Apidogにおけるセキュリティ対策
お客様のデータを保護することは、Apidogにとって最優先事項です。暗号化、厳格なアプリケーションセキュリティ管理、組織的方針によって、防御力の高いアプローチでお客様のデータを保護しています。
Apidogプラットフォームでは、強固なAPIガバナンスとセキュリティを実現し、お客様のAPIインフラを保護するツールを提供しています。さらに、Apidogの全従業員は採用前にバックグラウンドチェックを受けます。入社後、セキュリティのベストプラクティスを定期的に研修しております。
インフラストラクチャのセキュリティ
Apidogでは、プラットフォームをホストするために、米Amazon社が提供しているAmazon Web Services(AWS)のクラウドインフラを活用しています。自社でデータセンターを維持する代わりに、AWSに完全に依存することで、業界をリードする物理的およびネットワークのセキュリティ管理を利用しています。 AWSインフラストラクチャ上での防御力の高いアプローチには、多要素認証、暗号化、アクセス制御、脆弱性管理、その他のセキュリティベストプラクティスが含まれます。 インフラを保護するために、多層的なアプローチを使用しています。具体的には以下の通りです。
ウェブアプリケーションファイアウォール(WAF)
SQLインジェクションやクロスサイトスクリプティング(XSS)などの一般的なWeb攻撃からインフラを保護するために、AWS Network Firewallを使用しています。 WAFは、悪意のあるトラフィックをブロックするよう設定されています。
DDoS対策
Apidogは、ロードバランシングやその他のソリューションを利用して、潜在的なDDoS攻撃を軽減しています。 トラフィックを複数のサーバーに分散させることで、リクエストの激増やインフラを圧倒する悪意のある行為に対してシステムを強靭化にしています。 インテリジェントなモニタリングにより、トラフィックパターンを追跡し、異常を自動的に対応チームに警告しています。 当直エンジニアは、脅威を迅速に分析し、特定のIPアドレスをフィルタリングするなど、適切な対応を取ることができます。 多層的な防御と注意深い監視により、システムをオンラインかつ正当なユーザーにとってアクセス可能な状態に保っています。
IPホワイトリスト
Apidogでは、承認された開発者のみがインフラにアクセスできるように制限するために、WAFで厳格なIPホワイトリストを実施しています。 許可リストの定期的な監査とレビューにより、不正アクセスの試みをブロックするために、最新の状態に保たれることを確認しています。 システムは、不明なIPからの異常なアクティビティも自動的にフラグを立てて調査の対象としています。 信頼できるIPにエクスポージャーを制限することで、侵入の脅威や悪意のある要求から環境を強化しています。 多層的な防御と積極的な監視・対応により、Apidogはインフラへの攻撃に立ち向かい、適切な行動をすることができます。
データセキュリティ
Apidogにとって、エンドツーエンドのデータセキュリティが最優先事項です。 暗号化、厳格なアプリケーションセキュリティ管理、厳格な組織方針による多層防御アプローチを採用しています。 データベースは、米国東部地域のAWSデータセンターにホストされていて、安全的なデータ保管が実現されます。 Apidogプラットフォームは、強力なAPIガバナンス、IDおよびアクセス管理、脅威防御機能を提供し、お客様がAPIエコシステムを完全に保護できるようサポートします。 セキュリティとコンプライアンスへの承諾は、製品開発ライフサイクルと企業文化の両方にも貫いています。
データの隔離
Apidogでは、論理的な隔離と厳格なアクセス制御を利用して、本番データを開発環境から分離しています。 アクセスは、AWS Identity and Access Management(IAM)によって制限され、不正アクセスを防止しています。 深層防御アプローチでは、Comprehensive CloudTrailログによってすべてのAPIアクティビティをキャプチャするとともに、セキュリティチームがログを定期的にレビューして、迅速に異常を検出および対応できるようにしています。
データの暗号化
Apidogでは、構造的なデータ暗号化戦略を使用して、静止データを不可逆的にスクランブルするためにソルト付きハッシュ関数を利用しています。 転送中のデータの場合、パーフェクトフォワードシークレシーを備えたTLS 1.2暗号化により、公開インターネット上での安全な送信をも保証しています。 ハッシュされたパスワード資格情報を保存して復号化を防止しています。 ハッシュ化された一方向暗号化は、パスワードなどの機密情報を保護します。 厳格なキー管理とアクセス制御ポリシーは、不正な暗号化を防止します。 防御力の高い暗号化は、APIインフラストラクチャを保護します。
データ保護規制
Apidogでは、クライアントのデータ保護コンプライアンス義務の履行を支援する仕組みを実施しています。データ処理プロセスは、セキュリティ、プライバシー、および道徳的なデータ使用の厳格な基を維持することに取り組んでいます。
データ送信のセキュリティ
Apidogでは、TLS 1.2を含むSSL/TLS暗号化プロトコルにより、すべてのデータ送信を保護しています。これにより、お客様のデータの傍受を防止しています。 最適な暗号スイート、一時キー、及びその他の最新のセキュリティパラメータを利用することで、堅牢な暗号化を保証しています。 ファイアウォールなどのネットワークセキュリティメカニズムは、追加の防御層を提供します。
データ対応体制
データバックアップ
Apidogは、データ損失に対する堅牢なバックアップポリシーを実装しています。 顧客データは毎日複数の地理的に分散したAWSリージョンにバックアップされ、安全性を高めています。 チェックサムとテストリストアにより、バックアップの整合性が検証されます。 長期的な保持ポリシーは、以前のバージョンを保存します。
Apidogは災害復元のため、定期的にデータバックアップを実装してAWS S3に保存しています。ユーザーがバックアップへのフェイルオーバーを定期的にテストすることをお勧めします。Apidogの柔軟性のあるインフラはダウンタイムとデータ損失を最小限にしています。 データバックアップに関するより詳細の情報は次のナレッジベースでご参照を:
データ復元
迅速なデータ復元機能により、中断が最小限に抑えられます。 自動フェイルオーバーは、数分で最近のバックアップからプライマリデータベースを復元します。 非同期レプリケーションによるホットスタンバイインスタンスも、高速なRPOを実現できます。 選択的な復元により、細かい回復ニーズにも対応できます。 詳細なログにより、法的調査と根本原因分析が支援されます。
データ削除
お客様からデータ削除の要請がある場合、Apidogはプライマリデータベース、キャッシュ、バックアップからタイムリーにレコードをパージできます。 暗号化消去技術により、ブロックストレージからデータを完全に消去します。 削除されたデータは、すべてのシステムから永久にパージされ、回復不可能になる前に15日間保持されます。
脅威からの保護と対応
Apidogでは、包括的な監視により、インフラとサービス全体での迅速な脅威検出が可能です。 ロードテストにより、サージからのパフォーマンスへの影響が最小限に抑えられます。 最新のインテリジェンスに基づく定期的な脅威シミュレーションテストとアップデートにより、保護がさらに改善されます。 監視と対応を支える多層的防御により、Apidogは攻撃に耐え、回復できます。
サービスのモニタリング
Apidogは、インフラとアプリケーションに対して、継続的な自動モニタリングを実装しています。環境全体に設置したセンサーが、メトリックとアクティビティパターンを追跡しています。 潜在的な脅威が検知されると、訓練を受けたセキュリティおよび信頼性エンジニアリングチームにアラートが出され、迅速な調査と対応が行われます。
システムのパフォーマンス
Apidogは、自動スケーリングクラウドインフラを活用して、顧客需要の急増に応じて迅速に追加リソースをプロビジョニングしています。 ロードバランシングにより、増加したトラフィックが分散されるため、既存ユーザーに対して一貫したパフォーマンスと可用性が保証されます。 積極的なロードテストにより、ボトルネックを特定し、顧客への影響前に問題が解決できます。クラウドのエラスティシティにより、Apidogは大幅な使用量の増加にもスムーズに対応し、ユーザーエクスペリエンスの低下を防ぐことができます。
リリース前の厳格な検証
Apidogでは、すべてのプラットフォームアップデートは、リリース前に安定性とセキュリティの徹底的な検証を受けています。 シミュレートされた本番環境下での負荷テストにより、パフォーマンス上のボトルネックが特定されます。 A/Bテストにより、新しいバージョンとベースラインビルドが比較されます。 自動および手動による侵入テストでは、潜在的な脆弱性が明らかになります。 テストの自動化により、プラットフォーム全体での迅速な回帰テストが可能になります。 各リリースに対するこの厳格な検証プロセスにより、新たに展開される機能が実運用環境に十分に堅牢化されていることが確認されます。
支払情報のセキュリティ
支払情報のセキュリティを確保するために、ApidogはStripeを支払方法のみとすることを選択しました。 グローバルに認知されたセキュアな支払プラットフォームとして、Stripeは世界中の主要企業や顧客の信頼を得ています。
Stripeの有効性と信頼性は、主にPCI DSS(Payment Card Industry Data Security Standard)への完全準拠に帰することができます。これは、支払プロセスのすべての段階でのカード保有者情報のセキュアな取り扱いを保証する確立済みのグローバルなセキュリティスタンダードです。 このスタンダードへの準拠は、Apidogがお客様の支払情報を不正アクセスから保護することに全力を尽くしている決意であり、取引時の絶対的なセキュリティと安心感をもたらします。
セキュリティにおける共有責任
セキュリティはApidogとそのユーザーの間の共有責任です。 Apidogがプラットフォームの安定性と安全性を確保している一方で、ユーザーもデータを保護する上で重要な役割を担っています。 高いデータセキュリティ基準を維持するために、Apidogの環境外に機密情報を保存しないことを推奨しています。 APIキーやアクセストークンなどの機密データを保護する効果的で実践的な方法は、暗号化された環境変数を利用することです。
ソーシャルエンジニアリングに対するセキュリティポリシー
Apidogは、作業場とインフラストラクチャを保護するために、多層的な物理的および人的セキュリティ対策を実施しています。
多層的セキュリティ対策
Apidogは、厳格なセキュリティ管理措置を実施し、身分認証、アクセス制御、アクセス権限管理などのセキュリティメカニズムを最小することにより、許可された社員のみが施設へのアクセスを保証し、クリーンデスクポリシー、保護されたワークステーション、シールドデバイス保管庫は、業務時間外でも情報セキュリティを維持できます。
従業員のための包括的セキュリティポリシー
Apidogは、定期的に社内でセキュリティ研修を提供し、最良のセキュリティプラクティス、潜在的な脅威の識別、およびデータ保護の重要性について教育しています。また、ユーザーには、定期的なパスワード変更や共有デバイスでのログインを避けるなど、積極的なセキュリティ対策を取るように推奨しています。
従業員は、席を外す際にコンピュータをロックする必要があり、これにより不正アクセスに対する追加の保護層が追加されます。 外部来訪者は常にエスコートが必要であり、アクセスが指定の会議室とロビーに限定されています。
毎日の業務終了時には、従業員はシステムをシャットダウンし、書類を確実に保管してから退社しています。 これらとその他の予防措置により、Apidogは、データ、システム、施設を、潜在的なセキュリティ上の脅威から保護するよう努めています。 同社は、警戒心と予防措置が、業務の完全性と機密性を維持する上で不可欠であることを認識しています。