CMS ALAYAでは、OS、ネットワーク、アプリケーションおよびコンテンツ運用に関して、様々なセキュリティ対策を講じることが可能です。
CMS ALAYAでは、セキュリティリスクを極小化するため常に最適なミドルウェアに対応してまいりました。
Javaのアップデートサイクルに合わせ、長期サポートが発表されているJava 17および最新バージョンであるJava 18への対応を行いました。
今後も最新ミドルウェアへの対応を進めてまいります(注1)。
(注1)2022年7月現在、Java 17およびJava 18に対応しています。
ポートスキャンやDOS攻撃等への対応として、ファイアウォール、IPSの導入や不要サービス・ポートの停止、アクセス元IPアドレス制限といった一般的な攻撃対策をとることが可能です(注2)
弊社が提供するクラウド型サービスにおいては、セキュリティアップデート、ウィルスチェック等も実施しています。
(注2)CMS ALAYAでは、操作画面へのアクセスはHTTPSもしくはHTTPのみです(ポート番号は変更可能)。
CMS ALAYAへのアクセスには、HTTPSプロトコルが使用できます。また、ウェブサーバのコンテンツ配信に関しても、SFTPによる暗号化通信の利用に対応しています。 また、パブリッククラウド需要の高まりに対応するためAWS-S3へのSFTP配信もサポートいたしました。
ウェブサーバへのファイル転送は、CMSサーバからのアクセスのみに限定できるため、ウェブサーバにおいてもアクセス元IPアドレス制限を行うことで、ウェブサイトの改ざん対策とすることが可能です。
カスタマイズにより改ざん検知システムとの連携を行っている事例もございます。
詳細はお問い合わせください。
SQLインジェクション、コマンドインジェクション、CSRF、ディレクトリトラバーサル等、アプリケーションとしての脆弱性診断・対策を行っています。
脆弱性診断は社内診断のみではなく、経済産業省、情報処理推進機構(IPA)による情報セキュリティサービス基準適合サービスリストに掲載されている専門事業者による詳細な診断を受けています。
また、弊社が提供するクラウド型サービスにおいては、サーバ、ネットワークを含めたサービス全体での脆弱性診断・対策を行っていますので、安心してご利用いただけます。
OS、ミドルウェア等の脆弱性の影響に関しては、トップページの「NEWS」に掲載いたしますので併せてご覧ください。
ID、パスワードの主体認証方式をとるシステムにおいては、ID、パスワードの漏洩によるなりすましアクセスで、各種操作・情報取得が可能になってしまいます。
CMS ALAYAでは、ID、パスワードによる主体認証に加えて、ID単位でアクセス元IPアドレスを指定することが可能です(注3)。本機能により、ID、パスワードが漏洩した場合でも、指定されたIPアドレスの端末以外からのアクセスを防止します。
また、認証ロックアウト機能(一定回数のログイン失敗によりIDがロックされる機能)によりパスワード辞書攻撃にも対応します。
(注3)この機能は「外部からの攻撃への対策」としてのアクセス元IPアドレス制限をアプリケーションレベルで拡張するものです。
CMS ALAYAでは、作成された(もしくは作成途中の)ページに対するアクセス権の設定が可能です。
全てのページはページグループ(Windowsのフォルダに相当する格納先)に保存され、グループ毎にユーザのアクセス権を設定します。このため、採用情報・IR情報等、秘匿性の高いページについては、他のユーザによる参照・変更を防止する、といった制御が可能となります。
また、素材ファイル(注4)についてもページ同様のアクセス権設定が可能であり、ウェブサイトで使用する画像ライブラリをCMS内に保持、同権限のユーザ間で共用できます。
(注4)画像、PDF、CSS、JavaScript等の外部ファイルだけでなく、ページに掲載されるテキストも権限設定の対象です。
万が一、不正アクセス等が発生した場合、コンテンツやCMSの操作履歴等の調査が必要となります。
CMS ALAYAでは、PDF、画像等素材ファイルの改版履歴、ワークフロー履歴、ユーザ毎のログイン・操作履歴等、さまざまな過去データを管理画面から確認することが可能です。
CMS ALAYAは、中央省庁、独立行政法人をはじめとする多数の官公庁、大手企業で安全にご利用いただいています。
より詳細な内容につきましては、お問い合わせください。
ご相談・ご質問をお気軽にお寄せください。
資料請求もこちらから。
ダウンロード版カタログもご用意しています
土日祝日および年末年始を除く弊社営業日