セキュリティプラクティス

セキュリティプラクティス

コンプライアンス

Zeabur は現在、SOC 2 Type II 認証の取得を進めています。当社のコンプライアンスプログラムは、セキュリティ、可用性、機密性に関する Trust Services Criteria を対象としています。事業の拡大に伴い、業界で認められた認証の取得と維持に取り組んでまいります。

インフラセキュリティ

Zeabur は、信頼性が高く低遅延なサービスを提供するために、グローバルに分散された複数のインフラプロバイダーを活用して運用しています:

  • Amazon Web Services (AWS)
  • Google Cloud Platform (GCP)
  • Hetzner
  • Linode (Akamai)
  • DigitalOcean
  • Tencent Cloud
  • Alibaba Cloud
  • Volcengine
  • Glows.ai

すべてのインフラプロバイダーは、確立されたセキュリティ体制、物理的なデータセンター保護、およびコンプライアンス認証に基づいて選定されています。Zeabur は、すべてのリージョンにおいて、ネットワーク分離、ファイアウォールルール、DDoS 緩和を含むプロバイダー固有のセキュリティ機能を活用しています。

データ暗号化

転送中の暗号化

お客様と Zeabur 間で送受信されるすべてのデータは、TLS 1.2 以上を使用して暗号化されます。これは、すべての API エンドポイント、ダッシュボードアクセス、およびプラットフォーム内のサービス間通信に適用されます。Zeabur 上にデプロイメントされたお客様向けサービスは、自動証明書プロビジョニングにより HTTPS で提供されます。

保存時の暗号化

本番データは MongoDB Atlas に保存されており、デフォルトで AES-256 暗号化による保存時の暗号化が提供されています。本番データベースへのアクセスは、Tailscale 経由で接続されたデバイスに限定されています。

アクセス制御

ID 認証

  • すべての従業員は Google Workspace を通じて認証を行い、二要素認証(2FA)が必須です。
  • 本番データベースおよび内部システムへのアクセスには Tailscale 経由の接続が必要で、承認されたユーザーのみがデバイスをネットワークに追加できます。

エンドポイントセキュリティ

  • Zeabur はモバイルデバイス管理(MDM)を導入中で、すべての社用デバイスを一元管理下に置きます。
  • Tailscale で承認されたデバイスのみが内部ページおよび本番データベースにアクセスできます。

最小権限の原則

  • チームメンバーには、職務遂行に必要な最低限のアクセス権限のみが付与されます。
  • 本番インフラ、データベース、およびお客様の環境へのアクセスは制限され、監査されます。
  • アクセス権限は定期的に見直され、役割変更や退職時には速やかに取り消されます。

セキュアな開発

Zeabur はソフトウェア開発ライフサイクル全体を通じてセキュリティを統合しています:

  • コードレビュー:すべてのコード変更は、本番ブランチへのマージ前にプルリクエストを通じたピアレビューが必要です。
  • CI/CD パイプライン:自動化されたビルド、テスト、デプロイメントパイプラインにより、すべての変更に対して品質およびセキュリティチェックが実施されます。
  • 依存関係スキャン:サードパーティの依存関係における既知の脆弱性の自動スキャンが行われ、重大な問題についてはアラートが発行されます。
  • 環境の分離:開発環境、ステージング環境、本番環境は論理的に分離されており、本番データへの不正アクセスを防止しています。

インシデント対応

Zeabur は、以下を網羅する文書化されたインシデント対応計画を維持しています:

  • 検知とアラート:異常、不正アクセス、インフラ障害を検知するための監視およびアラートシステムが導入されています。
  • トリアージと対応:インシデントを重大度に応じて分類し、担当者を割り当て、対応を調整するための定義されたプロセスがあります。
  • コミュニケーション:お客様のデータまたはサービスに影響を与えるセキュリティインシデントが発生した場合、影響を受けるお客様に速やかに通知されます。
  • インシデント後のレビュー:すべての重大なインシデントについて、根本原因を特定し再発防止策を実施するためのポストモーテム分析が行われます。

データの取り扱いとプライバシー

  • お客様のデータは、お客様が要求したサービスの提供および運用のためにのみ処理されます。
  • Zeabur はお客様のデータを第三者に販売、貸与、またはリースすることはありません。
  • アカウント終了時、お客様のデータはエクスポートのために 7 日間保持され、その後完全に削除されます。
  • 詳細については、プライバシーポリシーをご覧ください。

ネットワークセキュリティ

  • すべてのお客様のワークロードは、ネットワークレベルで分離された独立したコンテナ内で実行されます。
  • インバウンドおよびアウトバウンドトラフィックはフィルタリングおよび監視されます。
  • 内部サービス間通信は、承認されたエンドポイントのみに制限されます。
  • Cloudflare は、お客様向けドメインのエッジセキュリティ、CDN、および DDoS 保護に使用されています。

物理セキュリティ

Zeabur は、インフラプロバイダーの物理セキュリティ管理に依拠しています。Zeabur が使用するすべてのデータセンター施設は、生体認証によるアクセス制御、24 時間 365 日の監視、および環境保護を含む業界標準の物理セキュリティ対策を維持しています。詳細については、各プロバイダーのコンプライアンスドキュメントをご参照ください。

責任ある開示

Zeabur にセキュリティ上の脆弱性を発見された場合は、[email protected] までご報告ください。すべての報告を真摯に受け止め、迅速に調査および対応いたします。公開前に問題に対処するための合理的な時間をいただけますようお願いいたします。

プライバシーポリシー公正利用ガイドライン