Skip to content

セキュリティについて

名称変更について

2025年3月に espar から espar vault (エスパーボルト)へ名称が変更されました。サービスの機能・仕様・価格に変更はありません。詳しくはこちらをご覧下さい。

Q. 公開サーバのTLS対応バージョンを教えて下さい

TLS1.2 以上です。

公開サーバでは、各種セキュリティ情報や情勢に応じて、古いバージョンや推奨されないプロトコルを非対応としていく保守運用を行っております。

Q. 常時SSL化の対応は可能ですか?

はい

公開サーバで常時SSL化対応を行います。

WordPress等のCMS側が常時SSL化対応していない場合でも、espar vault導入直後から自動的に常時SSL化対応済みサイトとなります。既にCMS側で証明書を設置して常時SSL化をしている場合、当該の証明書は不要となります。espar vault導入後は年次更新して頂く必要もありません。公開サーバでは、証明書にLet’s EncryptのDV証明書を使用しています。証明書の取得や設置、更新の作業を含め全ての料金が espar vault の基本価格に含まれています。

Q. 常時SSL化のサーバ証明書の更新も行って貰えるということでしょうか?

はい

Let’s Encrypt の認証局と通信する仕組みを使用し、証明書の期限が切れる30日前に自動更新を行っています。espar vault のサービス開始以来、自動更新が失敗した事例はありません。

Q. 証明書の期限切れに備えて公開サーバを監視しても大丈夫ですか?

はい

ただし万が一、当該の監視用通信が公開サーバ全体の負荷を過度に上げる要因になる場合は、ご説明の上でアクセス拒否をさせて頂く場合もあります。

Q. 既にhttps通信の為のSSL証明書を持っているのですが継続して使用できますか?

はい

これを「証明書の持ち込み」と呼びます。公開サーバ上に証明書関連ファイル一式(証明書・中間証明書・秘密鍵)を設置する必要がありますので、一式をCMSサーバから取得して弊社担当者にお送り下さい。設置費用(税込 ¥33,000)が必要となりますのであからじめご了承下さい。

証明書を取得した認証局やレンタルサーバ会社様によっては、証明書関連のファイル一式や一部を入手できない場合があります。その場合、弊社でご用意する無償のLet’s Encrypt証明書(DVタイプ)で取得/設置しますので御安心下さい。その場合は設置費用はかかりません。

また「証明書の持ち込み」を行う場合、お客様または制作会社様で毎年更新用の証明書を取得して頂く必要があります。取得に必要となるCSRは都度弊社からご提供しますので期限30日前頃になりましたらお知らせ下さい。弊社で期限管理は行いませんのでご了承下さい。また毎年、有償での対応(税込 ¥33,000/回)となります。

Q. Let’s Encrypt のDV証明書でセキュリティ的に大丈夫なのでしょうか?

はい

証明書にはDV/OV/EVの3ランク(EVが最も高価)ありますが、セキュリティレベルに差は全くありません

サイト閲覧者に「このサイトはEV証明書やOV証明書で常時SSL化しているから安心だ」と思って貰えるかも知れない程度の効用しかありません。証明書の種類によってセキュリティレベルが異なるという主張は、証明書業者のセールストークに過ぎない点に注意してください。

ところで、質問者様は、お使いの銀行や証券会社のWebサイトが、

  1. https対応しているかどうか
  2. 証明書がEV証明書かどうか

を気にしたことはあるでしょうか?1はあったとしても、2を気にかけた事は無いのではないでしょうか?また、EV証明書であるかどうかの確認方法はご存知でしょうか?質問者様の周囲の知人/同僚は2を気にかけておられるでしょうか?

証明書のランクとは、つまり、その程度のものだということです。銀行業や証券業など金融資産を扱うログイン機能つきWebシステムでない限りDV証明書で十分です。OV証明書やEV証明書は全く不要なものであり、両ランク証明書のセキュリティレベルが高いとする論理的・技術的根拠は何一つないと弊社では考えています。

Q. 脆弱性診断は行っていますか?

はい

1年に1回以上行っています。セキュリティのため詳細については非公開としております。

Q. 監視体制は構築していますか?

はい

独自システムにて常時監視を行っています。異常検出時にはアラートが発火し、規定された対応手順に従って対応する体制を構築しています。対応手順については随時見直しを行っています。本情報以外はセキュリティ的な理由により情報開示致しません。

Q. espar vault の関連サーバに対して脆弱性診断を行えますか?

いいえ

理由や背景に関わらず例外なく全ての脆弱性診断を目的とした(疑似)攻撃的アクセスは原則お断りしております。攻撃的アクセスに対する防衛は十分に行っていますが、脆弱性診断による(疑似)攻撃的アクセスが espar vault をご契約の他のお客様に実損害を与える可能性を完全には否定できないためです。

ただし社内基準等の理由で脆弱性診断が必須である場合、条件付きで実施頂くことが可能です。詳しくはQ. 脆弱性診断を行えないと社内基準をクリアできないのですが?をご参照下さい。

なお、弊社への事前の連絡なき、また前述の条件に準じない脆弱性診断アクセスが確認できた場合、不正アクセス禁止法に抵触する行為と断定し、脆弱性診断の実行者IPの特定と一切のアクセスを遮断、および事前通達なくサービス提供の強制停止をさせて頂く場合があります。また警察への通報と被害届提出、弊社ウェブサイトやSNS等での企業名公表、各社報道機関への情報提供、加えて損害賠償請求等の法的措置も辞しませんので十分にご留意下さい。

Q. 脆弱性診断を行えないと社内基準をクリアできないのですが?

以下条件を全て受諾・了承頂ける場合に限り、脆弱性診断を実施頂くことができます。

  • 実施日時を弊社が定める実施可能日時内で計画し、事前に弊社に申し出ること
  • 実施可能な日時は、土日祝日その他弊社休業日を除く平日10:00-16:00のみ
  • DoS攻撃、DDoS攻撃、それらに類する負荷増を目的とした(擬似)攻撃は行わないこと
  • 事前に(擬似)攻撃的アクセスの計画書、または攻撃仕様書に準ずる書面を提出すること
  • 脆弱性診断の結果レポートの複製を実施日1週間以内に弊社に提出すること。1週間以内の提出期日が守れない場合、期日前日までにその理由と提出予定日を報告すること
  • 脆弱性診断により万が一何らかの指摘があった場合にその対応を行うとは限りません
  • 脆弱性診断の対応には1回あたり¥100,000(税別)または御見積時初期費用のうち高いほうの金額が費用として別途必要です。脆弱性診断の結果、espar vault を不採用とされた場合でも当該費用の支払いは免除されません

上記の条件の全てを受託・了承頂き、その上で弊社指定の覚書に署名押印した原本の提出が必要となります。例外は一切認められません。多数のお客様にご利用頂く共用リソースに対する(擬似)攻撃行為であるため、ご理解下さい。

上記の条件が1つでも満たされずに脆弱性診断を行なったことが確からしい形跡が見られる場合、不正アクセス禁止法違反行為と断定し、Q. espar vult のサーバに対して脆弱性診断を行えますか?に記載の断固たる対応・措置をとりますので十分にご留意下さい。