こんにちは!
株式会社ラジャのやよいです。
今回は、業界でもトップクラスを誇る、Wix のWebサイトセキュリティーについてご説明いたします。
Webサイトを制作 / 運用する際に管理者・お客様の安全性を守るために大切なサイトセキュリティー、あなたは知っていましたか?
Wix セキュリティ対策の概要
Wix は、企業と顧客のデータや資産を保護するために、技術的および組織的なセキュリティ対策を講じ、維持管理しています。 Wix セキュリティチームは、Wix とユーザーのセキュリティと完全性を管理するプロセスや制御の促進と開発を先導しています。
以下は、Wix が弊社プラットフォームとユーザーの安全を守るために採用している基本的な対策の概要です。 Wix のプラットフォーム、インフラストラクチャ、運用サービスを安全に利用するための Wix の情報セキュリティポリシー、および Wix のセキュリティとコンプライアンスへの取り組みについての詳細は、Wix セキュリティホワイトペーパーをご覧ください。
Wix 専属セキュリティチーム
- Wix では、情報セキュリティ、アプリケーションセキュリティ、ネットワークセキュリティのエキスパートであるセキュリティとプライバシーの専門家チームを採用しています。このチームは、会社の防御システムの維持と継続的な改善、セキュリティレビュープロセスの開発、セキュリティインフラの構築、会社のセキュリティポリシーの実施を行っています。
- Wix の専属セキュリティチームは、プラットフォームとインフラストラクチャを積極的にスキャンしてセキュリティ上の脅威の検出、侵入テストの実施、品質保証対策とソフトウェアセキュリティレビューの実施、Wix プロダクト・エンジニアリングチームにプロジェクト固有のコンサルティングサービスの提供も行っています。
- セキュリティチームは、外部の専門家の協力を得て、ネットワーク上の不審なアクティビティを常に監視しています。また、情報セキュリティの脅威に対処し、定期的なセキュリティ評価と監査を行っています。
コンプライアンスと証明書
セキュリティホワイトペーパーで詳しく説明されている通り、Wix は PCI レベル 1 の加盟店およびサービスプロバイダであり、ISO 27001 および ISO 27018 に準拠していると認定されています。認定書のコピーはこちらをご覧ください。
物理的なアクセス制御
- Wix のサービスは、AWS と Google Cloud Platform のクラウドベースのデータセンターでホスティングされており、Equinix はすべての物理的なコロケーションサービスを提供しています。当社のインフラプロバイダは、ISO 27001、ISO 27017、ISO 27018、SOC 1、SOC 2、SOC 3、PCI DSS レベル 1 などの業界標準のセキュリティ認証を取得しています。
- 当社のデータセンターの所在地については、プライバシーポリシーをご覧ください。
- クラウドサービスプロバイダのセキュリティに関する詳細は、AWS セキュリティページと Google Cloud セキュリティページをご覧ください。
- 世界各地にある Wix のオフィスは、個人認証によるアクセス制限と管理によって物理的に保護されています。
事業継続、インシデント対応、災害復旧計画
- Wix は、インフラストラクチャとサービスの可用性と継続性を確保するために、別々の地理的場所と異なるタイムゾーンにあるデータセンターとクラウドサービスプロバイダを使用しています。
- Wix は、事業継続計画、インシデント対応計画、災害復旧計画を開発・維持しており、これらは定期的にテストされ、更新されます。
- Wix は、 DDoS 攻撃の影響に対する保護と緩和のための指定ソリューションを促進します。
- Wix は、複数の地域に専門チームを置き、Wix プラットフォーム、サービス、サポートインフラストラクチャをサポートしています。
システムアクセス制御
- Wix は、Wix の内部ネットワークと個人データを処理するシステムを取り扱うアクセス制御ポリシーを維持しています。これにより、アクセスログ、モニタリング、制限などの制御プロセスが容易になります。
- Wix の記録とシステムは、顧客の記録と情報を非顧客情報と区別しています。
- データの挿入、削除、変更がスタンプされ、ログ(日時と関係者)に記録されます。
アプリケーションレベルのセキュリティ、モニタリング、リスクの特定・評価
- Wix は、Wix ユーザーのアカウント認証情報とパスワードをハッシュ化します。
- Wix ユーザーは、セキュリティ強化のため Wix アカウントで二段階認証を設定することができます。
- Wix ユーザーは、ウェブサイトの権限の多くをカスタマイズすることができます(これは、使用する特定のサービスや機能によって異なります)。
- すべての Wix クラウドとパブリックインターフェースは、定期的に脆弱性や設定ミスを自動的にスキャンします。 Wix は定期的にプラットフォームへの攻撃をモニター、検出、ブロックします。
- 侵入テストは、Wix のセキュリティチームと外部の第三者によって定期的に行われます。結果は評価され、(必要であれば)修正されます。
- Wix はセキュリティバグ報奨金プログラムを維持しており、独立したセキュリティ研究者に脆弱性レポートをテストし提出するためのプラットフォームを提供しています。
- Wix は、顧客のデータプライバシーを確保し、ある顧客が別の顧客のデータにアクセスするのを防ぐために、コード内のプライバシー制御を促進します。
個人データの保管、送信、転送に関する管理とセキュリティ対策
- Wix で作成されたすべての新しいサイトでは、Wix が提供する基本サービスの一部として HTTPS が自動的に有効になります。
- すべての重要なインターフェースと機能(例:ユーザー認証、決済(PCI データ)、PII 関連のプロセス)は、少なくとも TLS v1.2 を使用してのみアクセスできます。
- Wix は、ゼロデイ攻撃のセキュリティ問題から保護するために、複数層のセキュリティアーキテクチャを備えています。
- 不正アクセスを防止するために、ファイアウォールと侵入防止システムが導入されています。
- Wix は、さまざまなソース(内部ネットワークトラフィック、システムでの従業員の行動、および脆弱性に関する継続的な調査)から収集された情報に焦点を当てた SOC 24/7/365 モニタリングプログラムを推進しています。分析は、トラフィックのキャプチャと解析のためのさまざまなツールを使用して実行されます。
従業員の意識とトレーニング
- Wix のセキュリティチームは、すべての従業員と定期的にコミュニケーションを図り、新たな脅威、フィッシング啓発キャンペーン、その他の業界関連のセキュリティトピックなどをカバーしています。
- Wix の全従業員:入社時および(必要に応じて)継続的にセキュリティトレーニングを実施し、さらに(必要に応じて)セキュリティの特定の側面に関する追加の役割に応じたトレーニングを実施します。
- 顧客情報の安全性を確保することを強調した当社の行動規範に同意します。
- 雇用時に機密保持契約書に署名します。
第三者リスク管理プログラム
Wix のデータ、プラットフォーム、またはシステムにアクセスできる新しいサードパーティサービスプロバイダまたはベンダーに依頼する前に、Wix の第三者リスク管理プログラムの一環として、ベンダーのデータセキュリティ対策のリスク評価を実施します。
法執行機関要請ポリシー
- Wix は、お客様とそのエンドユーザーの人権を尊重します。
- そのため、Wix は法執行機関、政府機関または規制機関(以下「当局」)から受信したすべてのデータリクエストが有効であり、適用される法的手続きに従って行われることを保証するために、法執行機関要請ポリシーを実施しています。
- Wix は、適用法で義務付けられている場合を除き、当局に個人データを開示することはなく、Wix は違法な要求に異議を申し立てます。法的に禁止されている場合を除き、Wix が顧客のユーザー情報(Wix プライバシーポリシーで定義されているもの)のリクエストを受けた場合、Wix は該当するデータの管理者として、該当顧客に直接要求するよう、当局に指示します。
まとめ
いかがだったでしょうか。
あなたが運用している Wix サイトはWix 社の様々な施策により安全性が担保されています。
また、Wix は今後 エンタープライズプラン(法人プラン)を展開するなど、より市場を広げるため大規模なWebサイト制作への展望を見込んでいます。上記の安全性はもちろん、今後の機能/システムアップグレードにも注目です。
ーーーーーーーーーーーー
Wixで制作したサイトを見たい方はhttps://www.wix.creative-raja.com/worksへ
日本 Wix 研究所は、Wix の機能面から運用方法まで、Wix の全てをまとめているメディアサイトです。
実施にエディターを用いて説明するから誰でもわかりやすいコンテンツが盛りだくさん!
お仕事のご依頼やご相談は日本 Wix 研究所のお問い合わせページからお願いいたします。