セキュリティ、バックアップ、事業継続計画
当社のシステムは非常に安全です。お客様のコンテンツを安全かつ確実に保護するためのあらゆる方法をご確認ください。また、大規模な災害が発生した場合、どのように対応していくかについてもご確認ください。
安全なウェブサーバー
当社のプラットフォームは「プッシュパブリッシュ」技術を採用しており、公開されているウェブページの大部分は物理的に離れたサーバー上で静的に配信されます。このアプローチにより、ウェブサイトの読み込み速度が大幅に向上し、最初のバイトまでの時間(TTFB)が短縮されます。
SSL証明書
SSL証明書は、標準ホスティングプラン以上のすべてのプランで無料で提供されます。SSL証明書はLets Encryptによって提供されます。SSL証明書は、お客様のウェブサイトとのやり取りを第三者の侵入者から保護します。
TLSバージョン
当社のウェブサーバーは、最新のTLSバージョンのみをサポートしています。SSL v2、v3、TLS 1.0は使用していません。これらの高度なセキュリティレベルにより、ウェブブラウザとウェブサーバー間の通信プロトコルのセキュリティが最高レベルに保たれます。ただし、この高度なセキュリティレベルにより、非常に古いコンピューターではウェブサイトを閲覧できない場合がありますのでご注意ください。TLS1.1は現在検討中ですが、古いデバイスを使用するより多くのユーザーがウェブサイトを閲覧できるよう、引き続き提供しております。
安全なファイルストレージ
メンバー登録時またはフォーム投稿時に提供されるメンバー限定のファイルは、安全なファイルリポジトリに保存されます。これらのファイルには、セキュリティ保護されたユーザー、またはハッシュコード付きの特別なリンクを介してのみアクセスできます。
安全なデータベース
当社のデータベースはマルチAZ環境で運用されており、お客様のデータの安全性を確保しています。万が一、いずれかのサーバーに障害が発生した場合でも、もう一方のバックアップサーバーが自動的にサービスを継続します。この機能は十分にテストされており、サーバーアップグレード時に定期的にサーバー間の切り替えが行われています。データベースには最新のセキュリティパッチを適用しています。また、データベースへのアクセスは、指定されたIPアドレスからのみアクセスできるよう保護されています。
バックアップ
当社では、増分バックアップ(時間指定)を採用しており、ウェブサイトを最大2週間前の特定の時点に復元できます。さらに、必要に応じて、他の時点のバックアップも提供しています。
特定の地域で発生した大規模災害に対応するため、オフサイトバックアップ(複数の国に)を保有しています。また、ハッカーがオンラインバックアップにアクセスするという万が一の事態を回避するため、オフラインバックアップも保有しています。オフラインバックアップとは、電源やインターネットに接続されていないストレージデバイスを指します。
クローズドソースシステム
当社のプラットフォームはクローズドソースであり、ソースコードにアクセスできるのは許可されたユーザーのみです。一方、オープンソースシステムでは、悪意のあるユーザーに脆弱性を露呈する可能性があります。
脆弱性テスト
当社では、ランダムに選んだウェブサイトに対して定期的に脆弱性テストを実施し、重要な問題があれば対処します。
稼働時間監視
当社では、複数のサードパーティ監視ツールを使用して定期的にヘルスチェックを実行し、システム管理者に警告を発して、問題を緊急に解決できるようにしています。
ファイアウォールとレート制限
当社では2種類のファイアウォールを運用しています。業界標準のファイアウォールをWebサーバーに統合し、多くの既知の攻撃からWebサーバーを保護しています。また、アプリケーションレベルではカスタムファイアウォールを運用し、多くの一般的な攻撃をブロックするほか、ブルートフォース攻撃やサービス拒否攻撃によるウェブサイトダウンを狙うロボットによるレート制限も行っています。
予備容量と負荷分散
当社のサーバーはすべて、CPU使用率を約10%に抑えて動作するように調整されています。これにより、サーバーは通常の10倍のアクティビティまでバースト処理できます。また、負荷分散機能も備えているため、他のサーバーが混雑している場合でも、余裕のあるWebサーバーが負荷を引き受けることができます。
reCAPTCHAとロボットブロッキング
すべてのウェブフォームは、当社独自のAIアンチロボットファイアウォールによって保護されています。このファイアウォールは、一般的なスパム手法を検知し、ユーザーにreCAPTCHAの入力を強制します。reCAPTCHAフィールドはGoogleが提供するもので、人間がフォームに入力していることを確認するためのものです。すべてのフォームでreCAPTCHAを使用することもできます。当社のフォームスパム対策AIシステムは、他のユーザーが受信したお問い合わせをスパムとしてマークした事例を学習します。
サーバーのパッチ適用
当社では、既知のオペレーティング システムの問題を防ぐために、サーバーを定期的にパッチ適用し、最新の状態に保ちます。
メンバーのセキュリティ
特定のページやコンテンツへのアクセス権限を付与するためのセキュリティレイヤーをご提供しています。メンバーのアクセスレベルを管理したり、メンバーを複数のグループに割り当てたりすることも可能です。ページはアクセスレベルやメンバーグループごとにセキュリティを設定できます。セキュリティアクセスは、メンバーのメールアドレスをユーザー名として利用し、システムによって自動生成される安全なパスワードを使用するという、一般的なアプローチを採用しています。お客様やメンバーは、安全なハッシュを含む単一のリンクまたはボタンから簡単にログインできます。
メールセキュリティ
すべてのメールは安全なサーバー経由で送受信され、認証が必要です。SPFとDKIM技術を用いて、お客様のメールが承認済みであることを検証し、他のメールサーバーに対し、承認されていないメールサーバーからのメールを受信しないよう通知しています。ただし、お客様のメールアカウントのセキュリティは、お客様ご自身のユーザー名とパスワードの保護によってのみ確保されます。他のサーバーユーザーの安全を確保するため、全ユーザーの送信速度を制限し、ブラックリストへの登録状況を独自に監視しています。当社のメールサーバーは非常に高い評価を得ており、当社の一括メールサービスのユーザーは、高い配信率と開封率を享受しています。
2要素認証
2要素認証は、CMS / コントロールパネルへのログインセキュリティを強化するためにご利用いただけます。また、当社のウェブマスターは、顧客のログインを保護するために2要素認証を提供できます。当社のクラウドシステムインフラストラクチャも2要素認証で保護されており、IPルートやSSHキーなどの追加の制限も設けられています。
その他の管理者アクセス権限
スタッフや請負業者に、ウェブサイトコンテンツ管理システムの限られたセクションのみへのアクセスを許可するなど、アクセス権限を制限することができます。例えば、一部のスタッフはPOSのみにアクセスできるようにしたり、SEOエキスパートはSEOメタタグのみにアクセスでき、eコマースレポートにはアクセスできないようにしたりできます。
ログ記録と監視
ウェブやメールなどのあらゆるシステムアクティビティに加え、CMS内のほとんどの更新アクションもログに記録しています。これらのログは、自動化ツールを使用して定期的に監視し、疑わしい動作を検知したり、問題の根本原因を調査したりできます。
事業継続計画
私たちのコアチームメンバーは、ニュージーランドの地理的に遠隔地で働いています。サーバーは世界中に配置されており、バックアップは地理的に遠隔地に保存されています。私たちのインフラストラクチャには冗長性が組み込まれており、微小な障害にも自動的に対応し、トラフィックを迂回します。
万が一、世界のある地域で災害が発生した場合でも、長期的なサービス停止は想定していません。データ損失は最小限に抑えられ、損失は短期間におけるトランザクションデータまたは変更に限定されます。サービスとデータの復旧には複数のルートがあります。
ドメインセキュリティ
Website Worldは、2019年に.nzレジストリから「最も安全なドメインポートフォリオ」に選出されました。Website Worldは、登録者データの品質を定期的に審査しています。また、不正な変更を防ぐため、ドメインDNSロック機能も提供しています。
