セキュリティ概要

概要

弊社は、膨大な数のノートを Evernote ユーザよりお預かりしています。この信頼関係は、弊社がお客様のデータを安全に、プライベートな状態で保護することを前提に成り立っています。このページの目的は、弊社におけるデータの保護方法に関し透明性を提供することです。今後、弊社でセキュリティ機能の追加や製品のセキュリティ改善を行う際に、この情報を拡大し、更新していく予定です。

セキュリティプログラム

Evernote にはセキュリティ専門のチームが存在します。セキュリティチームの仕事は、弊社サービスに保管されたお客様のデータを安全に保護することです。弊社が運用するセキュリティプログラムでは、以下の分野に重点を置いています: 製品のセキュリティ、インフラ制御(物理的および論理的)、方針、従業員に対する教育、外部からの侵入検出、査定活動です。

セキュリティチームは独自のインシデント対応 (IR) プログラムを実施し、不審な活動を発見した場合に報告する方法を Evernote 従業員に指導しています。インシデントに対応する IR チームはセキュリティ問題に対処する手順とツールを確立しており、弊社の設備やサービス、従業員に対する攻撃を検出する能力を向上させる努力を続けています。

弊社では、弊社のインフラおよびアプリケーションにおけるセキュリティ上の脆弱性の有無を定期的に査定し、その中からユーザのデータに危害を加える可能性のあるものを修正しています。Evernote のセキュリティチームは、これらの査定で網羅される範囲を拡大し、より詳細な査定を可能にする新しいツールを継続的に評価しています。

ネットワークセキュリティ

Evernote ではファイアウォール、負荷分散装置および SSL VPN の組み合わせを同時稼動させながら、社内ネットワーク境界を定義・保護しています。それにより、どのサービスをインターネットに露出させるかを制御し、プロダクション環境のネットワークを他のコンピューティング・インフラから切り離しています。弊社は運営上の都合により、プロダクション環境インフラにアクセスできる人間を制限し、アクセスする際の認証処理も強化しています。

また、Evernote サービスに対する DDoS 攻撃に備え、オン・デマンドの DDoS 軽減サービスを利用しています。

アカウントのセキュリティ

Evernote がユーザのパスワードを標準テキストとして保管することはありません。認証用にアカウントのパスワードを安全に保管する必要がある場合は、固有のソルト情報を使用する「PBKDF2」と呼ばれる関数を使用します。ユーザ体験とパスワードの推測難易度のバランスを考慮しながら、ハッシュ処理を繰り返す回数を指定しています。

お客様に複雑なパスワードの設定は要求しておりませんが、設定時にパスワードの強度チェッカーを表示することで、強固なパスワードの作成をお勧めしています。パスワードの推測攻撃による影響を軽減する対策として、ログインの失敗回数がアカウントおよび IP アドレスごとにそれぞれ制限されています。

弊社はすべてのアカウントに 2 段階認証(別名 2 要素認証)を提供しています。弊社の 2 段階認証の仕組みは、時間ベースの TOTP に基づいています。すべてのユーザは、自分の端末上で専用アプリケーションを使用して確認コードを生成することができます。Evernote プレミアム・Evernote Business ユーザの場合、確認コードをテキストメッセージ (SMS) で受信することも可能です。

電子メールのセキュリティ

Evernote では自分専用の Evernote メールアドレスにメールを送信することで、新規ノートを作成できる機能を提供しております。悪意のあるコンテンツからお客様のアカウントを保護するために、弊社は受信したすべてのメールを商用のウィルス対策プログラムを使用してチェックしております。

Evernote からメールを受信した際に、実際に弊社から送られたメールであるという安心感をお客様に提供したいと考えております。Evernote から届くメールに対する信頼度を向上させるために、弊社では DMARC の基準に準拠しております。弊社が @evernote.com から送信するすべてのメールには DKIM を使用して署名がされ、公開の SPF レコードに記載された IP アドレスが送信元です。

製品のセキュリティ

インターネットに繋がった Evernote の Web サービスの安全性を確保することは、お客様のデータを保護するうえで極めて重要です。弊社では、ウィルス予防策や定期的な評価が行われるようなアプリケーション用のセキュリティプログラムを運用しています。対象には次のような一般的なアプリケーションセキュリティの問題が含まれます: クロスサイトリクエストフォージェリ (CSRF)、インジェクション攻撃 (XSS、SQLI)、セッション管理、URL リダイレクション、およびクリックジャッキング。

弊社の Web サービスは、第三者アプリケーションの認証に OAuth を採用しています。OAuth により、第三者アプリケーションから自分のアカウントへのシームレスな連携が可能となります。(アプリケーションに毎回ログイン情報を入力する必要が無くなります。)Evernote への認証に一度成功すると、お客様のそれ以降のアクセスを認証するために、クライアント側へ認証トークンが送信されます。これにより、お客様のユーザ名とパスワードを第三者アプリケーションに保管する必要が一切無くなります。

弊社サービスと通信するすべてのクライアント・アプリケーションは、すべての処理に対して明確に定義された Thrift API を利用しています。この API を経由してすべての通信を仲介することにより、アプリケーション・アーキテクチャにおける基礎構築としての認証チェックを確立することができます。サービス内の直接的なオブジェクト・アクセスは無く、クライアントが認証されており特定のノートまたはノートブックへのアクセス権限があることを確認するために、サービスにアクセスするたびに各クライアントの認証トークンがチェックされます。詳細につきましては、dev.evernote.com をご参照ください。

顧客データの分別

弊社ではお客様のデータと他のユーザのデータを分別していません。お客様のデータは、他のユーザのデータと同じサーバに保管されている場合があります。お客様のデータのプライバシーは保護されており、お客様が明確に共有設定しない限りは、他のユーザがデータにアクセスすることはありません。非公開および共有されたコンテンツにアクセスする際の承認方法につきましては、「製品のセキュリティ」の項目をご覧ください。

データの破棄

お客様の方からノート・ノートブックを削除しない限り、コンテンツは弊社にて保持されます。個人用アカウントを利用停止、またはビジネスアカウントへのアクセスを取り消しても、コンテンツが自動的に削除されることはありません。

個人のノートやノートブックの場合、ノートブック内のすべてのノートを削除して、ゴミ箱にあるすべてのノートを削除することで、コンテンツを完全に削除できます。ノートブックを削除すると、そのノートブック内のすべてのノートがゴミ箱に移動されます。ノートを削除すると、そのノートに含まれたデータを参照するすべてのリンクが弊社のデータベースから削除されます。

メディアの破棄と破壊

ユーザデータの保管に一度でも使用されたことがある記憶媒体は、プロダクション環境外で使用するために再利用することはありません。記憶媒体は消磁そして物理的に破壊した後に安全に廃棄する手順を実行しています。詳細につきましては、弊社ブログ記事(英語)をご参照ください。

顧客アカウントへのアクセス

大半のクラウドサービスと同様に、Evernote には管理者ツールがあります。このツールは弊社のカスタマーサービスやプラットフォーム管理チームが、ユーザが抱えている問題を解決するために使用できます。お客様からのご要望に応え、この管理者ツールからユーザデータにアクセスできる人間を制限し、アクセスする際の認証処理も強化しています。

また、管理者権限が濫用されていないことを確認するとともに、何らかの理由で弊社側から顧客アカウントにあるデータにアクセスしなければならない状況を避けるために、Evernote 従業員による顧客アカウントへのアクセスを定期的にチェックしています。

アクティビティログの収集

Evernote サービスとのクライアントの通信は、弊社サーバ側でログを収集しています。これには、Web サーバへのアクセスログおよび弊社 API 経由のアクションのアクティビティログが含まれます。さらに、これらのログにはログイン成功とログイン失敗の記録が残ります。弊社クライアントとサーバ構造の性質上、同期されたノートが閲覧されたかを特定ことはできません。弊社のソフトウェアクライアントからはアクティビティログを自動収集していません。アカウント設定画面の「アクセス履歴」にて、自分のアカウントで使用する各アプリケーションの最近のアクセス時刻と IP アドレスを確認できます。

転送データの暗号化

お客様のデータの送受信には、業界標準の暗号化技術を使用して保護しています。これは一般的にTLS (Transport Layer Security) また SSL (Secure Socket Layer) と呼ばれている技術です。これに加え、Evernote service (www.evernote.com) では HTTP Strict Transport Security (HSTS) にも対応しています。弊社では、cipher suite(暗号アルゴリズム)と TLS プロトコルを組み合わせることで、対応するブラウザおよびクライアントには強力な暗号化を行い、必要に応じて古いクライアントには下位互換性を提供しています。データ保護という最重要事項を守るために、データの送受信におけるセキュリティレベルを常に改善し続ける取り組みを今後も継続していきます。

受信メールおよび送信メールの両方で、STARTTLS に対応しています。これにより、お使いのメールサービスプロバイダが TLS に対応している場合は Evernote サービスとの間で送受信されるメールは転送時に暗号化されます。

弊社は米国で 2ヶ所のデータセンターを運営しており、各データセンターとはインターネットに接続されていない専用のネットワークリンクを使用して通信が行われます。このネットワークリンクには、MACsec プロトコル経由で GCM-AES 128 を使用し、すべての通信を暗号化しています。

ノート内で暗号化されたテキスト

Evernote のデスクトップ版(例: Evernote for Windows Desktop/Mac)を使用している場合、ノートに含まれた任意のテキストを暗号化して、プライベートな情報をさらに安全に保護することが可能です。選択したテキストの暗号化には、128 bit キーの AES (Advanced Encryption Standard) 暗号方式を採用しています。

テキストを暗号化する際に、パスフレーズの入力が必要となります。ユーザのパスフレーズは「PBKDF2」という関数を利用した方法により、固有の salt 値付きで SHA-256 ハッシュ関数を 50,000 回通されます。その結果、128 bit の AES キーが生成されます。このキーは初期化ベクトルと共に、暗号ブロック連鎖 (CBC) モードでデータを暗号化するために使用されます。

Evernote がこの暗号キー/パスフレーズのコピーを受信したり、暗号化されたデータを復元するためにキーエスクロー(鍵供託)を使用することはありません。従って、自分のパスフレーズを忘れた場合は、データが復元できなくなりますのでご注意ください。

回復力と可用性

お客様が必要な時に、どこからでも確実に Evernote を使用できるようにするために、耐障害性のあるシステムおよびネットワークアーキテクチャを運用しております。内容は以下の通りです。

  • 多様かつ冗長なインターネット接続
  • スイッチ、ルータ、負荷分散装置、ファイアウォールを含む冗長ネットワークインフラ
  • それぞれが特定のユーザにのみサービス提供する、シャードを多数使用して構築された、拡張性のあるシステムアーキテクチャ
  • 一つのサーバに障害が発生した場合にホットスタンバイ機能を提供する、冗長なサーバ群として設計されたシャード
  • 冗長電源、冗長ネットワークハードウェア、およびRAID 構成のストレージを用いて構成されたサーバ

弊社では、耐障害性のある施設サービス(電力、空調、消火機能など)を提供するコロケーションプロバイダと契約しています。

また、リアルタイムの稼働状況およびその履歴を以下にて提供しています: https://twitter.com/evernotestatus、http://status.evernote.com

弊社は最低でも毎日 1 回、すべての顧客のコンテンツをバックアップし、さらに複製したバックアップデータを、非公開のネットワークリンクを通じて弊社のバックアップ用データセンターに保管しています。このプロセスを踏むことにより、万が一、弊社の主要なデータセンターが完全な機能不全に陥った場合にもサービスの復旧が可能になります。携帯可能・削除可能な媒体をバックアップに使用することはありません。

物理的なセキュリティ

ノートが Evernote サーバに同期される際には、弊社のいずれかのデータセンターにある、非公開の施錠されたケージの中にデータが保管されます。各データセンターにはスタッフが常駐し、毎日 24 時間体制で監視されています。データセンターへのアクセス認証は最低で二要素ですが、第三要素として生体認証が含まれる場合もあります。

弊社のすべてのデータセンターは、インフラ設備の物理的なセキュリティの証明として、SOC-1 Type 2 の監査をクリアしています。インフラ設備への物理的アクセスが許可されているのは Evernote オペレーション部門の一部メンバーとデータセンターのスタッフのみであり、Evernote のケージに誰かがアクセスするたびに、Evernote オペレーションチームには通知が届きます(録画映像を含む)。

Evernote のすべてのデータは、米国内で保管されています。弊社の主要なデータセンターおよび二次的なバックアップ用データセンターは両方、米国西海岸の地理的に離れた場所に存在しています。

プライバシーとコンプライアンス

米国商務省が定めたセーフハーバー・フレームワークへのコンプライアンスに関する詳細につきましては、弊社のプライバシーポリシーをご覧ください。なお、Service Organization Control (SOC) 報告書は公開しておりません。