Menergia セキュリティへの取り組み 前編
自己紹介
はじめまして!株式会社メネルジアの道場です。
2021年7月に参画、2022年4月から取締役CIOに就任しています。前職まで金融機関で10年程、システム責任者や運用責任者を歴任してきました。金融機関目線で、当社セキュリティの向上に取り組んでいます。
なぜセキュリティにこだわるのか?
当社のサービスの一つである医系学会の管理システム「Menergia」。当社のセキュリティ対策として、ホームページなどには
といったような最低限の記述となっています。
医療に従事される皆様は、セキュリティに対するご関心・ご懸念が強いことが多いです。実際に当社サービスを案内させていただく際も、セキュリティに関するご質問をいただくことも多々あります。このような背景もあり、当社はセキュリティに細心の注意を払っています。
環境の完全分離
当社システムはパブリッククラウドにて一元管理しており、システムの目的・用途に応じて環境を完全に分離しています。
例として、お客様の実際のデータが格納されており、利用いただいているアプリケーションが動作している『本番環境』や、疑似的に作成したデータが格納、開発中のアプリケーションが動作している『開発環境』などがあります。その他にもリリース前の検証専用の『ステージング環境』という環境などもあります。これらの環境以外にも各サービスごとに環境を分けて開発・運用をしております。
上記のように環境ごとに目的・用途が存在し、格納しているデータやアプリケーションのバージョン、状態が異なります。そのため、各環境のデータが混在したり、アプリケーションが異なるデータにアクセスしたりすることがないように、環境へログインするところから完全に環境を分離し、セキュリティを高めています。
データアクセスの最小化
環境を分離することで、各環境にアクセスするメンバーを限定することや、アクセスできる領域を最小化することが可能になります。
当社には一言で社内のシステムメンバーと言っても、システム管理者、運用担当者、開発担当者など、様々な役割があります。また、社員以外にも業務委託の開発担当者にお手伝いいただくこともあります。そのため、全員に同じデータアクセスの権限を与えると、オペレーションミスやお客様のデータ漏洩のリスクが非常に高くなります。
このような状況を防ぐため、当社では例えば本番環境には社内のシステムメンバーのみアクセスでき、且つ、重要データにはシステム管理者しかアクセスさせないなど、必要最低限のアクセスになるように、システム側でアクセスや行動を制御しています。また、イレギュラーなオペレーションが発生した際も、全て検知できるようにしています。
このようにお客様のデータは厳格に管理していますのでご安心ください。
WEBアプリケーション保護
アプリケーション保護は何重にも対策を実施しています。アプリケーション内での脆弱性対策はもちろんのこと、WAF(ウェブアプリケーションファイアウォール)の設置による外部攻撃からの防御、脆弱性診断によるアプリケーションリリース前の脆弱性事前検出などの対策を行っています。
また、外部のセキュリティ専門家にも当社システムのセキュリティ対策に抜け漏れがないかご確認いただくような取り組みも行っています。
おわりに
少し長くなってきましたので、今回は以上とさせていただきます。
これらはセキュリティ対策の一部となりますが、当社のセキュリティに対する考え方を少しはお伝えできたかのではないかと思います。
これからも、安心・安全なサービスを皆様にご提供すべく取り組んでまいります。
医療や社会に貢献するプロダクトを創りませんか?メネルジアでは、一緒に働く仲間を募集中です!
その他、各種SNSでも情報を発信中です!よければこちらもチェックしてみて下さい!
✅Twitter
✅Facebook
✅Linkedin
この記事が気に入ったらサポートをしてみませんか?