ライフサイズの セキュリティ保全に対する取り組み 2020年4月 ライフサイズジャパン株式会社
ライフサイズのセキュリティ保全に対する取り組み
2020年4月
ライフサイズジャパン株式会社
留意事項
• ここに記載の内容は2020年4月現在の内容です。予告なく変更、訂正される場合があります。
•他社製品、サービスに関する数値、仕様は弊社で担保するものではありません。他社の開示情報をそのまま採用しています。
目次
• 通話のセキュリティ保全
• お客様からお預かりした個人情報のセキュリティ保全
• ライフサイズクラウドのインフラに係る、セキュリティ保全
• 製品開発やサービス提供に係るセキュリティ保全
• お客様の使いこなしによるセキュリティ強化のためのヒント
• まとめ
通話のセキュリティ保全
通話のセキュリティ保全:暗号化
• ライフサイズサービス、ルームシステム、およびクライアントソフトウェアは、PSTNを除くすべての通話で安全で暗号化されたビデオ、オーディオ、プレゼンテーション(メディア)、および通話設定(シグナリング)を提供
• 暗号化は、管理者またはユーザーが無効にすることは不可能。 ビデオ通話は通話品質を保ちながら暗号化。
• ライフサイズサービス、ルームシステム、およびクライアントソフトウェアはWebRTCを採用。WebRTCにおいて暗号化は必須コンポーネントであり、DTLSを介したシグナリングとSRTP / AES-128を介したメディアの両方に適用
• サードパーティのH.323システムは、H.235暗号化用に構成されている場合、安全な方法でビデオ通話に参加可能
• サードパーティのSIPシステムは、SIP TLS用に構成されている場合、安全な方法で参加可能
セキュアオペレーション: H323とSIPスパムのフィルタリング
• Lifesize Cloudに実装されたアプリケー
ションレベルのファイアウォールを介
したSPAMコールのフィルタリング
• 証明書ピンニングによる「中間者攻
撃」に対する保護
• 偽のユーザーアカウントの作成から保
護するために許可された有効な電子
メールドメインのアクセス制限
Internet-based client
Internet
Meeting room behind firewall
セキュリティ境界: 発信トラフィック
• 着信トラフィックには不要
• クライアント/エンドポイントの起動中に確立さ
れたアウトバウンド接続を常に維持
• アウトバウンドトラフィックはLifesizeサービス
に対してのみ開く
セキュリティ境界: ファイアウォール
•FQDNで利用する285のIPアドレスを正確に定義
•ライフサイズのサービスは各々の IP アドレスの裏側で実行
•ユーザーのファイアウォール環境に適応:
– TTLにより、常に最新の状態に保たれる
–設定の変更は必要なし
– LifesizeサービスとLifesizeサービスに対してのみ正確に構成。
ストリーミング、録画と共有
• 録音された通話は、安全なAWS機能に保存
• 記録を表示するためのアクセスは、管理者のみが組織内のユーザーにグローバルに制限することが可能
• 処理中のデータ(ストリーミング、記録、または再生)にはAES-128を使用し、保存データ(ストレー
ジ)にはAES-256を使用して暗号化
• Lifesize Record and ShareはAWSでホストされ、すべての地域および業種にわたるセキュリティのた
めに設計
• 記録の開始には、手動による介入が必要。これにより、不用意な録画開始を防止
• 会議に参加しているすべてのビデオ参加者に画面上の通知が表示され、通話が誰によって記録されて
いるかをユーザーに通知
お客様からお預かりした個人情報のセキュリティ保全
お客様からお預かりした個人情報のセキュリティ保全
• データコンプライアンス規制
– US-EU/Swiss Privacy Shield – Lifesize と
サブプロセッサにおいて認証
– GDPR – Lifesize とサブプロセッサにおいて
認証
• 公に利用可能なプライバシーポリシー
• 設計 / プライバシインパクトアセスメントに
よるプライバシの確保
データ秘匿性とプライバシー
• Lifesize が保持するお客様の個人情報
– 管理者 (Administrator)のみ
• e-mail、氏名、電話番号、住所、会社名、 オプションとして選択可能なパスワード
– ユーザー (Users)
• e-mail、氏名オプションとして選択可能なパスワード
– 通話 ログ(Calls)
– 管理者が機能を有効にしている場合、オプションとして録画が可能
– 顧客管理者 (Administrator) が使用状況レポートにアクセスできるように保存された通話の基本的なメタデータ
(契約終了後に保存期間180日)
– サーバログ (テクニカルサポート契約およびトラブルシューティングの目的で30日間保持。
– チャット
• 管理者が機能を有効にしている場合、オプションとして保存が可能
• 通話内容(ビデオ画像、音声、コンテンツ)は、お客様が録画機能をOnにしない限り、クラウド
上には保存されません。
ライフサイズクラウドのインフラに係る、セキュリティ保全
ライフサイズクラウドのインフラに係る、セキュリティ保全
• ライフサイズはサービス提供のクラウド基盤として、Amazons社が提供す
るAmazon Web Services (AWS)を利用。
• AWSを選択した理由は以下の3点
• スケーラビリティ
• 信頼性とセキュリティ
• サービス品質
• 21 リージョンのグローバルフットプリント
と世界中で 66 のアベイラビリティゾーン
• Lifesize 4k サービスは世界中で 8 つの
AWS リージョンに展開
•東京からのレスポンスは 20ms
– サービスが小さいことでモジュール性が
向上し、新機能の開発が容易になり、継
続的な配信と展開が可能
– 障害の可能性を減らし、復旧を容易にし、
障害時のユーザーへの影響を減少
– ベアメタルサーバーと比較すると、展開
オプションが最新のクラウドサービスの
方が多い
マイクロサービスによるLifesize Cloud アーキテクチャ
AWS データセンターのセキュリティ基準
ハイレベルな認証:
• ISO 27001 – 物理的セキュリティ、情報セキュリティ、サービス可用性
• ISO 27017 – クラウドサービスプロバイダ向け情報セキュリティ
• ISO 27018 – 情報セキュリティとプライバシの保護
• CSA – クラウドコンピューティングにおけるセキュリテイの保証
• SOC – データ整合性、セキュリティおよび内部プロセスにおける年次監査
• PCI – クレジットカードの管理権限
• HIPAA – 個人の健康などに関する情報を管理する権限
製品開発やサービス提供に係るセキュリティ保全
製品開発やサービス提供に係るセキュリティ保全
• ライフサイズの製品、サービスは
全てアメリカ、テキサス州オース
チンにて実施
• サポートセンターはアメリカとイ
ンドに設置
開発者のアクセス権限
•開発者は顧客データにアクセスできない
•顧客データにアクセスできるのは非常に限られたエンジ
ニアリングの上級幹部のみ
•顧客データへのアクセスはライフサイズのSSOにて管理
お客様の使いこなしによるセキュリティ強化のためのヒント
シングルサインオン(SSO)の利用
• オプションでSSOが利用可能
• ユーザーのパスワード管理ポリシーをそのまま適用
• SAML 2.0: クラウド認証のスタンダード
• ライフサイズはユーザーパスワードにアクセスできない
ワンタイムミーティングの利用
• ワンタイムミーティング
• その時限りの会議室を設定可能。会議
室番号とパスワードの使い回しによる機
密漏洩や第三者の不法侵入を防止
• 会議の設定ごとに、ユニークな会議室番
号を付与。パスワードも都度設定が可能
• ワンタイム会議室は最初の通話から24
時間後に自動削除
仮想会議室のセキュリティ
•各仮想会議室に PIN コードを設定することが可能
•仮想会議室のワンタイムでの利用をサポート
•隠し仮想会議室をサポート
–作成者とモデレーターのみディレクトリで確認可能
•会議中、モデレーターはその通話から参加者を削除することが可能
•会議中、モデレーターはすべての参加者をミュートにすることが可能
•会議中、ユーザーは自分のオーディオビデオをミュートにすることが可能
まとめ
• ライフサイズのサービスは機密性、信頼性の高いAWS上で構築されています。
• 通話はデフォルトで暗号化され、解除できません。
• 必要最低限のお客様個人情報しか保持しません。
• 通話データ(映像、音声、コンテンツ)は、お客様が録画機能をONにしないかぎりクラウドに
は保存されません。
• サービス、製品の開発は全て米国、テキサス州オースチンで行っています。
• SSOの利用で、お客様のパスワードポリシーがそのまま適用できます。
• ワンタイムミーティングのご利用で、仮想会議室番号の使い回しによる機密漏洩が防げます。
関連書類リンク
ライフサイズ プライバシーポリシー
https://www.lifesize.com/en/company/legal-notices/privacy
AWSに関する関連書類のリンク
データセンターの高可用化:
https://aws.amazon.com/pt/ec2/sla/
データセンターのサーティフィケーション:
https://aws.amazon.com/compliance/data-privacy-faq/
https://aws.amazon.com/compliance/iso-27001-faqs
https://aws.amazon.com/compliance/