intdashのセキュリティ対策について知りたい

intdashは、秘匿性の高いデータを取り扱うことができるよう、ソフトウェア・ハードウェアのすべての面においてセキュリティに最大の注意を払って設計・運用されています。

エッジやユーザーとintdashサーバーとの間の通信は、リアルタイムAPI、REST APIいずれを使用する場合も、すべてSSL/TLSにより暗号化され、盗聴、改ざんを防止しています。

エッジやユーザーは、名前とパスワード、またはトークンによる認証を経てintdashサーバー内のデータにアクセスします。

TLSにおいてはバージョン1.2以上のみをサポートし、ECDHEによる鍵交換、AESによる暗号通信を採用しており、OAuth 2.0においてはRS256(RSA-SHA256)によるアクセストークンの署名を使用するなど、安全性が高いとされている暗号技術を採用しています。

また、暗号技術は常に進化しているため、新技術の動向や脆弱性情報を注視し、採用する技術は継続的に管理・改善をしています。

クラウドサービスでの運用

intdashをAWS、Microsoft Azure、またはGCPのクラウドサービスで運用する場合、各クラウドサービスのベストプラクティスに従うことで、これらのクラウドサービスが持つインフラ面の安全性を確保します。

また、intdashをクラウドサービスで運用する場合、各intdashドメインの環境は分離され、完全に独立しています。

SSL/TLSによる通信路暗号化

エッジやユーザーとintdashサーバーとの間の通信は暗号化され、盗聴、改ざんを防止します。

  • REST APIではHTTPSが使用されます。
  • リアルタイムAPIではWebSocket Secureが使用されます。WebSocket Secureは、HTTPSと同様にWebSocketをTLSにより暗号化した通信方式です

例えば、Terminal Systemやintdash Motionアプリケーションからリアルタイムデータを送信する際は、WebSocket Secureにより通信路が暗号化されます。また、Visual M2M Data Visualizerで過去データを受信する際は、同様にHTTPSにより通信路が暗号化されます。

認証

エッジやユーザーがintdashサーバーにアクセスするには認証が必要です。 サーバー管理者は、エッジやユーザーごとにアクセス権限を設定したり、パスワードやトークンを有効化/無効化したりできます。

以下の認証方法をサポートしています。

ユーザー認証

  • ユーザー名とパスワード(ユーザー名とパスワードを使った認証によりアクセストークンを取得、それを使ってアクセス)
  • 二段階認証(オプションとして追加予定)

エッジ認証

  • トークン
  • クライアント証明書(オプション)

パスワードポリシーとしては、以下を設定することができます。

  • 最小文字数
  • 最大文字数
  • 大小英字、記号、数字それぞれの最小文字数

また、ログイン時にパスワードを一定の回数以上間違えると、そのアカウントのパスワードはロックされ、パスワードでのログインはできなくなります。 パスワードロックの解除は管理者のみが行うことができます。

アクセス制御

エッジごとにアクセス権限を設定することにより、アクセス可能な情報の範囲を設定することができます。

また、パスワードやトークンが流出した可能性がある場合は、管理者はAdmin Consoleを使って特定のエッジのパスワードやトークンを無効にすることができます。

その他のセキュリティ対策

intdashサーバーでは、総合的なセキュリティ対策パッケージとしてTrend Micro社のDeep Securityを使用することも可能です。

Deep Securityは、侵入防御、不正プログラム対策、変更監視、セキュリティログ監視などの機能を提供します。 詳細についてはお問い合わせください。