Lycheeクラウドのセキュリティについて

システム面のセキュリティ

• ウェブアプリケーションの保護
• ネットワークセキュリティ・脆弱性対策（IDS/IPS）
• ウイルス・マルウェア対策
• 改ざん検知
• セキュリティログ監視
• ファイアウォール
• 定期的な脆弱性検査

脆弱性検査に関しては、以下のツールにて検査しております。

• VULS

フューチャーアーキテクト社が中心に開発しているLinux用脆弱性スキャナ

• Brakeman

Ruby on Rails用のセキュリティ静的コード解析ツール

その他、使用する製品名・技術などの詳細な情報は、セキュリティ上の観点で開示しておりません。

バージョンアップに関して

• 当社Lychee Redmineプラグインは、原則毎月更新されます。
• Redmineのバージョンアップは、ソフトウェア提供元のサポートバージョンを追随するように実施します。
• 重大な脆弱性が確認された場合は、速やかにアップデートします。
• バージョンアップ作業時は、サービスが停止します。

運用

バックアップ

• Redmineのデータベース（1日1回、AWS RDSのスナップショットで7世代管理）
• Redmineにアップロードされた添付ファイル（アップロード時即時、AWS S3に同期）

ログの保管

• 対象：アクセスログおよびRedmineのログ
• 期間：6ヶ月

ログファイルの提供に関して

• 原則ログファイルの提供は行なっておりません。
• ただし、セキュリティインシデント調査、裁判所の指示、法令・条例に基づく調査・捜査で提供する場合があります。別途ご相談ください。

サーバへのSSHアクセスに関して

• 公開鍵暗号方式によるSSH接続
• インターネットからは直接サーバへSSH接続ができず、当社管理の非公開プロキシサーバ経由で接続するようになっています。
• 担当部門外からのSSH接続は許可しておりません。

監視

監視システムを使って24時間365日監視を行なっております。異常が見られれば、システム管理者宛に通知されます。継続的にサービスができないと判断した場合は、お客様担当者宛に連絡いたします。

• 死活監視
• パフォーマンス監視（CPU、メモリ、ディスクIO、ネットワーク、DBコネクション）
• ディスク容量