セキュリティに関するご質問

ISM Service エージェントに関するセキュリティ対策はどのようなものか

• ISM Service エージェントのインターネット接続は外向きの HTTPS 通信だけでよく、 ファイアウォールのポートを開ける必要はないため、攻撃者はアクセス先自体を知ることができません。
• OSS 等の脆弱性については、ISM Service ポータル上の操作で ISM Service エージェントをアップデートを実施する機能を提供予定です。 脆弱性が発覚した場合、アップデートでタイムリーに対処する予定です。
• ISM Service エージェントはウィルススキャンを実施し提供しております。

ISM Service エージェントに通信する際、ファイアウォールのポートを開けなくてもよいのはなぜか

ISM Service エージェントから ISM Service ポータルへの通信は、 HTTPS セッションをアウトバウンド（エージェントからポータルの向き）で確立します。 そのセッションの中で双方向通信をしています。
そのため、ポータルからエージェントへ向けたセッション確立は行われず、 エージェントが配置された側（お客様環境側）のポート開放は不要となります。

なお、この技術は特許第 7421081 号（出願: 特願 2020-009480 / 公開: 特開 2021-118405）として特許権を取得済みです。

接続元端末（クライアント）に接続先のデータを残したくないが、可能か

ISM Service はブラウザー上へ画面転送方式で接続するため、接続元端末には操作内容のデータが残りません。
ただし、接続元端末上でスクリーンショットを制限するような機能については、現状では未対応です。

多要素認証に関するご質問

多要素認証は必ず有効しなければならないか/強制することはできるか

必須ではありませんが、セキュリティ確保のため、多要素認証を設定して頂くことを推奨しています。
全ユーザーに多要素認証の設定を強制でき、 [ユーザー管理] の 多要素認証を必須にする より設定できます。

多要素認証はどのような方式を採用しているか

Time-based One-time Password（タイムベースドワンタイムパスワード、TOTP）を採用しています。 時間に基づいて生成されるワンタイムパスワードで、RFC6238 で定義されています。
ワンタイムパスワードを発行するために 認証アプリケーション（ソフトウェアトークン）を利用します。
RFC6238 に準拠した認証アプリケーションなら何でも利用可能ですが、 開発元で検証しているものについては、 多要素認証設定 を参照してください。

モバイル端末（スマートデバイス）がなくても多要素認証は利用できるか

PC のアプリケーションでも認証自体は可能ですが、推奨できるアプリケーションがないため非推奨としています。

実際に登録した端末を所持しているという点でセキュリティが確保できること、 著名な認証アプリケーションが存在することから、モバイル端末でのご利用を推奨しています。