PractiTestのセキュリティについて
テスト管理ツールのPractiTestは厳格なセキュリティ対策と国際基準に基づいたコンプライアンス体制が整っています。今回はその詳細なセキュリティ層と認証についてご紹介します!
PractiTestについて
PractiTestはテスト管理ツール市場において最先端の機能を備えたSaaS型のQA管理システムです。
PractiTestを使えば、テスト実行者やテストマネージャーは、無駄なタスクに煩わされることなく、品質と実際の作業に集中できます。
PractiTestのセキュリティについて
PractiTestは、情報のセキュリティ、プライバシー、信頼性を重視しています。
プラットフォームは、管理者に許可された人だけが情報にアクセス可能。業界の関連アプリや有名なサービス(例:SOCのE&Y、AWSなど)と連携し、システムのセキュリティや可用性をアップさせ、世界中どこからでもアクセスできる仕様となっています。
PractiTestはSaaSのみのプラットフォームとして設計され、セキュリティを最優先に開発されているのです。
またユーザー数の増加に伴い、システムをさらに安全にするためセキュリティの層を追加しています。現在のセキュリティ対策の一部は以下に記載しています。
完全なSOC-IIタイプ2レポートについてはお問い合わせください。
セキュリティ層
PractiTestのセキュリティは5段階の層に分かれており、徹底的に保護されています。
第1層 物理的セキュリティとアクセス
PractiTestは、AWSの米国およびEUデータセンターでホスティングされています。
これらのデータセンターへの物理的なアクセスは、承認された従業員および第三者に限定されています。
アクセスは最小特権の原則に基づいており、必要最低限の権限のみが与えられ、アクセス期間も制限されています。詳細については、AWSデータセンターをご覧ください。
第2層 インフラストラクチャサービス
VPC(仮想プライベートクラウド)
Amazon VPCを使用して、仮想ネットワーク内でAWSリソースを展開しています。
これにより、従来のデータセンターに似た仮想ネットワーク環境で、完全な制御が可能です。また、セキュリティグループを利用して、リソース間のネットワークアクセスを管理しています。
セキュリティグループ
セキュリティグループは、関連するAmazon EC2インスタンスのファイアウォールとして機能し、インスタンスレベルでの入出力トラフィックを制御します。
それぞれのセキュリティグループには、インスタンスへのインバウンドトラフィックとアウトバウンドトラフィックを制御するためのルールが設定されています。
RDS(リレーショナルデータベースサービス)
Amazon RDSを使用して、リレーショナルデータベースのセットアップ、運用、スケーリングを行っています。
RDSは、ハードウェアのプロビジョニング、データベースのセットアップ、パッチ適用、バックアップなどの管理作業を自動化し、PractiTestアプリケーションに集中できるようにします。
RDSのセキュリティベストプラクティスとして、暗号化やネットワーク隔離(VPC内)を実施しています。
また、すべてのプロダクション環境データベースは、複数の可用性ゾーンに配置され、高い耐久性と可用性を提供しています。
AWS Identity & Access Management(IAM)
IAMを使用して、AWSサービスおよびリソースへのユーザーアクセスを管理し、常に安全なアクセスを確保しています。
最小特権の原則(PoLP)
最小特権の原則に基づき、ユーザーには必要最低限の権限のみを付与します。
これにより、アプリケーション、システム、プロセス、およびデバイスへのアクセス権が、許可された活動を行うための最小範囲に限定されます。
多要素認証(MFA)
MFAは、ログイン前にユーザーの身元を確認するため複数の証拠を要求する認証方法です。
PractiTestでは、AWSコンソールへのログインにMFAを使用しています。
AWS Certificate Manager
AWS Certificate Managerを使用して、SSL/TLS証明書のプロビジョニング、管理、デプロイを行っています。
SSL/TLS証明書は、ネットワーク通信を保護し、インターネット上のウェブサイトやプライベートネットワーク上のリソースの身元を確立するために使用されます。
AWS CloudTrail
AWS CloudTrailは、ガバナンス、コンプライアンス、運用監査、およびリスク監査を実現するサービスです。
CloudTrailにより、AWSインフラ全体のアカウント活動を継続的に監視し、保持します。
PractiTestのAWSアカウント活動のイベント履歴を提供し、AWS Management Console、AWS SDK、コマンドラインツール、および他のAWSサービスを通じて行われたアクションを追跡します。
監視
複数の監視サービスやオープンソースユーティリティを使用して、アラーム、メトリクス、データ、および実行可能なインサイトを取得しています。以下はその一部です。
AWS WAF(Web Application Firewall)
AWS WAFは、一般的なウェブの脆弱性からウェブアプリケーションを保護するウェブアプリケーションファイアウォールです。
AWS WAFは、カスタマイズ可能なウェブセキュリティルールを定義することで、ウェブアプリケーションへのアクセスを許可またはブロックする制御を提供します。
第3層 アプリケーションセキュリティ
SSLによる通信(転送中の暗号化)
PractiTestのすべての通信は暗号化チャネルを通じて行われます。
Webアプリケーション、API、管理ツール、プラグインなど、すべての製品はhttpsを使用してアクセスされます。DevOpsとデータセンター間の通信はsshを使用し、プライベートキーのみで行われます。
AWSコンソールは、最小特権の原則に基づき、関連する人のみが多要素認証(MFA)を用いてアクセスします。
暗号化されたデータベース(保存時の暗号化)
Amazon RDSは、クラウド内でリレーショナルデータベースのセットアップ、運用、スケーリングを行うサービスです。
RDS暗号化が有効なデータベースインスタンスでは、保存されているデータ、バックアップ、リードレプリカ、スナップショットがすべて暗号化されます。
パスワードはサーバーやログに保存されません
ログへの書き込みからユーザーパスワードやAPIトークンなどのパラメータをフィルタリングします。
RBAC – ロールベースアクセス制御
RBACは、企業内の個々のユーザーの役割に基づいてアクセスを制限する方法です。
RBACにより、従業員は業務に必要な情報へのアクセス権のみを持ち、それ以外の情報へのアクセスを防ぎます。
監査証跡とログ
監査証跡(または監査ログ)は、特定の操作、手順、またはイベントに影響を与えた一連の活動の記録です。
これは、更新やパッチ適用などの定期的な活動時や、システムコンポーネントの障害や誤設定を確認する際に重要です。
24/7モニタリング – 内部および外部
世界中の複数の場所からサービスの可用性を監視しています。
サービス障害時にはアラートが設定されており、重大なエラー時にはDevOpsチームが自動的にSMS、メール、電話を受け取ります。
ユーザーに完全な透明性を提供するために、サービスの各インシデントをログに記録しており、全履歴はPractiTestのサービスステータスログにて公開しています。
第4層 検証
PractiTestはSaaSのみのプラットフォームであり、E&Yにより検証されたプロセスを導入して人的ミスを回避しています。
ペネトレーションテスト
一流のサイバーセキュリティコンサルティング会社が年に1回以上、OWASPテストガイドに基づいてサーバーネットワークのペネトレーションテストを実施しています。
コードレビュー
すべての問題や修正は、シニアデベロッパーによる実際のコードレビューと自動テストを経て、別途プルリクエストで処理されます。
Amazon GuardDuty
機械学習と異常検知を使用して、AWSアカウントとワークロードを保護する脅威検出サービスです。
静的解析
Brakeman脆弱性スキャナーを使用して、開発中にセキュリティ問題を検出します。
動的解析 – OWASP ZAP
開発とテスト中にセキュリティ脆弱性を検出するために使用されます。
Amazon Inspector
PractiTestアプリケーションのセキュリティとコンプライアンスを改善するための自動セキュリティ評価サービスです。
第5層 厳格な手順
アクセス制限
最小特権の原則に従い、DevOpsユーザーのみが仕事のためにPractiTestサーバーにアクセスできます。
バックアップ
データのバックアップと保守は重要であり、業界のベストプラクティスに従って定期的にデータをバックアップします。
災害復旧計画
PractiTestは、重要なサービスを提供し続けるために、AWSプラットフォームを活用した災害復旧計画(DRP)を策定しています。DRPは毎年テストされます。
アカウントキャンセルポリシー
クライアントがPractiTestとの契約を終了する場合、アカウント閉鎖後3ヶ月以内にすべてのプロジェクトとデータがシステムから削除されます(特別な依頼がない限り)。
変更管理ポリシー
変更はSDLCアプリケーション内でチケットを開いて文書化され、関連する担当者によって承認または拒否されます。変更の影響は、セキュリティ、可用性、機密性、プライバシーなどの観点から評価されます。
パッチ適用ポリシー
Amazon Inspectorを使用して、一般的な脆弱性と露出(CVE)をスキャンします。CVSS 2.0および3.X標準に基づいて4.0以上(中程度以上)の脆弱性は、変更諮問委員会(CAB)によってレビューされ、必要に応じてパッチが適用されます。
第6層 認証と検証
PractiTestは市場で最もセキュアなQAシステムです。
お客様のデータを常に安全かつ利用可能にするために、多くの脅威検出および防止技術を導入しています。
また、業界で最も厳しいセキュリティ基準を遵守しており、完全に信頼できるSaaSテスト管理システムを提供しています。
当社の認証
SOCタイプ2
PractiTestは、ホスティングソリューションを提供する企業が業界のベストプラクティスを遵守し、最高レベルのセキュリティ基準に準拠しています。
SOC2レポートは、外部監査機関によって毎年実施されます。
PractiTestは、SOC報告の業界を牽引しているE&Yによって監査されています。
ISO27001
世界で最も普及している情報セキュリティ標準の一つです。
ISO27001は、国際的な業界ベストプラクティスに基づいて情報セキュリティ管理システムを確立・実施していることをユーザーに保証します。
この認証を維持するためには、毎年の監査が必要です。
GDPR
GDPRは、EU圏内の個人データに関連するデータセキュリティおよびプライバシーに関する規則です。
PractiTestは、GDPR準拠のソリューションとして、個人データの保有方法や処理方法に関する適切なプライバシーポリシーを持っています。
AWSテクノロジーパートナー
PractiTestは、複数のAWSリージョンを使用しており、AWSテクノロジーのパートナーとして認定されています。
APNパートナーであることは、PractiTestが強力なAWSベースのビジネスを構築していることを示しています。
詳しい情報は、PractiTestのコンプライアンスページをご覧ください。
このページのダウンロードも可能です。
完全なSOC2レポート(E&Yによる監査)を希望する場合は、当社に連絡し、非公開契約に署名する必要があります。
