サービス運用ポリシー
この文書は、株式会社ソーシャルPLUS の運営する、ソーシャルPLUS サービスの運用に関してのポリシーです。
サービス運用に関する通知手段
サービス全般の通知手段
ソーシャルログインマネージャー上の「お知らせ」に適時掲示します。
緊急度の高いものは、ご登録済みの担当者メールアドレス宛へご連絡することがあります。
監視における異常状況の通知手段
ご登録済みの担当者メールアドレス宛へ配信します。
サービス変更通知
ご利用企業による対応が発生するサービス変更に関する通知
1 ヶ月以上前 を目標にご登録済みの担当者メールアドレス宛へ通知します。
サービスの停止が発生する場合の通知
1 ヶ月以上前 を目標にご登録済みの担当者メールアドレス宛へ通知します。
サービス運用・保守
サービス提供時間
24 時間 365 日、利用可能です。
計画された利用不可時間はありません。
お問い合わせ・サポート窓口
お問い合わせ受付・サポート窓口はメールです。
営業時間: 平日 10:00 〜 17:00
返信は当日〜遅くとも翌営業日中に行っております。
サービス運用監視
サービス運用監視の逐次情報は公開しておりません。
以下の運用監視をシステムにより自動化し、Slack を通してソーシャルPLUS 運営チーム内で 24 時間 365 日の把握・対応をしております。
- サービスの提供に用いるアプリケーション、プラットフォーム、サーバ、ストレージ、ネットワークの正常動作監視
- サービスの提供に用いるアプリケーション、プラットフォーム、サーバ、ストレージ、ネットワークに対し一定間隔のパフォーマンス監視
計画停止
定期的な計画停止時間はありません。
システムインフラの計画的なメンテナンスによるものが年に 1 〜 2 回あります。
深夜時間帯の実施で、一度の停止時間は 30 分 〜 1 時間程度です。
実施の 1 ヶ月以上前にご登録済みの担当者メールアドレス宛に通知します。
サービス稼働率
SLA(Service Level Agreement)
ソーシャルログインの月間稼働率 99.9 %
現在の実績値として 99.95 % 以上を継続しています。
ソーシャルログインプロバイダ起因のソーシャルログイン停止時間はダウンタイムに含みません。
SLO(Service Level Objective)
ソーシャルログインの月間稼働率 99.99 %(目標値)
ソーシャルログインプロバイダ起因のソーシャルログイン停止時間はダウンタイムに含みません。
RTO(Recovery Time Objective, 目標復旧時間)
通常障害時における目標復旧時間は設定しておりません。
実績では 1 営業日以内に障害復旧しております。 大規模災害については定めておりません。
RPO(Recovery Point Objective, 目標復旧ポイント)
システム障害などでデータが損壊した際に、復旧するバックアップデータは最大で 7 日間とします。
性能・拡張性
ソーシャルログインの利用ユーザー数に上限はありません。
時間単位のアクセス量制限として以下の API RateLimit があります。
- ソーシャルログイン: 5,000 リクエスト/分
- Web API: 10,000 リクエスト/分
既存顧客の通常アクセス量を加味し十分カバーできるよう設定されているため、常時の制限開放や上限引き上げは受け付けておりません。
キャンペーン・TVCM などで瞬間的なアクセス増が予想される場合は、事前にご利用想定をご相談いただいたうえで 実施の 10 日以上前 にご連絡いただき有償にてサーバー増強・API RateLimit の一時解除を承ります。
預託データの取扱
預託データの権利は、契約企業に帰属します。
預託データの返還
ソーシャルログインマネージャーより、預託データをエクスポート可能です。
預託データの削除
サービス契約が終了後、アカウントの解約手続きを元に預託データを削除します。
インフラストラクチャ
サービスの提供に用いるアプリケーション、プラットフォーム、サーバ、ストレージ等(情報セキュリティ対策機器、通信機器等)の情報を示す。
システム設置環境
AWS 利用で、以下を対応しております。
- クラウドサービスからインターネットにアクセスする際は、NAT インスタンスやゲートウェイからアクセスし、サーバが直接パブリックインターネットに接続されていない
- 外部及び内部からの不正アクセスを防止する措置(ステートフルファイアウォール, リバースプロキシ)の導入
- ファイアウォールのポリシーはデフォルト「拒否」とし、必要なポートと IP アドレスのみ通信を許可する
- 外部ネットワークから内部ネットワークを隠ぺいするため、非武装セグメント(DMZ)を設置している
- WAF(Web Application Firewall)を導入している
アクセス管理
AWS の IAM を利用して、PASSWORD 認証は使わずに公開鍵認証方式でアクセスします。
ディザスタリカバリ対策
災害時や障害時のデータ保持のため、アプリケーションサーバ、およびデータベースに関して、AWS のマルチ AZ(Availability Zone)で冗長化構成をとり、フェイルオーバーの仕組みとリアルタイム監視をしています。
日本国外サーバはございません。
キャパシティプランニング
サービスの提供に用いるアプリケーション、プラットフォーム、サーバ、ストレージに対し、利用者の利用状況の予測に基づいて容量・能力等を設計し、定期的に見直しを行います。
構成管理
サービスの提供に用いるプラットフォーム、サーバ、ストレージ、情報セキュリティ対策機器、通信機器について、利用しているソフトウェアやファームウェアのバージョン管理、ハードウェアの構成管理はソースコード化して、GitHub 上で管理しており、定期的に見直しを行います。
セキュリティ
個人情報保護
弊社は、2013 年 12 月 13 日、一般財団法人日本情報経済社会推進協会(JIPDEC)よりプライバシーマークの付与認定を受けました。
登録番号: 21000824
外部監査
年に 1 回、第三者による脆弱性検査を実施しています。
ログの保管
サーバの各種ログはプライバシーマークの規定に則り 5 年間 保存しています。
ご利用企業による問い合わせを元に必要と判断された場合にログを開示します。
データの暗号化
ストレージの暗号化を行っています。
Amazon RDS リソースの暗号化 - Amazon Relational Database Service
通信のセキュリティ
HTTP へのアクセスは拒否され、SSL 通信を強制します。
TLS 1.2 で暗号化しています。
ソーシャルPLUS では TLS 1.0, 1.1 のサポートを継続しています。
こちらは古い HTTP クライアント環境をご利用のお客様に対応するもので、2022 年内にサポート終了を計画しています。
SSL 接続ネゴシエーションのプロセスにて、クライアントのリストで最初にロードバランサーの暗号と一致した暗号が SSL 接続用に選択されます。 お客様環境が TLS 1.2 以上に対応されていれば TLS 1.2 以上が選択されます。
SSL Cipher(暗号アルゴリズム)は AWS の ELBSecurityPolicy-2016-08 に準拠します。
セキュリティパッチ
サービスの提供に用いるプラットフォーム、サーバ、ストレージ、情報セキュリティ対策機器、通信機器についての技術的脆弱性に関する情報(OS、その他ソフトウェアのパッチ発行情報等)を定期的に収集し、随時パッチによる更新を 12 時間〜 5 日程度以内 を目標に行っています。
ミドルウェアのバージョン秘匿
Web サーバ、OS デフォルトの名称やバージョン情報をエラー情報などに表示しないよう対策しています。
パスワードポリシー
ソーシャルログインマネージャー、メッセージマネージャーのログインアカウントに設定可能なパスワードは以下のとおりです。
- 8文字以上、半角英数字
- 3ヶ月ごとに強制変更が必要(変更前と同一のパスワードは設定不可)
- ログイン画面でパスワードの入力間違いが一定回数を超えた場合にアカウントロック
- ロック解除時にサポート窓口にてパスワードリセット
- 初回発行時、およびパスワードリセット後は、利用者側でパスワードの再設定が必要
平文状態のパスワードの保存は行っておらず、ハッシュ化して保存しています。お問い合わせいただいても設定されているパスワードを回答することはできません。