Security_Banner

セキュリティ

クラウドの信頼性の問題
問題解決はお任せください。データを保護する方法をご紹介します。
services

信頼こそが最優先

しっかり監視してデータを保護

クラウドベースのソリューションにはセキュリティ上の問題があるとお考えでしょうか。15 年以上にわたり SaaS プロバイダとして業界を牽引してきたライブパーソンは、お客様の懸念をよく理解しています。ご安心ください。ライブパーソンは、この間、基幹業務の一環として最高水準のセキュリティを提供するために様々な取り組みを行ってきました。データ保護に万能のソリューションはないものの、お客様の期待を上回るサービスの提供を目指し、日々最善を尽くしています。

ライブパーソンは、信頼関係を築くうえで最も重要なのは透明性の確保だと考えます。だからこそ、お客様のセキュリティ担当者として、データ保護および管理、国際的なセキュリティ基準を遵守について当社が開発した優れたソリューションをご紹介し、お客様が納得されるまで十分にご説明いたします。以下では当社のセキュリティモデル、機能やツールのすべてをご紹介します。引き続きご覧ください。

セキュリティを徹底

ライブパーソンのセキュリティモデルには歴史があります。SaaS プロバイダとしての長年の経験があること、エンタープライズ顧客のセキュリティ担当者と緊密な関係を築いていること、監査責任者の協力を得て評価を頻繁に行っていること、セキュリティコミュニティに深く根ざしていること ―― 当社のモデルはこのような経験に基づいて開発されました。そして常にこのような経験に基づいてプラットフォームを強化し、最高水準のセキュリティを確保しています。ライブパーソンのセキュリティモデルは、物理的セキュリティ、ガバナンス、運用、アプリケーションセキュリティ、組み込みセキュリティ機能、事業継続等の様々な面で安心を提供します。

主な組み込みセキュリティ機能は以下のとおりです。

  • 保管データについて暗号化方式 AES のオプション
  • 機密データのマスキングと難読化
  • 顧客管理ログインポリシー (パスワードの複雑さ、IP アクセスリスト)
  • 監査証跡とログによりアクションや操作を完全に可視化
  • ライブパーソンによるアカウント情報やデータへのアクセスを制限できる柔軟性

コンプライアンスプログラム

コンプライアンスは最優先課題です。ライブパーソンのセキュリティサービスのなかでもコンプライアンスプログラムは特に重要であり、当社が提供するデータに基づいて情報セキュリティ対策の実施状況を確認できます。当社は様々な業種のお客様に対応し、しかも業種により満たすべき基準が異なることから、幅広いプログラムを用意し、しかも常に拡大することにより、お客様一人ひとりのご要望にお応えしています。

SSAE 16 SOC2 (旧 SAS70)

2008 年以降、ライブパーソンは米国公認会計士協会 (AICPA) が定める会計報告の基準を遵守しています。当社セータセンターを含むすべての業務や生産活動について、年に 1 回、監査を受けています。

ISO 27001

ライブパーソンは 2012 年に ISO 27001 の認証を取得しました。これは情報セキュリティ管理の国際規格であり、最高水準のセキュリティが確保されていることを示します。また、このように厳格なセキュリティ基準を満たすことで、お客様に安心を提供しています。

PCI DSS 3.0

クレジットカード情報の適性かつ安全な取り扱いについてお客様を支援する取り組みの一環として、ライブパーソンは、セキュアチャットフォームと請求書発行システムで PCI DSS 3.0 の認証を取得しました。ペイメントカード業界セキュリティ基準協議会 (PCI SSC) の監督下にある当社は、サービスプロバイダおよび販売業者として、カード会員データについて厳格な管理体制を敷いています。

セーフハーバー原則

ライブパーソンは、主に米国および欧州でサービスを提供するグローバル企業として、米商務省が定めた米国・EU 間のセーフハーバープログラムによるセーフハーバー認証を受けています。

SOX 法

ナスダック市場に上場しているライブパーソンは、米国企業改革法 (SOX 法) を遵守しています。年に 1 回、財務とセキュリティに関わるすべての業務について監査を受け、すべての基準を満たすだけでなく、むしろ基準を上回るコンプライアンスを確保しています。

事業提携契約 (BAA) により HIPAA を遵守

医療関係機関は HIPAA (医療保険の相互運用性と説明責任に関する法律) を遵守しなければならないため、サービスプロバイダであるライブパーソンは当該機関と事業提携契約 (BAA) を締結しています。これは、当社が HIPAA に定める指針に従って (保護すべき) 健康状態に関する情報 (PHI) を保護していることを証明するものです。

SkyHigh Enterprise Ready

最後に、ライブパーソンは SkyHigh Enterprise Ready を遵守しています。これは当社がクラウドプロバイダとしてお客様に最高水準のセキュリティを提供していることを証明するものです。

ペネトレーションテスト

ライブパーソンは、最もセキュアで最も優れたアプリケーションを提供するために、日々たゆまぬ努力を重ねています。このような取り組みの一環として、SSDLC (セキュアなソフトウェア開発ライフサイクル) 全体をサポートする包括的なプログラムを開発しました。

このプログラムの

  • 設計と計画策定: セキュリティチームが主なプロジェクトすべてに関わり、設計段階から積極的な役割を担います
  • 教育研修第: 三者機関からアプリケーションセキュリティの専門家を招き、研究開発担当者や品質保証担当者向けにセキュアコーディングや倫理的ハッキングに関する研修を実施します。
  • 静的コード解析: OWASP (Open Web Application Security Project) の推奨に従い、研究開発責任者がコードレビューを行い、チェックインのビルドプロセスでソースコードを静的に解析します。静的解析には Checkmarx 社製のツールを使用します。
  • 動的解析: 動的解析ツール (PortSwigger 社製の BurpSuite 等) を使い、さまざまなシナリオをテストします。
  • 定期的なセキュリティスキャン: McAfee SECURE のサービスを利用し、プラットフォーム上で定期的に脆弱性スキャンを実行します。
  • アプリケーションのペネトレーションテスト: ペネトレーションテストはメジャーバージョンアップ時に (通常、年に 2 回) 独立した第三者機関が行います。 所見のエグゼクティブサマリーはこちらでご覧いただけます。
  • お客様が独自に実施するテスト: ライブパーソンとの調整を適切に行い書面にて承認されている場合、 SSDLC プログラムの一環として、ライブパーソンはお客様ご自身によるペネトレーションテストや脆弱性評価を受けています。目安として、昨年 1 年間だけでもエンタープライズのお客様によるペネトレーションテストを計 30 回、その他のお客様によるデューディリジェンスおよび評価を 300 回以上受けました

インフラストラクチャ

安全性、安定性、信頼性に優れたインフラストラクチャ

SaaS プロバイダとして業界を牽引してきたライブパーソンは、インフラストラクチャのセキュリティをあらゆるレベルで (最先端のセキュリティ機能、ベストオブブリードのセキュリティ機能により) 確保することがいかに重要であるかを理解しています。

  • お客様のデータはお客様のみがアクセスできるように、パーティション分割し、専用のパーティションに保存されます。
  • サーバーのセキュリティ強化
  • 専門チームによる 24 時間 365 日体制の監視とインシデント対応
  • DDoS 攻撃のリスクを緩和するための高度なセキュリティ対策
  • 完全な冗長化とバックアップ
  • 業務全般にわたる事業継続計画の策定

物理的前提

物理的な職場環境における安全性の確保

ライブパーソンのデータセンターは世界最高のセキュリティ基準を遵守しています。

  • 米国および英国で最も優れたサービスを提供するデータセンター事業者 6 社
    • 3 か所に主要データセンター
    • 2 か所にディザスタリカバリセンター
  • ライブパーソンの個人用セキュリティケージ
  • ライブパーソンが運用 (データセンターのスタッフには個人情報へのアクセス権限がありません)
  • 二要素認証/生体認証によるアクセス制御
  • 場所に標識を付けない
  • CCTV システムと警備員による 24 時間 365 日体制の監視

ヒント&リソース

ライブパーソンのアカウント保護に役立つヒントとリソースをご紹介します。

  • Account Configuration Tips:ライブパーソンでは、アカウントに用意されている包括的なセキュリティツールのご利用をお勧めしています。
  • パスワードポリシー
    • 「最小文字数」を8に設定
    • 「最大連続文字数」を2に設定
    • 「同じ文字の最大使用回数」を2に設定
    • 必要条件として英字を有効化
    • 必要条件として数字を有効化
    • 必要条件として特殊文字を有効化
    • パスワードによく使用される文字列の制限を有効化
  • 不正な操作の回避
    • そのURLでライブパーソンの有効な証明書を参照

ライブパーソンが電話やメール、チャットでお客様のパスワードをお聞きすることは絶対にありません。

Security_Nav