セキュリティとプライバシー
Adjustは、お客様がデータを可視化して完全にコントロールできるソリューションを提供します。
専任のセキュリティチームは、Adjustが処理し保管するデータの機密性、可用性および完全性を常に管理しています。
Adjustの情報セキュリティ管理システムは、定評ある認証機関であるTUV Nordより定期的に監査を受けています。2020年、AdjustはISO/IEC 27001の認証を取得しました。
ISO/IEC 27001
国際標準化機構 (ISO) 27001:2013は、信頼性の高い効果的な情報セキュリティ管理システムの要件を規定する国際セキュリティ標準機関です。Adjustは、お客様に対する法的コンプライアンスを遵守しつつ、情報の機密性、可用性および完全性を常に維持するための取り組みを実施しています。
ePrivacy
Adjustは、2015年にePrivacy認証を取得し、2021年に更新されました。本認証は、デジタルプロダクトに関するEU一般データ保護規則(GDPR)の要件をカバーしています。
GDPRとCCPA
Adjustでは、お客様が個人情報保護法を遵守して製品をご利用いただけるように努めております。詳しくは、利用規約、プライバシーポリシー、CCPAのページをご確認ください。
CARU COPPA Safe Harbor
Adjustは、自社のポリシーが世界の最も厳しいプライバシー規制に準拠するよう全力で取り組んでおります。セーフハーバーは、企業の製品と広告宣伝手法が、子供のプライバシー保護を中心としたCOPPAとCARUのガイドラインに準拠していることを保証する唯一の認証プログラムです。
プライバシーポリシー
Adjustでは、データの透明性やプライバシー、情報セキュリティに関する権利を有するのは、アプリユーザーだと考えています。プライバシーポリシーには、どのデータが収集され、どのように使用されるかが明確に定義されています。
Adjustのセキュリティ体制は、セキュリティ・バイ・デザインおよび多層防御のセキュリティ戦略を採用し、攻撃対象領域を減らすことを目指しています。その戦略のひとつがAdjustのインフラストラクチャーです。
Adjustは、IAASプロバイダーとのパートナー連携により、異なる場所に分散させたインフラストラクチャーを運用することで信頼性を高めています。3ヶ所あるデータセンターはそれぞれ多層構造のセキュリティ設計がされており、多くのハードウェアコンポーネントによりあらゆる障害を排除しています。
さらに、Adjustのプロダクション環境では従来のクラウドプラットフォームやビジュアライゼーションテクノロジーを使用していません。これにより、アセットライフサイクルの導入期から多くの重大なセキュリティリスクを回避しています。
セキュリティリスクへの露出を減らすことにより、セキュリティ認証の取得も最小限で済みます。リスクへの露出が増えるほど、十分なセキュリティ対策がされていることを保証するため、より多くのセキュリティコントロールおよび認証が必要になります。
Adjustではリスクへの露出が大きく制限されているため、膨大な数の認証を取得する必要がありません。よって、ビジネスの目標とリスクアペタイト(リスクの種類や程度)に合わせて効果的なリスク管理を実施するには、ISO/IEC 27001認証で十分なのです。
データセキュリティ
Adjustはお客様のためにデータを収集する唯一のプロセッサーであり、他の誰もアクセスすることができません。つまり、Adjustがお客様に代わって収集するすべてのデータは、自社が完全にコントロールしているサーバーにおいてのみ処理および管理されます。
データ送信
Adjustは、サーバーがサポートする業界最高クラスの暗号化スキームおよびプロトコルのみを使用しています。データ送信の機密性および整合性は、SSL/TLSおよびPerfect Forward Secrecy(PFS)により保護されています。
保存データ
重要な顧客データはAES256で暗号化されています。あらゆるデータベースへのアクセスは、最小限の特権管理と職掌分散の原則に従って厳密にコントロールされます。
バックアップ
Adjustは、場所を分散させたデータセンターにて冗長化設計をされたサーバーとアプリケーションを配置しています。各データセンターでは継続的にバックアップが行われています。
データの保持期間
すべての顧客データは、契約終了日から30日後にデータベースから削除されます。
セキュリティの概要
Adjustは、パブリック クラウド プロバイダーによりホストされた典型的なグローバルSaaS企業ではありません。
Adjustは、シングルテナント環境において、ベアメタルサーバーに自社のインフラストラクチャーをホストしています。これによりシステム運用における完全な透明性が実現し、自社のニーズに合わせてシステムを構築できます。
アクセスコントロール
Adjustでは、最小限の特権管理とNeed to know(「情報は知る必要がある人にのみ伝える」という原則」)、職掌分散の原則に基づいたアクセスコントロールのプロセスが制定され、文書化されています。プロダクションのシステムはAdjustエンジニアリングチームの主要メンバー数人に限定されており、パスワードでのログインは禁止されています。
社員のセキュリティ
Adjustでは、Adjustのセキュリティポリシーを尊重するための対策と手順が定められており、 社員や関係者一人ひとりの意識を高めるためのトレーニングを定期的に実施しています。
ネットワークセキュリティ
多層構造のセキュリティ構造により、顧客データの送信における機密性、完全性、および可用性が保護されます。顧客と交換したすべてのネットワークトラフィックは、インターネット上で最も信頼性の高い通信プロトコルであるTLS 1.2のHTTPSで常に守られています。
運用セキュリティ
モニタリングはAdjustのセキュリティ体制の重要な側面です。プロダクションシステムの可用性、信頼性またはセキュリティのいずれに関しても、Adjustは発生した問題に迅速に対処します。さらに、対象エリア外の問題に対してもしっかりと対応し再発を防止します。
システムセキュリティ
Adjustのサーバーとワークステーションは、セキュリティアップデートや内部セキュリティコントロールによりどちらも定期的に強化されています。システム構成は、継続的なデプロイおよび中央管理システムによって維持と記録が行われています。
アプリケーションの多層構造セキュリティ
Adjustの開発チームは、コーディングのセキュリティプラクティスであるOWASPを採用しており、カスタムビルドソフトウェアにおけるアプリケーションの脆弱性を最小限にとどめています。また、データベースインスタンスとアプリケーションサーバーを物理的に離れた場所に設置することで、さらなるセキュリティリスクを回避しています。
ログ
ログはAdjustのインフラストラクチャに欠かせない部分です。Adjustは、ログをプロダクション上でのモニタリング活動とセキュリティイベントの調査など広範囲に使用しています。ログは安全なチャネルを経てリアルタイムで収集され、一元化されたログサービスに送信されます。
ペネトレーションテスト
ペネトレーションテストは、Adjustの脆弱性管理プロセスにおける重要な部分です。Adjustのサーバー、ネットワークおよびWebアプリケーションには定期的に外部評価が行われ、潜在的な脆弱性が特定および修正されます。
セキュリティチームにお問い合わせください
クライアントのデータを守ることはAdjustの最優先事項であり、ビジネスの核です。Adjustは、セキュリティ、信頼およびプライバシーに対して真摯に取り組み、セキュリティ専門家の仕事を高く評価しています。
Adjustのシステムに脆弱性を発見した場合、またはセキュリティに関してご不明な点がある場合は、Adjustのセキュリティチーム(security@adjust.com)までお問い合わせください。