セキュリティ施策

パスワードポリシー

パスワードポリシーをご参照ください。

多要素認証

FutureVulsログイン時にTOTP(Time-based One-time Password)ベースの二要素認証を設定可能です。 また、管理画面からユーザの多要素認証の設定有無を確認できます。

不正ログインをユーザに通知し対応可能

通常とは異なるログイン を検知した時、登録されたメールアドレスに通知が送られるようになりました。 記載されたログイン情報に心当たりがない場合は、第三者にパスワードが漏洩している可能性があります。 パスワードの変更や、2要素認証を設定してください。

image

本機能は Amazon Cognitoアドバンスドセキュリティによるものです。

ポータルを使うことでユーザの環境を学んでいく想定ですが、いっこうに学ばないようでしたらお問い合わせください。

メールアドレスが無効になったユーザを利用不可に

FutureVulsからのメールが届かなくなったユーザの、ポータル画面へのアクセスが制限されます。 たとえば、退社したユーザをグループから削除し忘れた ことによる、意図しないユーザの継続利用を防ぐことができます。

image

FutureVulsから送付されたメールがバウンス状態になった時点で制限がかかり、プロフィール画面のみ参照可能になります。 無効になったアカウントを復旧したい場合は、登録されたアドレスが有効であることを確認の上、ログインしプロフィール画面から再度認証してください。 メールアドレスに対して認証コードが送付されます。認証コードをメール受信可能な場合のみ、FutureVulsアカウントを復旧可能です。

image

IPアドレス制限

IPアドレスを指定してFutureVulsにアクセス可能なIPアドレスを制限可能です。

セキュリティ認証

以下を参照ください。 https://www.future.co.jp/architect/privacy_policy/

データが外国に送信されますか

2020年1月時点ではデータが日本以外に送信されることはありません。

クラウドサービス運用面

  • AWSの認証情報マネージドサービスのセキュリティ機能を有効にしています。
  • AWSの脅威検知の仕組みを導入しております。
  • CIにソースコード静的解析型のセキュリティチェックを組み込んでいます。
  • 定期的に脆弱性診断を実施しています。

クラウドサービスにアップロードされる情報の保護

  • アップロードされる情報は暗号化(経路、ストレージともに)しています
  • 永続的なアクセスキーは用いずに、アップロード時に有効期限のある一時的なキーを取得しています
  • オーガニゼーション/グループ単位でアップロード先のアクセス権限制御をしています
  • アップロードのみ可能な権限に絞っています。(アップロード先に対するグローバルな参照権限はありません)

パスワードリスト攻撃対策

パスワード試行回数が一定回数を超えた際に一定期間、アカウントロックされます。

監査ログ

CSIRTプランでは、オーガニゼーションに所属しているユーザの操作履歴を表示、CSVダウンロードが可能です。