Movere のセキュリティ

  • [アーティクル]

Movere は、ユーザーが標準化された出力で IT インベントリとインフラストラクチャ使用率データを収集して視覚化できるようにする、サービスとしての Microsoft ソフトウェア (SaaS) ソリューションです。 Movere は Azure でホストされており、この記事と Azure の SOC 2 Type 2 レポートに要約されている最新のセキュリティとデータ保護テクノロジを使用します。

Movere は独立した法人であり、Microsoft の一部ではありません。 そのため、Microsoft のセキュリティの傘の下ではカバーされません。 独自の既存の SOC 2 コンプライアンス証明書がありません。 ただし、次の点を考慮してください。

  1. Movere は SOC 2 準拠の事前取得でしたが、証明書は更新されていません。
  2. Movere は、取得前にサード パーティによってセキュリティ コンプライアンスが評価され、外部で共有できない Microsoft の内部のセキュリティ規範/標準に準拠するようになりました。 つまり、Movere のセキュリティ コンプライアンスは、取得後にのみ改善されています。SOC 2 コンプライアンス認定の取得に投資していないだけです。
  3. Movere は、SOC 2 に準拠している Azure の上に構築されています。 Microsoft アカウント マネージャーに連絡して、同じ [セキュリティ センター] から詳細なレポートを確認できます。 詳しくはこちらをご覧ください

Movere アーキテクチャは、フロントエンド Movere Web ポータル、バックエンド データベース、スキャンの対象となる環境にインストールされている Movere コンソールの 3 つの層で構成されます。 すべてのデータは、環境内の Movere コンソールによって内部的に収集され、処理のために Azure のバックエンド データベースに安全にアップロードされ、Movere Web ポータルで表示されます。

ポータルの承認/認証

Movere ポータルは、収集後にインベントリと使用率データを表示するために使用されます。

  • Movere にアクセスするすべてのユーザーは、有効なプライベート メール アドレスを使用して管理者 (顧客が選択) によって招待される必要があります。
    • Outlook.com、Gmail、Yahoo Mail などのパブリック メール サービスは許可されていません。 どちらも汎用ユーザー ID でもありません。
    • 2 人のユーザーが同じメール アドレスを共有することはできません。
    • 安全でないアクセスを防ぐために、招待されると、ユーザーは登録を求める電子メールを受け取ります。 招待自体は 2 日間有効です。
  • Movere へのアクセスは、ユーザー名、パスワード、アクセス コードの組み合わせによって管理されます。
    • パスワードは、登録時にユーザーによって選択されます。
    • ユーザーは、少なくとも 8 文字の長さのパスワードを作成し、パスワード文字列に少なくとも 1 つの小文字、大文字、数字、および記号を含める必要があります。
    • パスワードはハッシュ形式で格納され、暗号化によって元に戻すことはできません。
  • Movere は、要求を使用してロールベースのアクセス権を管理します。
    • 機密情報を含むすべてのデータベースへのアクセスはすべて認証されます。 インターネットにアクセスできるシステムへのクリア テキスト ログインはありません。
    • 管理ユーザーには、追加のユーザーの招待、アクセスの許可と取り消し、要求の管理 (読み取り、書き込み、編集) などの追加機能があります。
  • Movere は、不正アクセスからデータを保護するために、サインイン時に発行される 2 要素認証と有効期間の短いトークンを利用します。
    • 実際の認証とトークン管理は、特殊な API と IdentityServer などの業界標準プロバイダーによって実行されます。
    • ユーザー ID が検証されると、ID は 1 日の有効期間のトークンに格納されます。 つまり、ログオンしているユーザーがログアウトせずにブラウザーを閉じると、ブラウザーを開いて Movere サイトに移動すると、元のログオンから最大 1 日アクセスできます。
    • 有効期間の短いトークンに加えて、ユーザー ID は偽装や中間者攻撃から保護されます。
    • ユーザー アカウントが侵害されないようにするために、Movere ではいくつかの検証手法が採用されています。
      • まず、サインイン時に IP アドレス、ブラウザーのバージョン、ディスプレイの解像度などのシステム固有の情報を記録します。 総称して、これらはユーザー システムフィンガープリントと呼ばれます。 ユーザー システムの指紋が変更された場合、そのユーザーは、メール経由で送信される新しい 7 桁のコードを入力するように求められます。
      • 次に、ユーザーが間違ったパスワードを 3 回連続して入力した場合、アカウントは 30 分間一時的にロックされます。 これは、ボットや他の種類の承認されていないユーザーが Movere へのブルート フォースを行わないように設計されています。

データの暗号化

各顧客には、ディスクに書き込まれる前にメモリ内のデータを暗号化するために使用される一意の 2048 ビットの強力な PGP キーが発行されるため、セキュリティ リスクが大幅に軽減されます。 これは公開キーと呼ばれ、データの暗号化にのみ使用できます。

  • データの暗号化を解除するには、クラウドにアップロードする必要があります。ここでは、特殊な API によってユーザーが識別され、顧客と照合され、暗号化されたリポジトリから顧客の秘密キーが取得されます。

  • Movere コンソールを使用してデータをアップロードするユーザーは、正しいアクセス レベル (書き込み要求) を持っている必要があり、Movere コンソールを使用して認証する必要があります。 認証後、ユーザーはアクセス トークン (token.txt) を発行されます。

    • トークンは 12 時間有効であり、インベントリデータと使用率データのどちらに関係なく、Movere Console が担当するすべてのアップロードに使用されます。
    • アクセス トークンの有効期限が切れると、新しいトークンが発行されます。 このトークンは、実際のリソース消費スキャンに割り当てられた最大時間 (90 日) に達するまで、12 時間も有効です。

    Note

    token.txtに格納されているアクセス トークンは、データの暗号化または暗号化解除に使用することも、Movere ポータルへのアクセスに使用することもできません。 このトークン ファイルの唯一の目的は、既に暗号化されたデータのクラウドへのアップロードを許可し、アップロードを実行しているユーザーを識別することです。 90 日後、新しいトークンを発行することはできなくなり、ユーザーは Movere コンソールを介してもう一度認証する必要があります。 アップロード プロセス全体は、TLS 1.2 を使用するセキュリティで保護された接続 (HTTPS) 経由で実行されます。 これは、PGP キーを使用した各ファイルの保存時の暗号化の上にあります。

コンソール データ収集

Movere コンソールは、Movere にデータを収集してアップロードする唯一のメカニズムです。 書き込み要求を持つユーザーのみがデータをアップロードできます。 コンソールは Movere Web サイトからのみダウンロードでき、各顧客に固有の識別子がいくつか含まれています。 そのうちの 1 つはグローバル一意識別子 (GUID) です。 MOVEre コンソールには、顧客名、ユーザー名、または特定の顧客またはユーザーにリンクできるその他の PII 要素が含まれていないため、GUID が使用されます。 コンソールには、各顧客専用の PGP 公開キーも含まれています。 PGP キーは 2048 ビット長で、クラウドにアップロードされる前にすべてのデータを暗号化するために使用されます。 Movere スキャンには、インベントリと使用率データに焦点を当てた 2 種類があります。

  • インベントリ スキャン: これは、ユーザーが開始したスキャンごとに 1 回実行され、次のものが含まれます。
    • ソフトウェア インベントリ
    • システム構成データ
  • 実際のリソース消費量スキャン: ユーザーが指定した期間実行され、次のものが含まれます。
    • CPU、RAM、ストレージのパフォーマンス データ
    • NetStat および SQL データベース接続データ

Movere コンソールからデバイスをターゲットにしてスキャンを実行します。 デバイス リストは、(Active Directory から) 自動的に生成することも、手動で (顧客が生成した CSV ファイルを使用して) 生成することもできます。 Movere は、デバイスリストに含まれていない限り、デバイスをスキャンしません。 データは、WMI を使用して一時的またはリモートで実行されるボットをコピーすることによって、Windows エンドポイントから収集されます。 このボットは、ターゲット デバイスにインストールされているローカル .NET Frameworkに依存しており、既存のリソース要件に対するスキャンを優先するように構成されています。 スキャンが完了すると、データがアップロードされ、ボットが削除されます。

インベントリの正常な出力は平均で 50 KB 未満で、実際のリソース消費スキャンの平均サイズは 5 KB で、空白の Word 文書のサイズの半分未満です。 各ターゲット エンドポイントに送信されるインベントリ バイナリは、最大 4.5 MB (Bot2/Bot4/Frameworkverifier) を追加し、実際のリソース消費量スキャンを実行すると、さらに 3.8 MB (Arc2/Arc4) が追加されます。 これらのバイナリは、インベントリを収集し、インベントリとリソース消費データを暗号化して圧縮し、出力ファイルを Movere コンソールまたはクラウドに直接アップロードします。

ポータル アプリケーションのセキュリティ

Movere は 2020 年前半に、一般提供 (GA) の状態にセキュリティ開発ライフサイクル (SDL) プラクティスを採用しました。

  • アプリケーションでは、内部および外部のすべての通信インターフェイスに対して、256 ビットの最小暗号化を使用して TLS v1.2 (またはそれ以降) のみをサポートしています。
  • アプリケーションは、すべてのユーザー入力を検証し、送信または提示されたデータの信頼を提供しません。
  • アプリケーションは、広範で構成可能な評価とログ機能を提供します。 機密情報とトランザクションはクリア テキストに記録されません。
  • アプリケーションは、正常終了と異常終了を管理できます。
  • アプリケーションは、格納と送信の両方でデータの整合性を確保します。 暗号化処理には標準暗号化 API が使用され、業界標準の暗号化アルゴリズムが使用されます。
  • 暗号化キーは、業界のセキュリティ要件を満たすために適切な長さです。 非対称公開キーと秘密キーのペアは 2048 ビットです。
  • アプリケーションは、暗号化キーへの未承認のアクセスを検出してロックするメカニズムを提供します。
  • アプリケーションからデータベースへのすべてのアクセスは、必要に応じて制限され、タスクの実行に必要な最小限の機能のみを許可します。
  • アプリケーションには、3 回のサインインエラーが発生した後にユーザー アカウントを無効にするメカニズムが用意されています。
  • アプリケーションは、ユーザーによる機密情報へのすべてのアクセスをログに記録するメカニズムを提供します。
  • アプリケーションはモジュール性を提供し、3 つの論理レイヤー (プレゼンテーション 層、ビジネス ロジック、データ層) にセグメント化する機能を提供します。
  • 開発、テスト、運用に関与する個人間には、強力な分離があります。
  • ソフトウェアの変更が確実に制御および評価されるように、プロセスと手順が用意されています。 ソフトウェアリビジョン制御システムは、承認された個人のみがコードベースの変更を許可されるようにするために使用されます。
  • プロセスと手順は、標準化されたテスト手順を保証するために定義されています。 テストには、悪意のあるデータ入力、異常なセッション終了、変更された Cookie、不完全なデータ入力、形式の正しくない要求、データ フィールドの欠落、悪意のある URL の変更、その他の種類の予期しない、または潜在的に悪意のあるアクティビティが含まれます。
  • アプリケーションでは、準備された SQL ステートメントを使用して、SQL インジェクションのリスクを最小限に抑えます。
  • Movere は Entity Framework に基づいており、データ モデルと、Web サイトを基になる論理データベース スキーマから分離する一連の設計およびランタイム サービスで構成されます。 外部関係者は Movere データ構造を確認できず、SQL に対して外部からクエリを実行する機能もありません。

SaaS アプリケーションの特性

Movere は、個別に実行され、ステートレスであり、揮発性 (キャッシュ) と永続データ ストアの両方に接続する複数のサービス (API) で構成されます。 これは一般にマイクロサービス アーキテクチャと呼ばれます。 主なコンポーネントは次のとおりです。

  • フロントエンド サービス: これらは、地理的に負荷分散された Web 資産と Web サービスです。
  • バックエンド サービス: これらは、顧客データの処理、格納、取得に必要な特殊な API、ロール固有のサービスです。 内部的に負荷分散されます。
  • データ ストア: リレーショナル (SQL) データベースとドキュメント データベースの両方を組み合わせた内部向き。

すべてのパブリック API は、内部サービスから分離されています。 各顧客は、顧客テナントの作成時に選択したリージョンでホストされる独自のデータベースを持っています。 Movere は、米国西部、米国中部、西ヨーロッパ、カナダ東部、西オーストラリアのリージョンをサポートしています。

手続き型セキュリティ ポリシー

従業員ポリシー

Movere は、従業員に関する標準の Microsoft ポリシーに従います。 リスク評価は、脅威と脆弱性を特定するために実施され、ポリシーと標準へのコンプライアンスを確保するための定期的な評価と組み合わせて行われます。

従業員とサード パーティの請負業者契約には、機密保持条項と参照セキュリティ責任が含まれます。 スタッフ (従業員、請負業者、一時的な従業員、インターンなど) は、必要な知識と役割に基づいて、機密データへの最小限の必要なアクセス権を持っています。

システム管理

すべてのアクティビティの評価証跡は、安全にログに記録され、保存され、レビューされます。 すべてのシステムの定期的なバックアップが実行されます。 障害はログに記録され、調査され、修正されます。 適切なアラートと監視は 24 時間 365 日実施されています。 手順には、重大なアラート、セキュリティ違反、またはその他のインシデントに関する担当者へのアドバイスが含まれます。 手順には、重大なアラート、セキュリティ違反、またはその他のインシデントの管理に通知するためのインシデント対応計画が含まれます。 この計画は、半期に 1 回レビューおよびテストされます。 サービスの長期にわたる中断 (自然災害、停電など) に対応するための詳細な計画を含め、エスカレーションと対応の手順が実施されています。 このプランは半期単位でレビューされます。

変更制御の手順が文書化され、それに従います。 これらの手順では、変更がエスカレートされる方法とタイミングを詳しく説明し、手順をバックアウトし、緊急変更プロセスを含めます。 サービス レベル アグリーメント (SLA) では、ビジネス アクティビティに影響を与える可能性のある変更を実行する前に、指定されたビジネス パートナーに通知し、承認を要求する必要があります。 資産管理プログラムは、すべての資産をインベントリするために用意されています。

運用環境で実装する前に、すべての変更がテスト環境でテストされます。 テストはテスト データでのみ行われます。 運用データが必要な場合は、権限のないスタッフへの機密データの開示を防ぐためにサニタイズされます。 問題を記録および管理して解決するための手順が用意されています。 職務は十分に分離されています (たとえば、運用サポート スタッフではない専用スタッフによってセキュリティ管理が実行されます)。 ソフトウェア エンジニアは、時間制限がありログに記録される Just-In-Time アクセスを除き、運用上の責任や運用データにアクセスする能力を持っていません。 評価タスクは、評価対象の機能、システム、製品、サービス、およびプロセスに対して責任を負っていない専用のスタッフによって実行されます。 職務の分離が文書化されています。

管理者アカウントの安全な生成、ストレージ、配布には、プロセスと手順が用意されています。 システムとセキュリティの修正プログラムを最新の状態に保つ手順が用意されています。 無効になっているアカウントのロックを解除する前に、ユーザー ID を確認する手順が用意されています。 ユーザー アカウントは、90 日間非アクティブ状態の後に削除されます。 Movere 環境では、半期ごとのレビューが行われます。

コンティンジェンシー/回復性

コンティンジェンシー/ビジネス復旧計画は、責任ある責任者に割り当てられます。 ビジネスの回復とコンティンジェンシーの計画は、毎年テストおよびレビューされます。 ビジネスの回復とコンティンジェンシーの計画は正式に文書化されています。 サービスは高可用性のために設計されており、地理的な近接性の問題に対処します。 重要で機密性の高い運用データは、定期的にバックアップおよび検証されます。

プラットフォームのセキュリティ

標準ビルドは正式に文書化されています。 すべてのアカウントは、一意であり、正当であり、承認され、継続的にレビューされます。 既定のアカウントは削除または無効になります。 すべての管理およびセキュリティ アクティビティ、および機密データへのアクセスがログに記録され、保存され、確認されます。 評価証跡へのアクセスは制限されています。 すべてのシステム パスワード制御は、定義されたパスワード ポリシーを満たしています。 ポリシーで定義されているように、すべてのシステム アカウントに必要な最小限のアクセス権が付与されます。 管理アカウントは変更管理手順でのみ使用され、日常的なシステム操作には使用されません。 適用されたコントロール、承認、割り当て、および管理アカウントとパスワードの使用の監視が文書化されています。 すべてのソフトウェアが承認され、完全にライセンスされます。

システム、アプリケーション、デバイスのセキュリティ強化手順は、システムにインストールされ、最新の状態に保たれる Microsoft 認定マルウェア対策ツール (ウイルス対策、スパム対策、スパイウェア対策など) を含むように正式に文書化されています。 マルウェア対策ツールは、ウイルス以外の悪意のあるソフトウェア (スパイウェア、アドウェア、ルートキットなど) を検出、削除、保護します。最小ソフトウェアのインストールが必要であり、既定のアカウントとパスワードが変更されます。 運用システムには言語コンパイラがインストールされておらず、解釈された言語に対する最低限のサポートしかありません。 ファイルのアクセス許可はロックダウンされます。

多層開発環境が存在し、開発、ステージング、運用システムを論理的および物理的に分離します。 主要なシステムの構成はベンダーの推奨事項に準拠しており、文書化されており、物理的に、事実上、フォレスト別および場所別に分離されています。

セッションの管理

セッション管理は既存のアプリケーション フレームワーク内に実装され、特定のアプリケーション用には開発されません。 アプリケーションが認証トークンとセッションを結び付けるために肯定的なアクションを実行するまで、ユーザーは認証されていないと見なされます。 セッション ベースの認証は、送信または要求ごとに検証されます。 SSL セッション中に設定された Cookie には、"セキュリティで保護された" フラグが設定されています。 すべての Cookie には、アプリケーションまたは Web サーバーのパブリックにアドレス指定可能な IP に関連付けられているドメインにドメイン コンポーネントが設定されています。 非永続的 Cookie は、クライアント セッションを識別するためにのみ使用されます。 Cookie には、機能を実装するための最小限の情報が含まれています。 Cookie には、一意性を確保するのに十分な大きさのランダム コンポーネントが含まれています。 Cookie は暗号化またはハッシュされます。 セッション トークンは、暗号的に一意であり、シーケンシャルで、予測不可能です。 セッション トークンはリバース エンジニアリングに対して耐性があります。 セッション トークンは個人情報に基づいていません。 セッション トークンの一意のキー領域は、ブルート フォース攻撃や列挙を防ぐのに十分な大きさです。 セッション トークンは、構成可能な時間の後に再ネゴシエーションされます。 セッション トークンでブルート フォース試行を実行すると、アプリケーション評価ログにセキュリティ イベントが生成されます。 セッションはログアウト機能を使用して効果的に破棄されます。 アプリケーションは、通常のセッション終了と異常なセッション終了を管理できます。

よくある質問

Movere で収集されるデータ ポイントは何ですか?

Movere は支払いに関連するデータを収集せず、個人から直接情報を収集することはありません。 スキャンでは、アプリケーションの依存関係マッピングのために、ソフトウェアとハードウェアのインベントリ、IT リソース使用率、およびデバイス接続が収集されます。 収集されるデータ ポイントの完全な一覧については、「」を参照してください https://www.movere.io/pii

収集されたデータのライフサイクルは何ですか?

  1. すべてのデータは、Movere コンソールと Movere ボットによって収集されます。
  2. 結果として得られる出力ファイルはすべて、PGP を使用してメモリ内で暗号化されます。 すべての秘密キーと公開キーは、各顧客に固有です。
  3. クラウドにアップロードする前に、出力ファイルは圧縮され、サイズをさらに削減できます。 ユーザーが認証すると、トークンがダウンロードされ、ヘッダーとして各 zip ファイルに追加されます。 その後にのみ、セキュリティで保護されたチャネル (TLS 1.2) を介してファイルをクラウドにアップロードして処理できます。
  4. クラウドに到達すると、各出力ファイルは特殊な API によって処理されます。 各出力ファイルは圧縮解除され、復号化された後、スキャンとアップロードを実行している顧客に属するデータベースにプッシュされます。 同じデータベースを共有する顧客は 2 人いません。
  5. 視覚化の目的で、データはレポート用のセカンダリ データベースに抽出され、その後、ユーザーが Web サイトを介してアクセスできるように、メモリにデータを格納する特殊なサーバーに抽出されます。
  6. すべてのデータは Azure クラウドに格納されます。 一般的なデータ保持期間は 76 日間です (クラウド評価などの Movere アクティビティの場合は 60 日間、データはテナントの有効期限日からさらに 16 日間保持されます)。

データを保護する暗号化テクノロジは何ですか?

データ 保護
パスワード ASP.NET 暗号化 (PBKDF2 を参照)
PGP RSA 2048
ツールの資格情報の暗号化 SHA 256
データベース/サーバー 「SQL Managed Instances の Azure SOC レポート」を参照してください。

保存データ、転送中、使用中のデータをセキュリティで保護するメカニズム

データ セキュリティで保護
保存データ PGP 暗号化
転送中のデータ PGP + TLS 1.2 (HTTPS) 転送
データインユース TLS 1.2 (HTTPS) を使用するサービス プロキシ

データベースはどのように使用されますか?

データベース インスタンスには Azure PaaS を使用します。 さらに、Qlik などのメモリ内データ ストアもクラスター化されます (少なくとも 2 つのシャードが使用されます)。

ソフトウェア開発ライフサイクル (SDLC) とは

ソフトウェア エンジニアは、特別なケース (Just-In-Time) を除き、運用環境にアクセスできません。 新しいバージョンをリリースする準備ができたら、最初にテスト環境で発行されます。 テストが完了し、検証に合格すると、CI/CD パイプラインを使用して運用環境へのデプロイが自動的に実行されます。

どのような変更管理プロセスが実施されていますか?

すべてのコード変更がレビューされます (ピア レビュー)。 受け入れられると、テストにプッシュされます。 自動テストとユーザー受け入れテストの両方が完了すると、コードは運用環境にプッシュされます。 リリース サイクルは 2 週間ごとに行います。 デプロイは、別の手順を必要としないため、自動です。 緊急の変更は手動で行われ、通常は 24 時間未満です。

Movere では、状態とセッション追跡メカニズムが使用されますか?

Movere は、Web サイトのセッション メンテナンスに Cookie を使用します。 すべてのセッションは 24 時間保持され、その後、ユーザーは自動的にサインオフされます。 ユーザーが手動でログオフすることを選択した場合、セッション Cookie はすぐに削除されます。 Cookie は、セッション状態の Movere Portal API、ベアラー トークンを含む認証 API、Qlik によって Qlik サービスに認証を提供する 3 つのサービスによって発行されます。

実行される入力検証関数は何ですか?

すべての顧客フォームは、入力マスク (国コード別の電話番号) を使用して検証され、空白のフィールドは受け入れまれません。

実行される特定のアプリケーション脆弱性テストは何ですか? 最後の評価はいつでしたか?

Movere は、すべての内部 Microsoft 製品およびサービス グループで使用するために C + AI Security によって提供される Web アプリケーション脆弱性スキャン サービス ツールを使用して毎日テストされます。 このツールは、製品グループが使用する共通の一貫性のあるユーザー インターフェイスと Web サービスを提供する抽象化サービスです。 実際のスキャン機能は、Microsoft がライセンスを取得したサードパーティのテクノロジ (および内部で開発された機能) を通じて提供されます。

データが保持される期間はどれくらいですか?

データの破棄の対象は、Movere テナントのプロビジョニングから 76 日間です。 テナントは、評価の一環として、最初の 60 日間はアクティブな状態です。 この 60 日間の終了時に、テナントは 16 日間ロックされた状態に入り、その後、すべてのデータが自動的に消去されます。 お客様は、自動消去の前にいつでもテナントからデータを削除できます。

次の手順

Movere でのスキャンの詳細については、こちらを参照してください