monday.com は、お客様のデータを安全に保つために、世界をリードするセキュリティソリューションを使用しています。

概要

monday.com は、世界中の 100,000 を超える組織の情報を管理しています。当社は、お客様が最高水準のデータ保護を期待していることを理解し、安全性と信頼性に優れた環境を提供することに尽力しております。当社のセキュリティモデルとコントロールは、 ISO 27001, ISO 27018 OWASP Top 10 などの国際規格と業界のベストプラクティスに基づいています。

お客様のデータはどのように保護されるのか?

当社のシステムは、アマゾンウェブサービス(AWS)の複数のアベイラビリティーゾーンでホストされています。これにより、信頼できるサービスを提供し、必要なときにいつでもデータを利用できるようになります。さらに、AWS の別の米国地域にディザスタリカバリーサイトも設立しました。

これらのデータセンターは、先進の物理的且つ環境的セキュリティ対策を採用しているため、耐障害性の高いインフラストラクチャを実現しています。セキュリティ対策の詳細については、以下を参照してください。

AWS セキュリティページ
GCP セキュリティページ

アプリケーションのセキュリティ

monday.com はセキュリティ指向の設計を複数の層で実装していて、そのうちの1つはアプリケーション層です。monday.com アプリケーションは、OWASP トップ10フレームワークに従って開発され、すべてのコードは製造、デプロイメント前に審査されています。

当社の制御された CI/CD プロセスには、静的コード分析、脆弱性評価、エンドツーエンドのテスト、認可の側面に対応するユニットテストなどが含まれます。monday.com の開発者には、定期的にセキュリティトレーニングを実施し、安全な開発について最新のベストプラクティスに精通した状態を保ちます。

インフラストラクチャ・セキュリティ

セキュリティのもう 1 つの層は、インフラストラクチャです。前述のとおり、monday.com は複数の AWS アベイラビリティーゾーンでホスティングされています。さらに、当社のインフラストラクチャは、以下を含む複数の層の防御メカニズムを使用して保護されています。
  • IP ホワイトリストを強要するファイアーウォールにより、許可されたポートのみを介してネットワークリソースにアクセス
  • コンテンツベースで攻撃を動的にブロックするウェブアプリケーションファイアウォール(WAF)
  • DDoS 攻撃の緩和とレート制限
  • 早期の攻撃検出のための NIDS センサー
  • 高度なルーティング設定
  • 内部とエッジの両方でネットワークトラフィックを包括的にロギング

データの暗号化

monday.com は、転送時と保存時のデータすべてを暗号化します。
  • トラフィックは最新の暗号スイートで TLS 1.3 を使用して暗号化され、最低でも TLS 1.2 がサポートされます
  • ユーザーデータは、AES-256 以上を使用してインフラストラクチャ全体で暗号化されます
  • 認証情報は、最新の関数を使用してハッシュされ、保存されます

外部のセキュリティ監査と侵入テスト

サードパーティーによる独立した評価が、お客様のセキュリティ体制を正確かつ公平に理解するために不可欠です。monday.com は、よく知られている独立した監査人を使用して、アプリケーションレベルとインフラストラクチャレベルの両方で毎年侵入テストを実施しています。

さらに、monday.com は、SOC2 タイプII監査、ISO 認証およびその他の外部監査の一環として、外部監査を通過しています。

バグ報奨金プログラム

monday.com は、管理されたバグ報奨金プログラムを維持しており、世界中のセキュリティ研究者が倫理的かつ責任を持って調査を実施し、当社セキュリティチームにセキュリティの脆弱性を開示することができます。

物理的セキュリティ

monday.com はクラウドベースの企業であり、インフラストラクチャのオンプレミスでの保持は一切していませんオフィスでの物理的なセキュリティには、個人識別ベースのアクセス制御、CCTV およびアラームシステムの導入が含まれます。

monday.com のデータセンターは、アマゾンウェブサービスと Google クラウドプラットフォームインフラストラクチャ上にホスティングされており、主要な物理的セキュリティ対策が施されています。

障害回復とバックアップ

monday.comは、すべての顧客に継続的かつ中断のないサービスを提供することをコミットしています。ユーザーデータのバックアップは 5 分ごとに一貫して行っています。すべてのバックアップは暗号化され、さまざまな場所に分散されて25 日間保持されます。

当社の障害回復計画は、その有効性を評価し、サービスが中断された場合にチームの責任と整合性を維持するために少なくとも年に2回テストされています。

セキュリティに関する意識とトレーニング

monday.com は、社内のセキュリティが従業員に依存していることを理解しています。そのため、すべての従業員は、オンボーディング中に徹底的な情報セキュリティ認識トレーニングを受けています。セキュリティに関する追加のトレーニングは、四半期ごとに実施されます。さらに、すべての従業員は、当社の利用規約に署名する必要があります。

アクセス制御

あなたが monday.com にアップロードしたデータは、非公開であり機密であると認識しています。当社は、必要最低限の権限原則に従って、定期的にユーザーアクセスレビューを実施して、適切な権限があることを確認しています。従業員のアクセス権は、転籍時には速やかに変更されます。