セキュリティ
Kurocoではクラウドネイティブに構築されておりセキュリティに配慮した設計となっております。
API
- 完全に暗号化されたHTTPS通信
- TLS証明書
- 独自ドメイン設定
- WAF
- CDN
- DDos対策
- 固定トークン・ダイナミックトークン・Cookieを利用したアクセス制御
- CORSの柔軟な設定
- ユーザーのグループ設定による細かな権限の制御
- IPアドレス制限
- アクセスログ(監査ログ)
- アプリケーションログ
- SAML/OAuthによる外部ログイン連携
管理画面
- 完全に暗号化されたHTTPS通信
- TLS証明書
- WAF
- DDos対策
- ID/PWDによるアクセス制限
- ユーザーのグループ設定による細かな権限の制御
- IPアドレス制限
- 暗号化されたトークンの保存機能
- アクセスログ(監査ログ)
- アプリケーションログ
- SMS, OTPによる2段階認証の設定(実装予定)
- SAML/OAuthによる外部ログイン連携
KurocoFront
- 完全に暗号化されたHTTPS通信
- TLS証明書
- 独自ドメイン設定
- CDN
- DDos対策
- Basic認証
- IPアドレス制限
- アクセスログ
KurocoFiles
- 完全に暗号化されたHTTPS通信
- TLS証明書
- CDN
- DDos対策
- ユーザーのグループ設定による細かな権限の制御
- IPアドレス制限
- アクセスログ
※KurocoFilesの他にGoogle Cloud StorageやAmazon S3を利用したユーザー認証ベースのファイルのアクセス制限などが可能です。
脆弱性診断
- 毎回のコンテナ更新時にコンテナに対する脆弱性スキャンの実施(ほぼ毎日実施)
- VADDYを利用した脆弱性診断を実施(代表サイトの標準APIのみ)
- VADDYとの自動連携によるお客様サイトでのカスタマイズされたAPIの脆弱性診断が可能(※管理画面よりお申し込みいただくと自動連携機能が利用可能です)
- 個別の脆弱性診断での指摘事項で重要かつKuroco由来のものへの無償対応
データセンタ
利用開始時にどのデータセンタを利用するか選択できます。
- Google Cloud Platform 東京リージョン
- Google Cloud Platform EUリージョン
- Google Cloud Platform USリージョン
運営会社(株式会社ディバータ)
- ISMS/ISO 27001取得済み
- Pマーク取得済み
チェックリスト
Kurocoのサービスについて下記のセキュリティチェックシートの用意があり提供可能です。提供を希望する場合はサポートからお問い合わせください。
- 独立行政法人情報処理推進機構(IPA)監修「セキュリティ実装チェックリスト」
- 経済産業省(METI)発刊「SaaS向けSLAガイドライン別表(Kuroco版)」