Shotgun のセキュリティに関するホワイト ペーパー

更新日: 2017 年 6 月 8 日

Shotgun は、スタジオ業務にはデータのセキュリティが重要であることを理解しています。業界がクラウドに移行する中、セキュリティとサービスのモデルがこれまで以上に重要になることも理解しています。

コンテンツの機密性、完全性、および可用性は、優先リストの最上位項目です。プラットフォーム セキュリティとパフォーマンス専用の Shotgun エンジニア チームがいるだけでなく、オートデスクのセキュリティ チームもサポートしており、幅広い業界とお客様のセキュリティに莫大な投資を行っています。セキュリティ環境は常に変化するため、リスク管理プログラムを定期的に最評価、開発、および改善しています。

このドキュメントでは、スタジオで Shotgun の安全性と信頼性を維持するために実行する対策について説明します。Shotgun のセキュリティに関する質問がある場合は、me.shotgun.security@autodesk.com までお問い合わせください。

インフラストラクチャ

物理的なデータ センター

すべての Shotgun サーバは、米国にある TierPoint データ センターでホストされています。TierPoint のサイト(http://www.tierpoint.com/company/certification/)には証明書ページがあり、すべての詳細が記載されています。

TierPoint は SOC 2 Type II の証明書を取得しています。このドキュメント作成時の最新バージョンは 2016 年 5 月です。

物理サーバは、オートデスクと TierPoint データ センターの間で優れた仲介者としての役割を果たしているホスティング パートナーの RimuHosting によってセットアップされています。

クラウド ストレージ

Shotgun のすべてのサイトのメディア ファイルと添付物は、米国の Amazon Simple Structure Storage (S3)に保存されていますが、欧州やアジアの場所(サイトの管理者が独自に設定)を選択することもできます。データベースのバックアップは、米国内の Amazon S3 のサイトにも保存されています。

Amazon S3 (AWS)にあるすべてのデータベースのバックアップは、256 ビットの AES 暗号を使用して静止時に暗号化されます(詳細: http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)。

転送

すべての Shotgun サーバは TLS 1.x をサポートしていますが、SSLv3 にダウングレードすることはできません。暗号化レベルはクライアントとサーバ間のネゴシエーションによって異なり、256 ビットの暗号化をサポートしていますが、128 ビットの暗号化をサポートする場合もあります。

証明書を最新の暗号化レベルに更新し、暗号のリストを最高強度に更新しているため、SSL Labs から A 判定を受けています。

ネットワーク アクセラレータ

CDNnetworks は、ダラスのデータ サーバから離れた場所にいるお客様に高速アクセスを提供するネットワーク アクセラレータです。世界中にエンドポイントを配置し、ダラスのデータ センターに接続します。セキュリティの観点から、CDNetwork は、Shotgun がサポートするセキュリティと同一レベルの HTTPS をサポートしています(SSLv3 へのダウングレードを許可しない TLS 1.x)。CDNetwork の利用は任意ですが、新しいお客様の場合には既定で動作しており、必要に応じて変更することができます。

マルチテナント

Shotgun Web アプリケーションはシングル テナント アプリケーションです。各テナント(サイト)で独自のプロセスを実行し、独自の PostgreSQL 論理データベースが指定されています。

API アクセス

Shotgun の機能は、HTTPS 要求をラップする Python API を介して使用できます。Shotgun サーバに対するすべての HTTPS 要求は認証されます。認証は、クライアントの Shotgun サイトで管理されているスクリプト キーまたはユーザ名とパスワードを使用して実行されます。

運用

プロダクション サーバへのアクセス

プロダクション サーバにアクセスできるのはサポート チームと運用チームのみです。

ログの記録と保存

プロダクション ログは毎日記録され、最長 4 週間保存されます。

監視と通知

Shotgun は自動監視ツールを使用して、システムが適切に動作しているかを観察しています。インシデント管理プロセスを活用し、Shotgun に悪影響を及ぼすイベントにすばやく対応します。データ センターのインシデントとメンテナンスについては、お客様が登録できる Shotgun ステータス ページに掲載されます。問題を事前に検出できるようにさまざまなトリガを配置しており、オンコール エンジニアが積極的に監視しています。これには次の内容が含まれます。

  • ネットワーク接続
  • システム応答
  • サーバの異常な負荷
  • トランスコーディングの問題
  • ログインの失敗

スケジュール設定されたメンテナンス

可能な場合は、メンテナンスのアナウンス ウィンドウが 24 時間以上前に Shotgun ステータス ページに表示されます。

メンテナンス スケジュールについては、「Shotgun メンテナンス ポリシー」を参照してください。

運用サポート

お客様向けのサポート チームに加えて、運用上の重大な問題に対応する技術的なオンコール サポートがあります。問題があった場合は、ユーザとのやり取りに使用する Shotgun ステータス ページにすべて報告されます。また、過去のインシデントのリストも確認できます。

信頼性

2015 年 11 月の Pingdom (https://www.pingdom.com/company/why-pingdom)の報告のとおり、システムの稼働率は 99.98% です。リアルタイムのメトリックについては、http://status.shotgunsoftware.com を参照してください。

上記の稼働率統計を超えるように常に努力していますが、このセクションは稼働率を約束するものではありません。

キーの管理

すべてのキーは、運用チームのみがアクセス可能な暗号化されたデータ リポジトリに格納されています。

障害回復

現在、障害から回復するには、データベースのバックアップを使用してデータ センターを再作成する必要があります。障害の性質に応じて、このプロセスには 24 ~ 48 時間かかると予想しています。

フェイルオーバー システムは AWS に配置されます。

アプリケーションの使用方法

イベントのログ作成

Shotgun はほとんどのアクティビティをイベントとしてイベント ログに記録します。データの修正、作成、または削除などの操作はログに記録されます。メディア(バージョン)の再生は、イベントとしてログにも記録されます。任意のページの表示はイベントではありませんが、ユーザはページにアクセスするために認証および承認される必要があります。

ユーザの認証

パスワードベースと 2 段階認証(2FA)の両方をサポートしています。2FA では Google 認証システムが使用されます。

資格情報

新しいユーザを作成すると、このユーザはスタジオの Shotgun アプリケーション サイトからリンク付きの電子メールを受け取ります。このリンクをクリックすると、サイトにログインするためのパスワードを作成する方法が表示されます。詳細については、「ユーザ」の記事を参照してください。

ユーザの承認

権限はお客様の管理下にあります。お客様は、必要に応じて既存のロールをコピーし、新しいロールを作成することができます。ロール(アーティスト、管理者、マネージャ、クライアント、ベンダー)ごとに変更可能な設定済みのルールがあります。このルールは、プロジェクトだけではなくサイト全体に適用されます。詳細については、記事「権限」と「ユーザ」を参照してください。

データ処理

データ ストレージ

通常、作業、アプリケーション、ファイル(Maya、Nuke、Photoshop ファイルなど)は、ローカル ファイル共有に保存されます。Shotgun は、クラウドにこれらのファイルのメタデータ(改訂番号、ディスクの場所、依存関係など)を保存します。サムネイルと Shotgun ユーザによってアップロードされた添付ファイルは、最初にプロダクション サーバに送信され、次に Amazon S3 ストレージに非同期的に転送されます。各サイトには、3 つの PostgreSQL データベース サーバのいずれかで動作する独自のデータベースがあります。各データベース サーバ クラスタは、継続的に複製されるマスターとスレーブ 1 つずつで構成されます。

アプリケーション データのデータ保持期間

アプリケーション データ:アプリケーション データとは、ユーザによる操作ではなくアプリケーションによって生成されるデータです。たとえば、ユーザの操作後にイベント ログで作成されるエントリがアプリケーション データです。具体的には、ユーザが新しいバージョンを作成した場合は、バージョン自身がクライアント データで、生成されるイベントがアプリケーション データです。アプリケーション データの保持期間は Shotgun の判断に応じて異なり、変更される可能性があります。

イベント:イベントはアプリケーション データのサブセットですが、多くのクライアントにとって重要であるため、イベント固有のデータ保持ポリシーを呼び出します。イベントの既定の保持期間は 6 ヵ月です。この期間の後は、イベントがデータベースから抽出され、外部固定ストレージにアーカイブされます。アーカイブされたイベントは Shotgun Web アプリケーションまたは Shotgun API を介してアクセスできなくなります。ただし、アーカイブされたイベントは Account Center から CSV フォーマットでダウンロードできます。イベントのアーカイブ期間は 5 年です。

データの暗号化

Amazon S3 にあるすべてのデータは、256 ビットの AES 暗号化(詳細は http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html を参照)で静止時に暗号化されます。PostgreSQL データベースに保存されたデータ(タスクやショットなどのエンティティ)は、パフォーマンス上の理由から暗号化せずに保存されます。パスワードは、反復を繰り返してランダムにソルトを生成するセキュアな暗号化アルゴリズムを使用してハッシュ化およびソルト化が行われます。ソルトと生成されたキーのみが一貫してデータベースに実際に保存されます。

クライアント データへのアクセス

Shotgun はサービス規約の機密保持条項の制約を受け、個人情報保護方針に従ってクライアントのすべてのデータを処理します。Shotgun の製品とサポートのチームは、サポート要求または製品改善目的に関連してクライアント データにアクセスできます。

データベースのバックアップ

データベース サーバは Amazon S3 に定期的にバックアップされています。また、Amazon S3 にサイトを毎日バックアップしています。データベースのバックアップは静止時に Amazon S3 で暗号化されます。Amazon S3 に保存されたメディアのバックアップは AWS によって直接管理されています。

データの取得

サイトで保存しているデータのコピーはいつでもお客様に提供できます。これにはデータとメタデータが含まれます。

データの削除

顧客との関係を停止する場合は、最初にクライアントのサイトを凍結します(つまり、サイトは存続し、復旧も可能ですが、お客様からはアクセスできません)。30 日後、データベースとアップロード データのバックアップが作成されます。さらに 90 日経過すると、すべてのファイル(データベースのバックアップ、メディア、および添付ファイル)が当社のシステムから削除されます。

クライアント情報

ユーザが登録時に入力したクレジット カード情報やその他の支払情報は、Authorize.net (http://www.authorize.net/)と呼ばれる外部のセキュアなサービスに保存されます。お客様の連絡情報は社内データベースに保存されます。これには、クライアント名、電子メール、ログイン情報、国、業種、請求書などが含まれます。当社は、個人情報保護方針に従って外部サービスとのクライアント情報の共有を制限しています。

サードパーティによるデータへのアクセス

従来からサードパーティにお客様データへのアクセス権は付与していません。法律で求められた場合は、法的に問題がない限りアクセス権を付与する前にお客様に通知します。

セキュリティ プロセス

ガバナンス

当社は、オートデスクの Chief Information Security Officer (CISO)が率いる Autodesk Information Security, Risk and Controls (ISRC)グループと緊密な関係にあります。

監査

当社は Independent Security Evaluators (ISE) (https://securityevaluators.com/)とパートナー関係にあり、Shotgun に対して SAN/CWE コントロールと OWASP セキュリティのテストを四半期ごとに実施しています。現在、監査には、Shotgun Web アプリケーション、Shotgun Review iOS アプリケーション、およびインフラストラクチャが含まれます。侵入テストとソース コードのレビューの両方を実施しています。Shotgun Pipeline Toolkit は Autodesk ISRC による内部監査を受けており、近い将来にはサードパーティの監査機関に受け継がれます。重大な高リスクの脆弱性はすべて、特定後すぐに修正されます。中程度のリスク項目は、短期間修正のバックログに追加されます。その他のすべての脆弱性はバックログに追加され、適宜処理されます。

脆弱性のスキャン

2015 年以降定期的に、さらに必要に応じてすべてのサーバに対して行われています。このような脆弱性のスキャンを開発プロセスに体系的に統合し、四半期ごとの外部セキュリティ監査に含まれるように取り組んでいます。これは今年末までに完了する予定です。

リスク管理

2015 年 9 月時点で、オートデスクの CISO が率いるオートデスク ISRC グループのリスク管理プログラムを導入しています。

情報セキュリティ ポリシー

現在、Autodesk Information Security のポリシーの適用に取り組んでいます。まだこのセキュリティ ポリシー導入の途中です。

アセット管理

Shotgun はオートデスクのアセット管理ポリシーに従います。すべての従業員のデスクトップとラップトップは Autodesk Enterprise Information Services で一括管理されるため、すべてのアセットは記録され、適切なセキュリティで保護されています。これには、ウィルス対策ソフトウェア、ワークステーションの自動ロック、パスワード管理などが含まれます。Shotgun で使用されるデータ センター内にあるすべてのサーバのインベントリは定期的に更新されます。

インシデント管理

脆弱性は一般に公開されており、問題はすぐに修正されます。四半期ごとの通常のセキュリティ監査で発見された脆弱性については、緊急で優先度の高い問題に優先順位を付けて優先的に解決し、重大度が中と低の問題は文書化され、優先順位付けされて、セキュリティのバックログに追加されます。当社には、セキュリティ インシデントにすばやく対応できるインシデント管理プロセスがあります。

アカウント管理

Shotgun チームのメンバーがクライアント データにアクセスするには、最初に Autodesk VPN の認証を受けてから、内部データベースの認証を受けます。データベース内では、ロールごとに決められた権限ルール セットに基づいてさらに制限されます。Shotgun チームのメンバーを停止すると、両方のアクセス レベルがすぐに削除されます。

安全なソフトウェア開発

安全なソフトウェア開発ライフサイクルのプロセスを導入できるようにオートデスクのセキュリティ チームとともに取り組んでいます。

人材管理

素性調査

オートデスクのチームが使用するコンピュータ リソースとサポート システムに物理的または論理的にアクセスする従業員に対して、法律によって許可されている範囲内で素性調査が行われます。

セキュリティ対応

オートデスクのすべての従業員は、新入社員研修の一部として情報セキュリティの重要性を確認する必要があります。従業員は、会社の行動規範を読み、理解し、それに関するトレーニングを受けることを求められています。行動規範では、すべての従業員が合法的かつ倫理的に、誠実さをもち、他の従業員、お客様、取引先、競合他社への尊敬の姿勢をもって業務を遂行することを求めています。オートデスクの従業員は、機密保持、ビジネス会社に従う必要があり、機密性、企業倫理、適切な慣習、職業上の基準に関する会社のガイドラインを順守する必要があります。

機密保持

新しい従業員は機密保持契約に署名する必要があります。新人研修では、クライアント データの機密保持と保護を重点的に説明します。すべての従業員はオートデスクの機密保持契約の制約を受けます。このポリシーに違反した従業員は、オートデスクとの雇用、契約、パートナー関係の停止など、懲戒処分を受ける可能性があります。

 

このドキュメントに含まれる情報は、公開日時点での Autodesk, Inc. の見解を表しており、オートデスクはこの情報を更新する責任を負いません。オートデスクは、製品やサービスに改善やその他の変更を加えることがあり、ここに含まれる情報は、公開日時点で提供されているバージョンの Shotgun® にのみ適用されます。このホワイトペーパーは情報提供のみを目的としています。オートデスクは、このドキュメントについて一切の明示的または黙示的保証を行いません。また、このホワイトペーパー内の情報は、オートデスクの側に拘束力のある義務または責務を作成するものではありません。

前述の内容を制限または修正することなく、Shotgun サービスはサービス利用規約(https://www.shotgunsoftware.com/terms/)に基づいて提供されます。Autodesk, the Autodesk logo, and Shotgun are registered trademarks or trademarks of Autodesk, Inc., and/or its subsidiaries and/or affiliates in the USA and/or other countries. All other brand names, product names, or trademarks belong to their respective holders.

Autodesk reserves the right to alter product and services offerings, and specifications and pricing at any time without notice, and is not responsible for typographical or graphical errors that may appear in this document. © 2016 Autodesk, Inc. All rights reserved.

フォローする

0 コメント

ログインしてコメントを残してください。