株式会社ルートチームは、情報セキュリティマネジメントシステムについて、第三者機関から下記の認証を取得しています。
認証登録範囲
SaaS事業
システム開発保守業務
ITコンサルティング事業
有効期限
2026年5月18日
伝送データおよび保存データは、すべて暗号化しています。(お客様でデータを暗号化する機能は提供しておりません)
お客様の端末とシステム間のインターネット通信に対してはGoogleによって確立される接続に応じてデフォルトの保護が適用されます。
たとえば、ユーザーと Google Front End(GFE)間の通信はTLSを使用して保護されます。詳細はこちらのリンクをご参照ください。
いずれの暗号化方式も総務省・経済産業省が公表した「CRYPTREC 暗号リスト」に準拠しています。
CRYPTREC 暗号リストhttps://www.cryptrec.go.jp/list.html
99.9%を目標に運用します。(定期メンテナンスを除きます)
リアルタイムの状況は下記をご覧ください
24時間365日提供します。(メンテナンスを除きます)
臨時メンテナンス
サービスの安定稼働のため、定期メンテナンス以外に臨時メンテナンスを実施する場合がございます。
臨時メンテナンスによってサービスのご利用に影響がある場合、OneStreamからのお知らせにて通知します。
全てのサーバー、ネットワーク、ストレージ、データについて冗長化を実施しています。
インシデントが発生した場合、利用者への連絡は以下の手順で行います。
メール
管理画面のお知らせ
リアルタイムの状況は下記をご覧ください
障害は原則として検知から1時間以内に告知いたします。
SLA/SLOやサービス内容の変更については、以下のいずれかの方法で通知します。
メール
ウェブサイト
管理画面のお知らせ
SLA/SLOやサービス内容の変更については、変更の30日前までに通知します。
サービス終了については、以下のいずれかの方法で通知します。
メール
ウェブサイト
管理画面のお知らせ
サービス終了については、終了の90日前までに通知します。
OneStreamは日本東京で運用しています。
お客様のデータは毎日無停止でバックアップを作成しています。
メインのデータベースとなる Firestore についてはCloud Storageにバックアップを取得しております。
(月間可用性99.99%以上、年間耐久性99.999999999%)
バックアップデータは30日間保持しています。
バックアップデータは暗号化されています。
画像ファイルについてはCloudStorageに保管しておりますが、特にバックアップを取得 しておりません。(年間耐久性99.999999999%のため)
動画ファイルについては、2以上の拠点で保管しております。
OneStreamのサービス契約終了翌日から30日後に、入力データ、ユーザー情報を消去します。
OneStreamチームでは脆弱性に対するルールが定められており、脆弱性の影響度などを鑑み、対応いたします。
Webアプリケーションについてはセキュリティに影響のある機能追加などのリリースごと、または年に1回以上の周期で脆弱性診断を行い、問題の検出および対応を行なっております。
原則的に脆弱性診断での結果は開示しておりません。
利用しているサービス群の基盤部分についてはGoogleにより適切な検査が行われています。
委託先サービスの選定についてはセキュリティやコンプライアンスなどを確認した上で契約締結・更新をしています。主に以下の外部サービスを適切な管理権限を整備し利用しております。
PaaS/IaaSとして: Google Cloud Platform
メール送信SaaSとして: SendGrid
課金機能として:Strpe
カスタマーサービスとして: Channel Talk
弊社内情報セキュリティポリシーで定めた管理体制に沿って、データにアクセスできる管理者を制限しております。OneStreamに関わるメンバーは、善良な管理者の注意をもってサービス運用するよう努めます。
OneStreamが稼働しているGoogle Cloud Platformにおける本番環境へのアクセスは、適切な手順で選定された限られた数名の管理者(弊社正社員)のみがアクセス可能になっており、操作は監査ログに記録されます。
管理者アカウントは必要な職務に応じて権限が分離されており、適切な手順での選定と、管理職以上の承認を経て、手順書に応じて権限の与奪が行われています。
【 月~金 】 午前10時~午後5時30分
(日本時間:年末年始・祝日除く)
電話:0368975928
Eメール:sales@one-stream.jp
チャット:https://onestream.channel.io/lounge
こちらにさらに詳しいホワイトペーパーを公開しております。
サービスの開発・運用・保守・運営において共有アカウントが利用禁止であることを明文化していますか。 | 利用禁止を明文化しています。 |
複雑なパスワードを設定できますか? | 半角英小文字大文字数字をそれぞれ1種類以上含む8文字以上です |
暗号化および鍵管理の方針やルールについて、文書で定めているものはありますか。 | はい。セキュリティ規定の中で明文化しています。 |
セキュアコーディングを実施していますか。 | 開発ガイドラインに基づき実施、定期的なコード診断も行っています。 |
セキュリティインシデントを検知するために行っていることを教えてください。 | 24時間監視・異常検知システム導入・定期的なセキュリティスキャン実施。 |
OS/ミドルウェアのパッチ適用状況 | OneStreamで採用しているサーバレス構成では、OS/ミドルウェアのパッチ適用はクラウドプロバイダー(GoogleとVercel)が自動的に管理しています。インフラレベルのパッチ管理は必要ありません。 Googleのセキュリティレギュレーション https://firebase.google.com/support/privacy?hl=ja#certifications Vercelのセキュリティレギュレーション https://vercel.com/security |
脆弱性診断の有無と、「有り」の場合は、診断の対象(アプリケーション、OS、ハードウェア等)と、対策の概要 | 脆弱性診断はアプリケーションを対象に実施しており、検出内容に応じてセキュリティ対応を適宜実施しています。OS・インフラはマネージドサービス(Firebase/Vercel)上で運用されています。 |
時刻同期への対応の有無と、「有り」の場合は時刻同期方法 | 時刻同期は対応済みであり、Google Cloud(Firebase)およびVercelのマネージド環境において、標準で提供される時刻同期機能(NTP)を利用しています。 |
不正パケット、非権限者による不正なサーバ侵入に対する検知等の有無と、「有り」の場合は対応方法 | Firebase・Vercelともに、マネージド環境上で動作しており、不正アクセスや異常パケットの検知・遮断機能が組み込まれています。FirebaseではSecurity Rules・App Check・IAMによるアクセス制御を行い、不正なサーバ侵入を防止しています。 |