
• ID/PWDによるアクセス制限
• ユーザーのグループ設定による細かな権限の制御
• IPアドレス制限
• 暗号化されたトークンの保存機能
• アクセスログ（監査ログ）
• アプリケーションログ
• SMSや認証アプリによる2要素認証の設定
• SAML/OAuthによる外部ログイン連携

KurocoFront

• 完全に暗号化されたHTTPS通信
• TLS証明書
• 独自ドメイン設定
• CDN
• DDoS対策
• Basic認証
• IPアドレス制限
• アクセスログ

KurocoFiles

• 完全に暗号化されたHTTPS通信
• TLS証明書
• CDN
• DDoS対策
• ユーザーのグループ設定による細かな権限の制御
• IPアドレス制限
• アクセスログ

※KurocoFilesの他にGoogle Cloud StorageやAmazon S3を利用したユーザー認証ベースのファイルのアクセス制限などが可能です。

データセンタ

利用開始時にどのデータセンタを利用するか選択できます。

• Google Cloud Platform 東京リージョン
• Google Cloud Platform EUリージョン
• Google Cloud Platform USリージョン

運営会社(株式会社ディバータ)

• ISMS (ISO/IEC27001:2013/JISQ27001:2014)　登録番号IA21261　登録証
• ISMSクラウド (ISO/IEC27017:2015/JISQ27017:2016)　登録番号S0912　登録証
• プライバシーマーク　登録番号第21000371号　[登録証])(https://www.diverta.co.jp/files/user/pmark-21000371.pdf)

脆弱性診断

• 毎回のコンテナ更新時にコンテナに対する脆弱性スキャンの実施（ほぼ毎日実施）
• VADDYを利用した脆弱性診断を実施（代表サイトの標準APIのみ）
• VADDYとの自動連携によるお客様サイトでのカスタマイズされたAPIの脆弱性診断が可能（※管理画面よりお申し込みいただくと自動連携機能が利用可能です）
• 個別の脆弱性診断での指摘事項で重要かつKuroco由来のものへの無償対応

チェックリスト

Kurocoのサービスについて下記のセキュリティチェックシートの用意があり提供可能です。提供を希望する場合はサポートからお問い合わせください。

• 独立行政法人情報処理推進機構(IPA)監修「セキュリティ実装チェックリスト」
• 経済産業省(METI)発刊「SaaS向けSLAガイドライン別表(Kuroco版)」

セキュリティ評価プラットフォーム

• セキュリティ評価プラットフォーム「Assured」「Kuroco」のセキュリティ評価をリクエスト
  • セキュリティ評価 93.6 / 100 ※スコア目安:90点〜: 上位20%程度。開発系サービスとしては高い水準のセキュリティ対策ができています。
  • セキュリティ評価のスコアはどのように算出されますか

資料

• インフラに関するドキュメント
• SLA

関連FAQ

• 脆弱性診断・検査に関して教えてください
• 脆弱性検査のエビデンスを提供してもらうことはできますか？
• 脆弱性診断で指摘を受けたのでどうすればいいか教えてください
• セキュリティチェックシートへの記入をお願いできますか？