セキュリティ対応

最新ミドルウェアに対応

CMS ALAYAでは、セキュリティリスクを極小化するため常に最適なミドルウェアに対応してまいりました。

Javaのアップデートサイクルに合わせ、長期サポートが発表されているJava 21および最新バージョンであるJava 23への対応を行いました。

今後も最新ミドルウェアへの対応を進めてまいります

外部からの攻撃への対策

増加し続けるサイバー攻撃への対応として、ファイアウォール、IPSの導入や不要サービス・ポートの停止、アクセス元IPアドレス制限といった一般的な攻撃対策をとることが可能です（注1）
弊社が提供するクラウド型サービスにおいては、セキュリティアップデート、ウィルスチェック等も実施しています。

---

（注1）CMS ALAYAでは、操作画面へのアクセスはHTTPSを推奨（ポート番号は変更可能）しており、他のポート開放は不要です。

通信におけるセキュリティ（改ざん対策）

CMS ALAYAへのアクセスには、HTTPSを推奨しています。また、ウェブサーバのコンテンツ配信に関してもSFTPによる暗号化通信の利用に対応しています。 また、パブリッククラウド需要の高まりに対応するためAWS-S3への配信もサポートいたしました。

CMS ALAYAを利用することで、ウェブサーバへのファイル転送をCMSサーバからのアクセスのみに限定できます。ウェブサーバにおいてアクセス元IPアドレス制限を行うことで、ウェブサイトの改ざん対策とすることが可能です。

カスタマイズにより改ざん検知システムとの連携を行っている事例もございます。
詳細はお問い合わせください。

CMSアプリケーションとしての脆弱性対策

CMS ALAYAはSQLインジェクション、コマンドインジェクション、CSRF、ディレクトリトラバーサル等、アプリケーションとしての脆弱性診断・対策を定期的に行っています。
脆弱性診断は社内診断のみではなく、経済産業省、情報処理推進機構（IPA）による情報セキュリティサービス基準適合サービスリストに掲載されている専門事業者による詳細な診断を受けています。

また、弊社が提供するクラウド型サービスにおいては、サーバ、ネットワークを含めたサービス全体での脆弱性診断・対策を行っていますので、安心してご利用いただけます。

なりすましへの対策

ID、パスワードの主体認証方式をとるシステムにおいては、ID、パスワードの漏洩によるなりすましアクセスで、各種操作・情報取得が可能になってしまいます。

CMS ALAYAでは、ID、パスワードなどの知識情報および所有情報による多要素認証に対応しています。さらに、ID単位でアクセス元IPアドレスを指定することが可能（注2）なため、不正に認証を行った場合でも指定されたIPアドレスの端末以外からのアクセスを防止します。

また、認証ロックアウト機能（一定回数のログイン失敗によりIDがロックされる機能）によりパスワード辞書攻撃にも対応します。

---

（注2）この機能は「外部からの攻撃への対策」としてのアクセス元IPアドレス制限をアプリケーションレベルで拡張するものです。

コンテンツに対するセキュリティ

CMS ALAYAでは、作成された（もしくは作成途中の）ページに対するアクセス権の設定が可能です。

全てのページはページグループ（Windowsのフォルダに相当する格納先）に保存され、グループ毎にユーザのアクセス権を設定します。このため、採用情報・IR情報等、秘匿性の高いページについては、他のユーザによる参照・変更を防止する、といった制御が可能となります。

また、素材ファイル（注3）についてもページ同様のアクセス権設定が可能であり、ウェブサイトで使用する画像ライブラリをCMS内に保持、同権限のユーザ間で共用できます。

---

（注3）画像、PDF、CSS、JavaScript等の外部ファイルだけでなく、ページに掲載されるテキストも権限設定の対象です。

更新証跡の保持

万が一、不正アクセス等が発生した場合、コンテンツやCMSの操作履歴等の調査が必要となります。

CMS ALAYAでは、PDF、画像等素材ファイルの改版履歴、ワークフロー履歴、ユーザ毎のログイン・操作履歴等、さまざまな過去データを管理画面から確認することが可能です。

---

CMS ALAYAは、中央省庁、独立行政法人をはじめとする多数の官公庁、大手企業で安全にご利用いただいています。
より詳細な内容につきましては、お問い合わせください。