メインコンテンツまでスキップ

セキュリティと信頼プラットフォーム

VeloDBプラットフォームは、ソフトウェア開発および配信サイクル全体にセキュリティ管理を組み込み、継続的な脆弱性診断とペネトレーションテスト、厳格な内部アクセス制御、完全なセキュリティR&Dプロセスを含む、全方位のセキュリティと信頼性を確保しています。オープンさと透明性が信頼獲得の鍵であると確信しているため、私たちの運営方法を開示し、顧客やパートナーと密接に協力してセキュリティニーズに対応しています。VeloDBプラットフォームはSoC2 Type1、Type2認証に準拠しています。

脆弱性管理

ソフトウェアサービスプロバイダーは、ソフトウェア脆弱性によって引き起こされる損失の主要責任者であるため、サービスのセキュリティを確保するために、ソフトウェア脆弱性の迅速な発見と修復を最優先事項としています。

VeloDB内では、脆弱性分析に自動コードスキャンツールを使用し、脆弱性が修正される前はコードのマージを許可していません。ソフトウェアパッケージが本番環境にリリースされる前に、ソフトウェアパッケージとその関連するサードパーティ依存関係、デプロイ環境などを自動脆弱性検出ツールで毎日スキャンし、ソフトウェア脆弱性を可能な限り早期に発見します。私たちは毎年定期的にサードパーティの専門チームを雇用し、ソフトウェア運用環境の潜在的リスクを横断分析しています。 さらに、セキュリティ攻撃のリスクを軽減するため、脆弱性検出ツールに含まれる前に、オープンソースコミュニティ、ソーシャルメディア、オープン脆弱性プラットフォームなどのチャネルを通じて最新の開示された脆弱性を監視・発見しています。VeloDBが監視するオープン脆弱性プラットフォームには、CNNVD、CVE Trends、Open CVDBが含まれます。

ペネトレーションテスト

VeloDBのセキュリティチームは、専門的なペネトレーションテストサービスプロバイダーと協力して、コード層、アプリケーション層、システム層などの異なる次元からVeloDBプラットフォームの完全性とアプリケーションのセキュリティを評価する体系的なペネトレーションテスト計画を策定しています。重要なバージョンの更新、新サービスコンポーネントの起動、セキュリティ重要機能のリリース時にペネトレーションテストを実施します。ペネトレーションテスト中に発見された高リスクの問題は、通常1週間以内に解決されます。

私たちは毎年定期的に1回のサードパーティペネトレーションテストと数十回の内部ペネトレーションテストを実施しています。透明性へのコミットメントの一環として、顧客はサードパーティ専門チームによるVeloDBプラットフォームのペネトレーションテストレポートを申請できます。

厳格な内部アクセス制御

VeloDB従業員が会社の内部システムや本番環境にアクセスする際、最小権限の原則と職務分離に従い、厳格なアクセス制御メカニズムとセキュリティポリシーを確立しています。

セキュアなイントラネット環境

VeloDBは成熟した標準的な会社イントラネット環境を確立しています。内部システムへのすべてのアクセスは、まずVPNシステムを通じて会社イントラネットに接続し、SSO統一認証を実行する必要があります。VeloDBイントラネット環境は、本番環境、テスト環境、オフィス環境の3つのサブネット環境に分割されています。異なるサブネット環境は、独立した物理リソースとVPCを基盤とし、相互に分離され厳格に制御されています。

クラウドリソース管理

VeloDBイントラネット環境は、基盤としてパブリッククラウドベンダーが提供するクラウドリソースを使用しています。本番環境のクラウドリソースについては、指定されたセキュリティチームメンバーのみが管理権限を持ち、対応する管理アカウントには権限の悪用を防ぐために多要素認証(MFA)が有効になっています。同時に、VeloDBはスキャン手順とセキュリティポリシーを通じて、パスワードやAPIキーなどの明示的な認証情報の使用を避け、定期的に認証情報をローテーションしています。

オペレーティングシステムのアクセス制御

本番環境の日常運用については、主にVeloDBが構築した運用プラットフォームを通じて完了されます。このプラットフォームはSSO統一認証センターに接続され、RBACアクセス制御モデルを使用して異なる役割のユーザーへのアクセスを制御します。運用プラットフォームは、日常運用に必要な集約情報、ダッシュボード、変更公開機能を提供し、本番環境での直接運用のリスクを軽減します。

本番環境のアクセス制御

VeloDB従業員は、特定の特別な状況(緊急中断復旧など)においてのみオンライン本番システムへのアクセスを申請できます。アクセスは、厳格な4A仕様要件を満たす業界最先端の堡塁ホストシステムによって管理されます。オンライン本番環境へのアクセスについては、STSベースの認可メカニズムが採用され、権限の悪用と内部の誤操作を防ぐために厳格な最小権限制御が適用されます。オンライン環境のすべての操作記録は、問題追跡と事故分析の基盤として、ビデオ再生に基づくセキュリティ監査機能を提供できます。

セキュアソフトウェア開発

VeloDBは、設計、開発、テスト、リリース変更などのプロセスを含むソフトウェア開発サイクル全体に明確で厳格なセキュリティ要件を持ち、ISO/IEC 20000:2018情報技術サービス管理システムの要件に従っています。

ソフトウェア設計

VeloDBのソフトウェア設計プロセスには、セキュリティとプライバシー関連の設計が含まれています。主要機能の設計が完了した後、会社のセキュリティチームによるセキュリティレビューがさらに実施されます。セキュリティリスクが高い設計は承認されません。

ソフトウェア開発

VeloDBのソースコードは商用ソースコード制御システムによって統一管理されており、多要素認証をサポートし、明示的なパスワードベースの認証情報アクセスを禁止しています。すべての開発者は、入社段階およびその後毎年、セキュアソフトウェア開発トレーニングを受ける必要があります。開発者が提出するコードマージリクエストは、自動コードスキャン、機能アクセステスト、および少なくとも2人のエンジニアによるピアレビューに合格してからマージが許可されます。

ソフトウェアテスト

VeloDBは、ソフトウェア開発ライフサイクルの異なる段階で大量のテストを継続的に実施し、総テストケースセットは数百万に及びます。主に、きめ細かいコードロジックが正常であることを確保する高カバレッジユニットテストが含まれます。完全な統合テスト、ストレステスト、カオステスト、互換性テストにより、システム全体の堅牢性が向上します。定期的にトリガーされるパフォーマンステストは、予期しないパフォーマンス回帰を防ぐために最新コードのパフォーマンス変化を継続的に追跡します。典型的なソリューションのシナリオベーステストは、本番環境での実際のパフォーマンスをシミュレートし検証します。

リリース変更

VeloDBは完全なリリース変更プロセス仕様を策定し、この仕様に基づいて完全な継続的デリバリーおよびデプロイ機能(CD)を構築しています:

  • ソフトウェアがリリースされる前に、すべてのリグレッションテストセットに合格する必要があり、テスト合格後、イメージが自動生成され保存されます。
  • ソフトウェアをデプロイする際は、グレースケールリリース方法に厳格に従い、サンドボックスとオンライン環境を順次リリースし、地域、顧客などの粒度でのグレースケールをサポートします。リリースプロセスで問題が発生した場合、自動リリースプロセスはいつでも中断できます。
  • リリース後、リリース変更目標が達成されたかを検証し、スモークテストに合格する必要があります。

職務分離の原則に基づき、運用保守チームの正社員のみがリリース変更操作を実行でき、すべての変更操作は承認プロセスを経る必要があります。緊急変更の場合、運用保守担当者は電話などの便利な方法で承認を完了し、変更実装後に変更記録を完了する必要があります。