メインコンテンツまでスキップ
バージョン: 4.x

Security and Trust Platform

VeloDBプラットフォームは、ソフトウェア開発と配信サイクル全体にセキュリティ管理を組み込み、継続的な脆弱性とペネトレーションテスト、厳格な内部アクセス制御、完全なセキュリティR&Dプロセスを含む、全方位的なセキュリティと信頼性を確保しています。私たちは、オープン性と透明性が信頼を獲得する鍵であると固く信じているため、私たちの運営方法を開示し、顧客やパートナーと密接に連携してセキュリティニーズに対応しています。VeloDBプラットフォームはSoC2 Type1、Type2認証に準拠しています。

脆弱性管理

ソフトウェアサービスプロバイダーは、ソフトウェア脆弱性によって引き起こされる損失の主たる責任者であるため、私たちはソフトウェア脆弱性の迅速な発見と修復をサービスのセキュリティを確保するための最優先事項としています。

VeloDB内では、脆弱性分析に自動コードスキャンツールを使用し、脆弱性が修正される前にコードのマージは許可されません。ソフトウェアパッケージが本番環境にリリースされる前に、自動化された脆弱性検出ツールを通じて、ソフトウェアパッケージとその関連するサードパーティ依存関係、デプロイメント環境などを毎日スキャンし、可能な限り早期にソフトウェア脆弱性を発見します。私たちは毎年定期的にサードパーティの専門チームを雇用し、ソフトウェア運用環境における潜在的リスクを横断的に分析しています。 さらに、脆弱性検出ツールに含まれる前に、オープンソースコミュニティ、ソーシャルメディア、オープン脆弱性プラットフォームなどのチャネルを通じて最新の開示された脆弱性を監視・発見し、セキュリティ攻撃のリスクを軽減しています。VeloDBが監視するオープン脆弱性プラットフォームには、CNNVD、CVE Trends、Open CVDBが含まれます。

ペネトレーションテスト

VeloDBのセキュリティチームは、専門的なペネトレーションテストサービスプロバイダーと連携し、コード層、アプリケーション層、システム層などの異なる次元からVeloDBプラットフォームの完全性とアプリケーションのセキュリティを評価する体系的なペネトレーションテスト計画を策定しています。重要なバージョンが更新され、新しいサービスコンポーネントが起動し、セキュリティに敏感な機能がリリースされる際にペネトレーションテストを実施しています。ペネトレーションテスト中に発見された高リスク問題は、通常1週間以内に解決されます。

私たちは毎年定期的に1回のサードパーティペネトレーションテストと数十回の内部ペネトレーションテストを実施しています。透明性への取り組みの一環として、顧客はサードパーティ専門チームによるVeloDBプラットフォームのペネトレーションテストレポートを申請できます。

厳格な内部アクセス制御

VeloDB従業員が会社の内部システムと本番環境にアクセスする際、私たちは最小権限の原則と職務分離に従い、厳格なアクセス制御メカニズムとセキュリティポリシーを確立しています。

セキュアなイントラネット環境

VeloDBは成熟した標準的な会社イントラネット環境を確立しています。内部システムへのすべてのアクセスは、まずVPNシステムを通じて会社イントラネットに接続し、SSO統一認証を実行する必要があります。VeloDBイントラネット環境は、本番環境、テスト環境、オフィス環境の3つのサブネット環境に分かれています。異なるサブネット環境は、底層で独立した物理リソースとVPCを使用し、相互に分離され厳格に制御されています。

クラウドリソース管理

VeloDBイントラネット環境は、底層でパブリッククラウドベンダーが提供するクラウドリソースを使用しています。本番環境のクラウドリソースについては、指定されたセキュリティチームメンバーのみが管理権限を持ち、対応する管理アカウントは権限の悪用を防ぐため多要素認証(MFA)が有効になっています。同時に、VeloDBはスキャン手順とセキュリティポリシーを通じてパスワードやAPIキーなどの明示的な認証情報の使用を回避し、認証情報を定期的にロールオーバーしています。

オペレーティングシステムのアクセス制御

本番環境の日常運用については、主にVeloDBが構築した運用プラットフォームを通じて完了します。このプラットフォームはSSO統一認証センターに接続され、RBACアクセス許可制御モデルを使用して異なる役割のユーザーのアクセスを制御します。運用プラットフォームは、日常運用に必要な集約情報、ダッシュボード、変更公開機能を提供し、本番環境での直接運用のリスクを軽減します。

本番環境のアクセス制御

VeloDB従業員は、特別な状況(緊急中断回復など)でのみオンライン本番システムへのアクセスを申請できます。アクセスは業界最高レベルの踏み台ホストシステムによって管理され、厳格な4A仕様要件を満たしています。オンライン本番環境へのアクセスについては、STSベースの認証メカニズムが採用され、権限の悪用と内部の誤操作を防ぐため厳格な最小権限制御が採用されています。オンライン環境のすべての操作記録は、問題追跡と事故分析の根拠として、ビデオ再生に基づくセキュリティ監査機能を提供できます。

セキュアなソフトウェア開発

VeloDBは、設計、開発、テスト、リリース変更などのプロセスを含むソフトウェア開発サイクル全体に対して明確で厳格なセキュリティ要件を持ち、ISO/IEC 20000:2018情報技術サービス管理システムの要件に従っています。

ソフトウェア設計

VeloDBのソフトウェア設計プロセスには、セキュリティとプライバシーに関連する設計が含まれます。重要な機能の設計が完了した後、会社のセキュリティチームによるセキュリティレビューがさらに実施されます。セキュリティリスクの高い設計は承認されません。

ソフトウェア開発

VeloDBのソースコードは商用ソースコード制御システムによって統一管理され、多要素認証をサポートし、明示的なパスワードベースの認証アクセスを禁止しています。すべての開発者は、入社段階とその後毎年、セキュアなソフトウェア開発トレーニングを受ける必要があります。開発者が提出するコードマージリクエストは、マージが許可される前に、自動化されたコードスキャン、機能アクセステスト、少なくとも2人のエンジニアによるピアレビューに合格する必要があります。

ソフトウェアテスト

VeloDBは、ソフトウェア開発ライフサイクルの異なる段階で大量のテストを継続的に実施し、総テストケースセットは数百万に及びます。主に、きめ細かいコードロジックが正常であることを確保する高カバレッジ単体テストが含まれます。完全な統合テスト、ストレステスト、カオステスト、互換性テストにより、システムの全体的な堅牢性を向上させます。定期的にトリガーされるパフォーマンステストは、最新コードのパフォーマンス変化を継続的に追跡し、予期しないパフォーマンス回帰を防ぎます。典型的なソリューションのシナリオベーステストは、本番環境での実際のパフォーマンスをシミュレートし検証します。

リリース変更

VeloDBは完全なリリース変更プロセス仕様を策定し、この仕様に基づいて完全な継続的配信・デプロイメント機能(CD)を構築しました:

  • ソフトウェアがリリースされる前に、すべての回帰テストセットに合格する必要があり、テスト合格後にイメージが自動生成され保存されます。
  • ソフトウェアをデプロイする際は、グレースケールリリース方式に厳格に従い、サンドボックスとオンライン環境を順番にリリースし、地域、顧客などの粒度によるグレースケールをサポートします。リリースプロセスで問題が発生した場合、自動リリースプロセスはいつでも中断できます。
  • リリース後は、リリース変更目標が達成されたかどうかを検証し、スモークテストに合格する必要があります。

職務分離の原則に基づき、運用保守チームの専任メンバーのみがリリース変更操作を実行でき、すべての変更操作は承認プロセスを経る必要があります。緊急変更の場合、運用保守担当者は電話などの便利な方法で承認を完了し、変更実装後に変更記録を完了する必要があります。