最終更新日 2017.5.20
弁護士業務をサポートする以上、情報セキュリティは当社の生命線です。お客様の情報は万全の形で保護されます。
はじめに
firmeeはクラウドを利用した管理サービスです。クラウドアプリのセキュリティリスクは大きく以下の4つです。
- プラットフォームに起因するリスク
- サーバに起因するリスク
- アプリケーションに起因するリスク
- ユーザ側に起因するリスク
当社はこの全てにおいて万全の体制を構築しています。
最強のプラットフォーム
一般にクラウドサービスは特定のプラットフォーム上で作動します。
firmeeはHeroku. Inc.(以下「Heroku社」といいます)が提供するプラットフォームを利用しています。
Heroku社のプラットフォームは、世界に25000人の従業員を抱え売り上げ8000億を誇る世界最大手の企業向けクラウドサービス、 Salesforceも利用しています。
Heroku社のセキュリティポリシーには、「Heroku社のプラットフォームを利用することで、 ユーザー各社はアプリケーションの開発や企業戦略に特化することができる。 そのためにHeroku社は、プラットフォームの運営、規模の調整、そしてセキュリティに注力する。」とあります。 事実、Heroku社は以下のようなセキュリティ体制を構築しており、その安全度は世界トップレベルです。
まず、ユーザー各社に独立したプラットフォーム環境を提供しており、相互に干渉することはありません。 アプリケーションごとに別々のデータベースに保存され、それぞれ厳重にアクセス管理されています。 アクセスはもちろんSSL(Secure Sockets Layer)/TLS(Transport Layer Security)により暗号化されます。 システムへのアクセス権者も限定されており、またいわゆる総当たり攻撃(brute force)を防ぐため パスワード認証ではなくキー認証(公開鍵と秘密鍵を組み合わせて初めてアクセスできる方式)を採用しています。
脆弱性を発見、対策するために幾重にも及ぶ検証作業を設けており、プラットフォームの公開にあたっては、侵入テスト、 脆弱性審査、コードチェックなどを繰り返した上、第三者の検証機関による検査を要件としています。 公開後も定期的な第三者検証を実施しています。
自動バックアップシステムを採用しており、過去のログも含めてデータは定期的に保存されています。 プラットフォームの運営は複数のサーバに分散して実施されており、 不測の事態が生じた場合にも数秒以内にバックアップを呼び出し自動でアプリケーションが復元されます。
当然のことながら、Heroku社にとってユーザーの情報はすべてのユーザのものであり、ソースコード、 入力情報は自由に廃棄、変更、出力が可能です。Heroku社の従業員は、当社からの要請がない限り、 firmeeの情報にアクセスすることはありません。 従業員の採用時には厳重なセキュリティチェックを行っています。またセキュリティチームが頻繁に研修を実施しています。
誤解されがちですが、クラウドアプリケーションのセキュリティはインストール型のアプリケーションよりも一般に強固です。インストール型のアプリケーションであっても、利用するコンピュータがスタンドアロンでなければ、実はクラウドと同じようにインターネットに接続されています。アプリケーションに脆弱性が見つかれば、ネットを介して容易にソフトウェア情報にアクセスすることが可能です。コンピュータの世界に国境はなく、日本国内に限られたウィルスや脆弱性を検証するだけでは足りません。ユーザー数が少なければ脆弱性のチェックに費やすことのできる労力も限られます。本当にセキュリティを実現するためにはスタンドアロン型端末のみを利用しなければなりませんが、現実的ではありません。
Heroku社では、早期に、確実に脆弱性が発見され、検証され、対策されます。新たな脆弱性の発見を促すために報酬制度も設けており、そのスピード感はまさに桁違いです。世界規模で展開しているため、あらゆる種類の脆弱性に対応しています。
スタンドアロン端末だけで弁護士業務を行うことは、極めて不便です。他のクラウドサービスとの統合もできません。便利さの観点からも、セキュリティの観点からも、クラウドアプリケーションは圧倒的に優れているのです。
最強のサーバ
Heroku社は、Amazon社が提供するAmazon Web Services(以下「AWS」といいます)のサーバーを利用しています。AWSのデータセンターは以下のすべての認証を受けています。
- ISO27001
- SOC 1 and SOC 2、SSAE 16、ISAE 3402
- PCI DSS Level 1
- FISMA Moderate など
ISO27001は情報管理の国際認証規格で、法律、施設、テクノロジーの各観点から万全な情報セキュリティ管理を実施する組織のみに与えられる認証です。SOCは、サーバ管理を委託する企業として適切な内部統制を構築していることを監査法人や公認会計士が認証するものです。PCIはクレジットカード情報を取り扱う企業としての認証、FISMA Moderateはアメリカ政府の情報を安全に取り扱うことのお墨付きです。このように、AWSは世界中の主要なセキュリティ認証を受けています。
AWSのサーバ施設は原則として非公開で、目立たない建物にひっそりと設けられています。他方、その内部では軍施設や国境警備と同等のセキュリティ管理が実施されています。施設内のみならず、敷地内に入る際にも厳格な入場制限が課せられ、電子機器をはじめとする工業品は原則持ち込み禁止とされています。スタッフであっても建物内でアクセスできる部屋は必要な範囲に限られており、入室の都度、認証が求められます。サーバやコンピュータへの電子的なアクセスにも厳格な認証が求められ、そのすべてのログが記録され、事後的な監査を受けています。
火災などの災害に対する備えも万全です。自動検知機能、防火扉、スプリンクラーなど最先端の機能がすべての部屋に設けられています。電源も何重にも確保されており、バックアップも万全です。
サーバは世界中の施設で分散管理されており、一部に不測の事態が生じても即座に相互に補完しあい、対応されます。
このように、想定されうるあらゆるリスクに対し、実現可能な最高レベルのセキュリティが実現されています。インストール型のアプリケーションは一般に事務所内のサーバにされますが、軍と同程度のセキュリティを実現することはまずありえません。サーバや管理する施設に不測の事態が生じればそれまでです。アプリケーションの販売先企業においてバックアップが取られている場合もありますが、その企業がAWSと同等のセキュリティを確保していることはほとんどありません。
サーバのセキュリティという観点からも、実はクラウド型のほうが安全なのです。
安心の運営体制
当社の運営は大きく開発チーム(責任者:小川晴昭)と経営チーム(責任者:井桁大介)に分かれています。 お客様の情報に直接アクセスできるのは開発チームだけです。 経営チームのメンバーは、弁護士資格を有する者を含め、お客様の情報に直接アクセスすることはありません。
開発チームのメンバーに対しては、経営チームが厳格なセキュリティチェックを施します。 経歴の確認を始め、その人物に対する全人格的な審査を経なければ、アクセス権限を与えることはありません。
firmeeの運営に際しては、ファイヤーウォール、不正侵入対策、SSLなどの確立されたセキュリティ技術を用いて、 常に最先端の情報保護をはかるとともに、その取扱いに細心の注意を払っています。 アプリケーションの脆弱性審査、侵入テスト、パッチテスト等も定期的に実施しております。
なお、開発チームのメンバーがお客様の情報にアクセスするのは以下の場合に限られます(詳しくはプライバシーポリシーをご確認ください。)
- 本サービスの提供及び管理
- 本サービス使用料の入出金管理
- 本サービス全体の利用状況又は利用傾向の分析、確認
- お客様個人の利用状況又は利用傾向の分析、レポートの提供
- 当社のサービスその他お客様にとって有用と思われるイベントの案内
- お客様からの問い合わせや質問への対応
- 不具合、バグ等の探知、処理
- 当社のサービスの改善、開発
- アンケートの実施
- 割引の案内等キャンペーンの実施
なりすましを防ぐために:Google/Microsoft認証、通知メール、確認作業
firmeeのログインはGoogle/Microsoft認証を採用しています。したがってGoogle/Microsoftアカウントのパスワードが漏えいしない限り、firmeeのログインも破られません。
Google/Microsoft認証と同様、初めてのデバイスからfirmeeにログインをした場合は、登録アドレスに通知メールを送信いたします。 また、新たに秘書アカウントを登録する際には、勘違い、なりすましなどを検知するため、 登録された秘書用メールアドレスに通知メールを送り確認作業を求めつつ、 秘書アカウントで確認ボタンが押された際には常に弁護士アカウントにも通知メールを送信いたします。
セキュリティ上の懸念が発生した場合には、登録情報のみならず、ひまわりサーチなどに登録された番号と照合したうえで 事務所に直接電話し、登録弁護士ご本人に確認いたします。悪用が疑われる場合など、 緊急時には事前の告知なくアカウントを停止する場合もございます。
ユーザーの皆様へのお願い
セキュリティに100%はありません。万が一のリスクを補てんするために以下の2点をお願いいたします。
-
- Google/Microsoftの2段階認証の設定
2段階認証を設定するとログインするためにはパスワードのほかに携帯電話等を利用した認証手続が必要となります。これにより万が一パスワードが漏えいした場合にも、それだけでアカウントにログインされることはありません。
-
- 弁護士保険への加入
弁護士保険に加入することで、firmeeを含む様々なサービスの利用に起因する情報漏えい事故に伴う損害が補てんされます。当社は、ログインID又はパスワードの漏えいに伴う悪用、違法な傍受、通信妨害、不慮の回線の切断等による損害について免責されますので何卒ご了承ください。詳細は利用規約をご覧ください。
その他
本セキュリティポリシーは改訂することがございます。都度、ウェブサイトまたはサービス内のお知らせ機能により皆様にお知らせいたします。
本セキュリティポリシーに関し、ご意見、苦情、ご質問がある方は以下のメールアドレスまでお問い合わせください。
2017年5月20日 制定・施行
2018年7月3日 改訂