セキュリティ対策について

その他

MaroudはGoogleが運営するFireBase上に展開されています。

Firebaseはホスティング、データベース、ストレージ、ユーザ認証など一般的なアプリ開発に必要なものを全てサポートしている「オールインワン」なサービスです。

Maroudは自社でサーバを管理せず、FireBaseに全て格納しています。FireBaseそれ自体が堅牢な安全性、可用性を持っています。Firebaseが持つ安全性やノウハウをしっかり使わせていただきました。

Maroudの安全性は最大限の対策を行っています

先に言っておくと100%安全と断定することはできません。これはセキュリティ対策に限らず、世の理です。

人間社会において「100%」なんてありえません。原発が良い例です

しかしそれでもセキュリティ対策は妥協してはならない、最も重視すべき課題であると信じています。クラウド型のサービスであれば尚更です。

Maroudではさまざまなセキュリティ対策を講じています。この章ではいくつかの具体的な対策をご紹介します。多くは、Firebaseが提供している堅牢なセキュリティ対策に依存しています

ユーザのアカウント管理を徹底する

万が一不正ログインされ、ログイン用E-mailを変更されたとしても、元のE-mailへ通知が届きます。通知メールからE-mailの変更処理をワンクリックでキャンセルできます。パスワードの変更もE-mailを使って変更できます。

つまり、最初に登録したE-mailが重要です。E-mailを受信できれば不正にアドレスを変更されたり、無断でパスワードを書き換えられたとしても安全にあなたを守りとおすことができます。

E-mailこそあなたを守る最後の鍵です!

MaroudではFacebookやTwitterといったソーシャル・ログインは許可していません。このため、E-mailさえ受信できればアカウントを安全に守ることができます。

 

通信の安全を守るHttps

クラウドシステムである以上、一定の通信を回避することはできません。顧客データを書き込んだり、レポートを書いたりするのには全て通信が発生しています。

今どきは当たり前にもなってきていますが通信は全て暗号化されています。Firebaseが標準でサポートしている基本的な機能です。

https通信はURL中に含まれるパスも同様に暗号化されます。例えばMaroudでは写真や署名といった画像データの取得時に、画像へアクセスするための鍵(Tokenという)が含まれていますが、通信途中に鍵を盗み見られる心配はありません。

保存されたデータは全て暗号化されています

MaroudはFirebaseが提供しているデータベースの1つ「FireStore」を利用して、顧客データやレポートのデータを保存しています。これらのデータは安全なデータセンター上に保存されます。データは全て自動で暗号化されています。安全なデータセンターも、暗号化も全てFirebaseがおぜん立てしてくれたものです。

Google社のデータセンターが如何に堅牢かを紹介している動画もあるよ。日本語字幕もあるので興味があれば見てみて

※ボリューム注意!音声が発生します

Google Data Center 360° Tour

シンプルなセキュリティ・ルール

データベースにはMaroud利用者の全てのデータが格納されます。当然、あなたの知らない他社のデータもすぐ隣に保存されてます。しかしそのデータを読み込むことはできません。

Firebaseが提供する「セキュリティ・ルール」によってデータのアクセス制限を設計しています。Maroudのセキュリティ・ルールはシンプルです。シンプルは最もバグの混入リスクが少なく、明瞭で安全です。

簡単にセキュリティ・ルールを説明するとMaroudはグループに所属しているスタッフのアカウントでのみ、同一グループのデータ読み書きができるように設計されています。これこそがシンプルで安全・堅牢な壁です。

つまりスタッフ管理で一覧に表示されるスタッフしか、そのグループ内の「顧客データ」「レポート」「スケジュール」を読むことができません。

グループ内でも「管理者」しか不可能なことなど細かいルールも敷かれています

このルールを使うことで、スタッフが退職した場合でもグループからスタッフアカウントを削除すれば、退職したスタッフはもうデータにアクセスできなくなります。万が一、端末を無くしたりした時にも同様の対策が可能です。