セキュリティ

Decider®はサービス技術のあらゆるレイヤに対してセキュリティ技術に注意を払っています。
上場企業のお客さまにも導入実績があり、法人導入に求められるセキュリティチェックのための主なマネジメント方針や設計を本ページにて公開します。

Decider®は幅広いWebブラウザから利用できるSaaSとして提供するため、次のようなブラウザセッションに関するベースライン技術の設計原則を定めています。

• セッション管理: バックエンドTTL制御によるセッション期間のハードリミット
• 認証Cookie: セッション識別のみに利用され、Secure, SameSite=Lax, HttpOnlyを指定
• 通信保護: HTTPS/TLSによる保護された通信に限定。TLSv1.2以上をサポート

• クラウドインフラにはGoogle Cloud Platformを採用
• kubernetesを用いて徹底的にコンテナ化されたサービス
• Rust言語ベースの堅牢なアプリケーション基盤

Decider®は、データセンターインフラストラクチャとしてGoogle Cloud Platformを採用し、クラウドベースの各種IaaS技術を活用しています。
高機能ネットワークの堅牢性、自動化されたハード運用、OSレイヤのセキュリティ、GDPR（EU一般データ保護規則）と整合するロケーション選択肢、といった要素が顧客への堅牢なサービス提供を足回りで支えていると評価しています。

また、アプリケーション・ミドルウェア層のコンポーネントは、開発フェーズから一貫してkubernetesコンテナ群として実装しています。 依存ソフトウェアなどに新たな脆弱性が発見された場合に、局所的な更新を可能とします。大多数のシナリオではサービス無停止でアップグレードを継続的に実施しています。また各コンテナの依存は最小限であり、脆弱性が必ずしも攻撃者からアクセスできるコンポーネントではないこともベアメタル構成との決定的な違いです。

そして、アプリケーションは多くのアクセスを高速に処理することと同時に、メモリ安全や入力型の厳密さといった攻撃耐性を獲得するためRust言語で書かれています。 ガベージコレクションによる性能低下がないことも継続性に貢献しています。

Decider®のデータ保護はIaaSの機能をフル活用し、人手を介することなくすべて自動化されたプロセスで暗号化・バックアップ・転送が行なわれています。

• 物理ディスクの機密保護: 全ライフサイクルにわたるフルディスク暗号化
• データ消失対策: 物理ボリュームベースの定期自動バックアップ
• 対ランサムウェア: 独立性の高いバックアップ方式による実装（詳細は非公開です）
• BCP・災害対策: 再セットアップのための別リージョン保持

天災や火災による建物喪失などのBCPシナリオの場合、復旧可能な時点は最後に利用可能なバックアップ時点に依存します。そのため、バックアップ取得後の受検データや設定変更などは復旧対象に含まれない場合があります。

また、リストアはデータベース機能によるスナップショット整合性を用いて復旧します。テスト運用にて短時間のうちに新たなデータベースコンテナを構築できることを確認していますが、トータルの復旧時間は障害の内容・範囲、クラウド基盤の状況、運用状況により異なります。

Decider®は、認証技術の進化にシームレスにキャッチアップするよう努めています。方式の限定によりセキュアなアクセスを確保でき、非互換デバイスを利用する受検者には代替手段を提供しています。

• ベストな方式の追求: Passkeyをはじめとするセキュアな方式をサポート
• アクセス制御: ビジネス機能へのアクセス権は任意のタイミングで追加・削除可能
• MFAによる重要操作保護: 決済など一部の操作は多要素認証・追加認証を要求

認証方式は、スマートデバイスのPasskeyとGoogleアカウントのOpenID連携を主にサポートしています。 これらの方式はクレデンシャルをDecider®に登録せず、デザイン上セキュアと言えます。

サインアップ時にデバイスがPasskey登録を拒否するケースでは、パスワード方式にフォールバックします。 既存ユーザーを含めてパスワードでサインアップした場合にも、後からPasskeyを追加できます。
パスワードのセキュリティはユーザー自身が制御する必要がありますが、Passkeyを常用しパスワードは複雑な文字列に変更する運用をサポートしています。

各ユーザーがアカウントを登録し、ビジネス向けの機能には管理者がアクセス権限を追加・削除できます。 異動・退職・担当変更などのイベントに応じて必要な権限を随時指定できます。

また、決済登録・変更など管理者権限を必要とする重要な操作の際には多要素認証(MFA)や追加認証を要求します。 スマートデバイスのPasskey認証は単体で有効なMFA手段として取り扱い、それ以外の認証セッションではメールによるパスコード確認プロセスを追加します。

コード化・テストスイート・自動化の組み合わせにより、開発〜デプロイ過程の異常検出と品質維持のプロセスを整備しています。

• CIパイプライン: ビルドプロセスにおけるテストスイートの自動実行
• 実環境指向の品質確保: productionバイナリセットを用いたテスト
• サプライチェーンリスク管理: ロックファイルによる依存ソフトウェア制御
• 自動ビルド: ビルドプロセスもコンテナ化による均質なインフラを持つ
• ロールバックの確保: コンテナイメージの世代保持による緊急避難の選択肢
• Infrastructure as Code: 仮想マシン層も含めた変更追跡を実装

コードの品質管理についてはテストスイートが主な役割を担っており、ロールアウトの各プロセスで自動実行することでデグレードを検知・予防しています。 コンテナ技術の活用により、実際にサービス提供するproductionコンテナや最終ビルドのJavascriptコードをセットアップして実ブラウザ上でE2Eテストするプロセスも持っています。モックなどのテスト環境のみで成立する確認にとどまらず、実運用に近い条件で動作確認を継続実施しています。

依存コンポーネントの変更についても新バージョンのクラスタを再現し、将来のproductionの挙動をテストしたうえでロールアウトしています。この場合の依存定義はパッケージマネージャのロックファイルにより固定し、意図しない依存関係の変化を抑止しています。

脆弱性情報などの情報収集につとめ、関連ソフトウェアが一定の鮮度を維持するように継続的なコンポーネント更新も運用しています。

これらのロールアウトはコンテナイメージ単位で追跡され、設定上可能な範囲では新コンテナをサービスインできてからリプレースするような安全機構も働いています。直前の旧世代イメージはいざというときのロールバック手段ともなり、想定外の停止にも一定の運用オプションを保持しています。 また、イメージはprovenanceメタデータを保持しており、ビルドプロセスに関する実行環境の来歴をトレースできます。

サービスの稼動品質維持のため、独自のツールチェインを整備しています。

• ヘルスチェック: 定期的な死活監視にもとづく通知と対処
• 障害・インシデント分析: OpenTelemetryベースの総合監視
• プライバシー重視のアクセス解析: cookieを用いない簡素なカウント

SaaSの異常検知は、HTTPステータスコードなどのメトリクス監視により効果的に検知できます。外形的なヘルスチェックへのレスポンスをもとに、必要に応じて技術的な対策を実施します。

有事に実効性のある対処を行なえるよう、OpenTelemetryにもとづくトレース・メトリクス・ログを一元監視するプラットフォームを独自に整備しています。 エラーに関わるアプリケーショントレースを追跡可能とし、インシデント分析の迅速化を追求しています。

既述のとおりプロセスの多くを自動化しており、production環境へのアクセスはごく限られた管理者に限定しています。障害対応や保守などサービス提供上必要な場合に限って管理者アクセスを使用しています。

Decider®の監視は稼動品質に関わる分野にフォーカスし、クライアントサイドのアクセス解析には行動トラッキング機能を持たない簡素なツールを採用しています。