NipoPlusのセキュリティ対策｜お客様のデータを守る堅牢な基盤

クラウドサービスにおいて、お客様のデータの安全性は最優先課題です。NipoPlusは、お客様に安心してご利用いただくため、常にセキュリティ対策に気を配り、大切な日報データを厳重に保護しています。

ここでは、NipoPlusがどのようなインフラ上で稼働し、お客様のデータをどのように守っているのか、具体的な対策をご紹介します。

１．Google Cloud Platform (GCP) が支える強固な基盤

NipoPlusは、世界有数のクラウドプロバイダーであるGoogle Cloud Platform (GCP) を基盤としています。GCPは、Googleが自社のサービス（Gmail、YouTubeなど）で培った技術を活かし、堅牢なインフラと多層的なセキュリティ対策を提供しています。

GCPの主なセキュリティ特徴

世界最高水準のデータセンター: 物理的なセキュリティから厳重に管理されたデータセンターで、お客様のデータを安全に保管します。
多層防御: データセンターの物理的セキュリティから、ネットワーク、サーバー、アプリケーション層まで、多岐にわたるセキュリティ対策が施されています。
論理的なデータ分離: すべての日報は同じサーバーに保管されますが、お客様ごとのデータは論理的に厳重に分離されており、権限のない他社が閲覧することは絶対にできません。各グループに所属するメンバーのみが、そのグループ内のデータにアクセスする権限を持ちます。

詳細なセキュリティ対策はこちらで確認できます 🔐

２．厳重な認証システムとデータ暗号化

お客様のNipoPlusへのアクセスや、データの保管には、さらに高度なセキュリティ技術が用いられています。

Firebase Authenticationによる安全な認証

NipoPlusの認証には、Googleが提供するFirebase Authenticationを採用しています。

パスワードの保護: お客様のパスワードは、復元不可能な形で暗号化されて保管されます。開発者であっても、元のパスワードを知ることはできません。
アカウント復旧機能: 万が一ログインパスワードが漏洩し、アカウントが乗っ取られた場合でも、ログインE-mailの変更ページで解説しているFirebaseの保護機能により、アカウントを安全に回復できます。メール通知による不正ログインの早期発見や、変更されたメールアカウントを巻き戻す仕組みが搭載されています。

機密情報の徹底した暗号化

NipoPlusで扱うすべてのデータは、保存時も通信時も厳しく暗号化されています。

保管データの暗号化

データベースやファイルなど、お客様の重要なデータは、AES-256などの高度な暗号化アルゴリズムを用いて暗号化され、安全に保管されます。この暗号化プロセスは、NipoPlusの開発側ではなく、GCP基盤自体が提供する機能により実行されています。

SSL通信による保護

NipoPlusのウェブサイトおよびアプリでは、SSL（HTTPS）通信を採用しています。これにより、お客様のブラウザとNipoPlusサーバー間の通信は常に暗号化され、データの盗聴や改ざんから情報が保護されます。

Web版NipoPlusをご利用の際は、URLバーからSSL通信（鍵マークなど）を確認できます。
Android/iOS版アプリでも、Web版と同様に安全な暗号化通信が行われています。

NoSQLデータベースによる構造的安全性

NipoPlusは、FirestoreやElasticといったNoSQL型のデータベースを利用しています。これは、広く知られているSQLインジェクションのような、従来のリレーショナルデータベースを標的とした攻撃が、構造的に適用されないという大きな利点があります。これにより、システム設計の段階からセキュリティ上の潜在的なリスクを低減しています。

３．お客様自身によるアカウント保護のお願い

システムは最高のセキュリティを提供しますが、お客様自身もパスワードの管理などにご注意いただくことで、より安全にご利用いただけます。

強力なパスワード設定

`password`、`123456`、`000000`など、推測されやすいパスワードは絶対に使用しないでください。システム側では利便性を考慮し、文字種類の制限は設けていませんが、複雑なパスワードを設定することを強く推奨します。 2021年の漏洩パスワードランキングを参考に、安全なパスワードを設定しましょう。

順位	漏洩パスワード
1	123456
2	password
3	000000
4	1qaz2wsx
5	12345678
6	123456789
7	111111
8	sakura
9	dropbox

不審なアクティビティへの対応

万が一、スタッフがNipoPlusアプリを入れたスマートフォンを紛失したり盗難にあった場合でも、管理者がスタッフアカウントをいつでも無効化できます。スタッフのパスワードを変更すれば、既存の端末からはログアウトされるため、日報の機密を守ることが可能です。（認証トークンの寿命の関係で、パスワードリセットしても1時間程度は日報を読めてしまう可能性がありますが、パスワード変更と無効化を併用して回避可能です。）

４．セキュリティに関するよくあるご質問（FAQ）

お客様からいただくセキュリティに関するご質問をまとめました。

データセンターは国内にありますか？

回答を表示する

いいえ、NipoPlusのデータは米国の複数の拠点（マルチリージョン）に保管されています。

データセンターは安全ですか

回答を表示する

はい、安全です。Google Cloud Platformのデータセンターは、物理的・論理的に最高水準のセキュリティ対策が施されています。Firebase公式サイトのデータセンターに関する情報もご参照ください

ハードウェアの限界（メモリやCPU、ストレージ）に対する対策は行われますか？

回答を表示する

はい、柔軟に拡張が行われます。Firebaseはオートスケーリング機能を持つため、負荷が増えれば自動で性能が向上します（ただし、急激な増加には一時的な遅れが生じる可能性もあります）。

サーバーの脆弱性に関するガイドラインや対策はマニュアル化されていますか？

回答を表示する

NipoPlusは「サーバーレス」アーキテクチャを採用しており、サーバーの管理はすべてFirebase（Google）に任せています。サーバー側で発見されたセキュリティリスクはFirebaseが責任を持って修正するため、お客様は安心してご利用いただけます。

ネットワークの回線と伝送は安全ですか？

回答を表示する

はい、安全です。通信回線はすべて暗号化（HTTPS）されており、データの盗聴や改ざんを防ぎます。Firebase公式サイトのネットワークセキュリティに関する情報もご参照ください。

マルチテナント型（同じサーバーに複数のクライアントを格納）ですか?

回答を表示する

すべてのお客様のデータを同一のサーバーに格納しておりますが、前述の通り堅牢なアクセス制御により、お客様のデータは論理的に厳格に分離されています。

データのバックアップは行われますか？

回答を表示する

はい、24時間に1度のバックアップが自動で行われます。データは最短10日以上保管されます。

データは暗号化されて保存されていますか？

回答を表示する

はい、すべてのデータは暗号化されて保存されます。通信回線も暗号化（HTTPS）されて送受信されています。

従業員のITリテラシー教育などは行っていますか？

回答を表示する

はい、行っております。日々セキュリティに関する情報を収集し、サービスの安全性を確保するよう努めております。

従業員による情報流出などについての罰則や就業規則はありますか？

回答を表示する

いいえ、個別の罰則や就業規則は設けておりません。

開発者のマスターパスワードは定期的に変更されていますか？

回答を表示する

いいえ、パスワードの定期的な変更は行っていません。現代のセキュリティ基準では、定期的なパスワード変更はむしろ推奨されておらず、総務省なども推奨していません。

開発に利用する端末はセキュリティ対策ソフトが導入されていますか？

回答を表示する

はい、ESETウイルス対策ソフトを導入しています。なお、ウォッチガードなどのUTMは利用しておりません。

開発に利用する端末は施錠できるロッカーに保存されていますか？または盗難防止用チェーンなどの対策は取られていますか？

回答を表示する

いいえ、物理的な施錠や盗難防止チェーンは使用していません。代わりに、ストレージは強力に暗号化されており、データ保護を徹底しています。

守秘義務契約を結ぶことは可能ですか？

回答を表示する

基本的に個別の契約は行っておりません。NipoPlusの利用規約の記載をご確認のうえご利用ください。