Shotgun のセキュリティに関するホワイト ペーパー

更新: 2018 年 5 月 25 日

Shotgun は、スタジオ業務にはデータのセキュリティが重要であることを理解しています。業界がクラウドに移行する中、セキュリティとサービスのモデルがこれまで以上に重要になることも理解しています。

コンテンツの機密性、完全性、および可用性は、優先リストの最上位項目です。プラットフォーム セキュリティとパフォーマンス専用の Shotgun エンジニア チームがいるだけでなく、オートデスクのセキュリティ チームもサポートしており、幅広い業界とお客様のセキュリティに莫大な投資を行っています。セキュリティ環境は常に変化するため、リスク管理プログラムを定期的に最評価、開発、および改善しています。

このドキュメントでは、スタジオで Shotgun の安全性と信頼性を維持するために実行する対策について説明します。Shotgun のセキュリティに関する質問がある場合は、shotgun.security@autodesk.com までお問い合わせください。 

インフラストラクチャ

データ センター

Amazon

Shotgun のサーバは米国西部、欧州、アジア太平洋地域でホストされています。Amazon の証明書は こちらにあります。

TierPoint

Shotgun のサーバは米国内に配置されています。TierPoint の証明書は こちらにあります。ここに記載されているように、TierPoint には独立したサードパーティが発行している SOC 2 Type II 認証レポートがあります。

物理サーバは、オートデスクと TierPoint データ センターの間で優れた仲介者としての役割を果たしているホスティング パートナーの RimuHosting によってセットアップされています。

クラウド ストレージ

Shotgun のすべてのサイトのメディア ファイルと添付物は、既定では米国の Amazon Simple Structure Storage (S3)に保存されていますが、欧州やアジアの場所(サイトの管理者が独自に設定)を選択することもできます。データベースのバックアップは、米国内の Amazon S3 のサイトにも保存されています。

すべてのデータベース バックアップは最初に AWS KMS サービスを使用して暗号化された後に、Amazon S3 (AWS)の TLS 暗号化チャネル経由で送信され、256 ビット AES 暗号化を使用して 2 回目の暗号化が施されます(詳細については、「AWS サーバ側の暗号化」を参照)。

転送

すべての Shotgun サーバは TLS 1.x をサポートしています(SSLv3 にダウングレードすることはできません)。暗号化レベルはクライアントとサーバ間のネゴシエーションによって異なり、256 ビットの暗号化をサポートしていますが、128 ビットの暗号化をサポートする場合もあります。

証明書を最新の暗号化レベルに更新し、暗号のリストを最高強度に更新しているため、SSL Labs から A 判定を受けています。

ネットワーク アクセラレータ

CDNnetwork は、ダラスのデータ サーバから離れた場所にいるお客様に高速アクセスを提供するネットワーク アクセラレータです。世界中にエンドポイントを配置し、ダラスのデータ センターに接続します。セキュリティの観点から、CDNetwork は、Shotgun がサポートするセキュリティと同一レベルの HTTPS をサポートしています(SSLv3 へのダウングレードを許可しない TLS 1.x)。CDNetwork の利用は任意ですが、新しいお客様の場合には既定で動作しており、必要に応じて変更することができます。

マルチテナント

Shotgun Web アプリケーションはシングル テナント アプリケーションです。各テナント(サイト)で独自のプロセスを実行し、独自の PostgreSQL 論理データベースが指定されています。

API アクセス

Shotgun の機能は、HTTPS 要求をラップする Python API を介して使用できます。Shotgun サーバに対するすべての HTTPS 要求は認証されます。認証は、クライアントの Shotgun サイトで管理されているスクリプト キーまたはユーザ名とパスワードを使用して実行されます。

運用

プロダクション サーバへのアクセス

プロダクション サーバに論理的にアクセスできるのは、サポート チームと運用チームのみです。

ログの記録と保存

プロダクション ログは毎日記録され、最長 4 週間保存されます。

監視と通知

Shotgun は自動監視ツールを使用して、システムが適切に動作しているかを観察しています。インシデント管理プロセスを活用し、Shotgun に悪影響を及ぼすイベントにすばやく対応します。データ センターのインシデントとメンテナンスについては、お客様が登録できる Shotgun ステータス ページに掲載されます。問題を事前に検出できるようにさまざまなトリガを配置しており、監視チームが 24 時間体制で積極的に監視しています。これには次の内容が含まれます。

 

  • ネットワーク接続
  • システム応答
  • サーバの異常な負荷
  • トランスコーディングの問題
  • ログインの失敗

スケジュール設定されたメンテナンス

可能な場合は、メンテナンスのアナウンス ウィンドウが 24 時間以上前に Shotgun ステータス ページに表示されます。

メンテナンス スケジュールについては、「Shotgun メンテナンス ポリシー」を参照してください。

運用サポート

お客様向けのサポート チームに加えて、運用上の重大な問題に対応する技術的なオンコール サポートがあります。問題があった場合は、ユーザとのやり取りに使用する Shotgun ステータス ページにすべて報告されます。 Shotgun ステータス ページで過去のインシデントのリストを確認することもできます。

信頼性

2017 年 12 月に Pingdom から報告されているとおり、システムの稼働率は 99.98% です。リアルタイムのメトリックは、Shotgun ステータス ページで確認できます。

上記の稼働率統計を超えるように常に努力していますが、このセクションは稼働率を約束するものではありません。

キーの管理

すべてのキーは、運用チームのみがアクセス可能な暗号化されたデータ リポジトリに格納されています。

障害回復

現在、障害から回復するには、データベースのバックアップを使用してデータ センターを再作成する必要があります。障害の性質に応じて、このプロセスには 24 ~ 48 時間かかると予想しています。 この手順のテストは、毎年実施されています。

アプリケーションの使用方法

イベントのログ作成

Shotgun はほとんどのアクティビティをイベントとしてイベント ログに記録します。データの修正、作成、または削除などの操作はログに記録されます。メディア(バージョン)の再生は、イベントとしてログにも記録されます。任意のページの表示はイベントではありませんが、ユーザがページにアクセスするには、認証および承認を受ける必要があります。

ユーザの認証

Google 認証システムおよび Duo Mobile を使用したパスワードベース認証と 2 段階認証(2FA)が両方サポートされています。

資格情報

新しいユーザを作成すると、このユーザに、スタジオの Shotgun アプリケーション サイトから招待リンク付きのようこそメールが送信されます。このリンクをクリックすると、サイトにログインするためのパスワードを作成する方法が表示されます。詳細については、「ユーザ」の記事を参照してください。

ユーザの承認

権限はお客様の管理下にあります。お客様は、必要に応じて既存のロールをコピーし、新しいロールを作成することができます。ロール(アーティスト、管理者、マネージャ、クライアント、ベンダー)ごとに変更可能な設定済みのルールがあります。このルールは、プロジェクトだけではなくサイト全体に適用されます。詳細については、記事「権限」と「ユーザ」を参照してください。

データ処理

データ ストレージ

通常、作業ファイルまたはアプリケーション ファイル(Maya、Nuke、Photoshop ファイルなど)は、クライアントのローカル ファイル システムに保存されます。Shotgun は、これらのファイルのメタデータ(改訂番号、ディスクの場所、依存関係など)をクラウドに保存します。添付ファイルは TierPoint のプロダクション サーバにアップロードされ、Amazon S3 に非同期にアップロードされます。 

既定では、バージョンに関連付けられているメディアは米国西部、欧州、アジア太平洋地域の Amazon S3 に直接アップロードされ、そこでトランスコードされます。この既定のオプションを無効にできます。このオプションが無効な場合、バージョン メディアは添付ファイルと同様にアップロードされ、TierPoint のプロダクション サーバにトランスコードされて、Amazon S3 に非同期にアップロードされます。 

各サイトには、4 つの PostgreSQL データベース サーバ クラスタのいずれかで動作する独自のデータベースがあります。各データベース サーバ クラスタは、1 台のマスター、継続的に複製される 1 台のスレーブ、および AWS 内で実行される 1 台のウォーム スレーブで構成されています。

アプリケーション データのデータ保持期間

アプリケーション データ:アプリケーション データとは、ユーザによる操作ではなくアプリケーションによって生成されるデータです。たとえば、ユーザの操作後にイベント ログで作成されるエントリがアプリケーション データです。具体的には、ユーザが新しいバージョンを作成した場合は、バージョン自身がクライアント データで、生成されるイベントがアプリケーション データです。アプリケーション データの保持期間は Shotgun の判断に応じて異なり、変更される可能性があります。

イベント:イベントはアプリケーション データのサブセットですが、多くのクライアントにとって重要であるため、イベント固有のデータ保持ポリシーを呼び出します。イベントの既定の保持期間は 6 ヵ月です。この期間の後は、イベントがデータベースから抽出され、外部固定ストレージにアーカイブされます。アーカイブされたイベントは Shotgun Web アプリケーションまたは Shotgun API を介してアクセスできなくなります。ただし、アーカイブされたイベントは Account Center から CSV フォーマットでダウンロードできます。イベントのアーカイブ期間は 5 年です。

データの暗号化

Amazon S3 にあるすべてのデータは、256 ビットの AES 暗号化(詳細については、「AWS サーバ側の暗号化」を参照)で静止時に暗号化されます。PostgreSQL データベースに保存されたデータ(タスクやショットなどのエンティティ)は、パフォーマンス上の理由から暗号化せずに保存されます。パスワードは、反復を繰り返してランダムにソルトを生成する、暗号的に強力なハッシュ アルゴリズムを使用して、ハッシュ化およびソルト化されれます。実際は、ソルトと生成されたハッシュのみがデータベースに永続的に保存されます。

クライアント データへのアクセス

Shotgun はサービス規約の機密保持条項の制約を受け、個人情報保護方針に従ってクライアントのすべてのデータを処理します。 Shotgun の製品とサポートのチームは、サポート要求または製品改善目的に関連してクライアント データにアクセスできます。

データベースのバックアップ

データベース サーバは Amazon S3 に定期的にバックアップされています。また、Amazon S3 にサイトを毎日バックアップしています。データベースのバックアップは静止時に Amazon S3 で暗号化されます。Amazon S3 に保存されたメディアのバックアップは AWS によって直接管理されています。

データの取得

サイトで保存しているデータのコピーはいつでもお客様に提供できます。これにはデータとメタデータが含まれます。

データの削除

クライアントとの関係が停止すると、まずクライアント サイトへのすべてのアクセスが無効になります(つまり、サイトは存続し、復旧も可能ですが、お客様からはアクセスできなくなります)。30 日後、データベースとアップロード データのバックアップが作成されます。さらに 90 日経過すると、すべてのファイル(データベースのバックアップ、メディア、および添付ファイル)が当社のシステムから削除されます。

クライアント情報

ユーザが Account Center で登録するときに入力したクレジット カードやその他の支払い情報は、PCI 準拠サービスの Authorize.net を使用して転送および処理されます。Shotgun システム内にクレジットカード情報は保持されません。お客様の連絡情報は社内データベースに保存されます。 これには、クライアント名、電子メール アドレス、ログイン情報、国、業種、請求書などが含まれます。当社は、個人情報保護方針に従って外部サービスとのクライアント情報の共有を制限しています。

サードパーティによるデータへのアクセス

従来からサードパーティにお客様データへのアクセス権は付与していません。法律で求められた場合は、法的に問題がない限りアクセス権を付与する前にお客様に通知します。

セキュリティ プロセス

ガバナンス

当社は、オートデスクの Chief Information Security Officer (CISO)が率いる Autodesk Information Security, Risk and Controls (ISRC)グループと緊密な関係にあります。

監査

当社は Independent Security Evaluators (ISE)とパートナー関係にあり、Shotgun に対して SAN/CWE コントロールと OWASP セキュリティのテストを四半期ごとに実施しています。現在、監査には、Shotgun Web アプリケーション、Shotgun Review iOS アプリケーション、およびインフラストラクチャが含まれます。侵入テストとソース コードのレビューの両方を実施しています。Shotgun Pipeline Toolkit は内部監査を受けており、近い将来にはサードパーティの監査機関に受け継がれます。重大な高リスクの脆弱性はすべて、特定後すぐに修正されます。中程度のリスク項目は、短期間修正のバックログに追加されます。その他のすべての脆弱性はバックログに追加され、適宜処理されます。

スキャンおよび監視

すべての物理サーバにライブ侵入検知システムがインストールされていて、24 時間体制で監視しています。

すべての物理サーバにウイルス対策がインストールされています。ウイルス定義は定期的に更新されます。

脆弱性スキャンは毎月実施および解析されます。

マルウェア スキャン サービスにより、各バージョンおよびダイレクト ファイル アップロードへのすべての添付ファイルに潜んでいる可能性のあるウイルスが検出されます。スキャンが完了するまで、ファイルにはアクセスできません。感染が検出された場合、感染したファイルにはすべてのユーザがアクセスできなくなり、感染したファイルのサムネイルが UI に表示されます。API を使用している場合も、スキャン サービスがトリガされます。

リスク管理

2015 年 9 月の時点で、オートデスクの CISO が率いるオートデスク ISRC グループのリスク管理プログラムが導入されています。

情報セキュリティ ポリシー

オートデスクでは、オートデスクの情報セキュリティ ポリシーを採用することにしていて、これらのセキュリティ ポリシーと連携するコントールを実装している段階です。

アセット管理

Shotgun はオートデスクのアセット管理ポリシーに従います。すべての従業員のデスクトップとラップトップは オートデスクによって一括管理されるため、すべてのアセットは記録され、適切なセキュリティで保護されます。これには、ウィルス対策ソフトウェア、ワークステーションの自動ロック、パスワード管理などが含まれます。Shotgun で使用されるデータ センター内にあるすべてのサーバのインベントリは定期的に更新されます。

インシデント管理

脆弱性は一般に公開されており、問題はすぐに修正されます。四半期ごとの通常のセキュリティ監査で発見された脆弱性については、緊急で優先度の高い問題に優先順位を付けて優先的に解決し、重大度が中と低の問題は文書化され、優先順位付けされて、セキュリティのバックログに追加されます。当社には、セキュリティ インシデントにすばやく対応できるインシデント管理プロセスがあります。

アカウント管理

Shotgun チームのメンバーがクライアント データにアクセスするには、最初に Autodesk VPN の認証を受けてから、内部データベースの認証を受けます。データベース内では、ロールごとに決められた権限ルール セットに基づいてさらに制限されます。Shotgun チームのメンバーを停止すると、適切な時期に、適切な方法でアクセス権が失効または削除されます。

安全なソフトウェア開発

Shotgun アプリケーションにセキュリティを確実に導入するために、セキュアな開発トレーニング、脅威モデリング、静的および動的なコード解析などの実行方針を含む、オートデスクのセキュアな開発標準が採用されています。

人材管理

素性調査

オートデスクのチームが使用するコンピュータ リソースとサポート システムに物理的または論理的にアクセスする従業員に対して、法律によって許可されている範囲内で素性調査が行われます。

セキュリティ対応

オートデスクのすべての従業員は、新入社員研修の一環として情報セキュリティの重要性を確認し、それ以降も毎年確認する必要があります。従業員は、会社の行動規範を読み、理解し、それに関するトレーニングを受けることを求められています。行動規範では、すべての従業員が合法的かつ倫理的に、誠実さをもち、他の従業員、お客様、取引先、競合他社への尊敬の姿勢をもって業務を遂行することを求めています。オートデスクの従業員は、機密保持、ビジネス会社に従う必要があり、機密性、企業倫理、適切な慣習、職業上の基準に関する会社のガイドラインを順守する必要があります。

機密保持

新しい従業員は機密保持契約に署名する必要があります。新人研修では、クライアント データの機密保持と保護を重点的に説明します。すべての従業員はオートデスクの機密保持契約の制約を受けます。このポリシーに違反した従業員は、オートデスクとの雇用、契約、パートナー関係の停止など、懲戒処分を受ける可能性があります。

 

このドキュメントに含まれる情報は、公開日時点での Autodesk, Inc. の見解を表しており、オートデスクはこの情報を更新する責任を負いません。オートデスクは、製品やサービスに改善やその他の変更を加えることがあり、ここに含まれる情報は、公開日時点で提供されているバージョンの Shotgun® にのみ適用されます。このホワイトペーパーは情報提供のみを目的としています。オートデスクは、このドキュメントについて一切の明示的または黙示的保証を行いません。また、このホワイトペーパー内の情報は、オートデスクの側に拘束力のある義務または責務を作成するものではありません。

前述の内容を制限または修正することなく、Shotgun サービスはサービス利用規約(https://www.shotgunsoftware.com/terms/)に基づいて提供されます。Autodesk, the Autodesk logo, and Shotgun are registered trademarks or trademarks of Autodesk, Inc., and/or its subsidiaries and/or affiliates in the USA and/or other countries. All other brand names, product names, or trademarks belong to their respective holders.

Autodesk reserves the right to alter product and services offerings, and specifications and pricing at any time without notice, and is not responsible for typographical or graphical errors that may appear in this document. © 2016 Autodesk, Inc. All rights reserved.

フォローする

0 コメント

ログインしてコメントを残してください。