業界リーダー達の情報サイト

【Tradeshift実践編 #11】Tradeshiftのセキュリティ

LINEで送る
Pocket

Tradeshift はクラウドベースの SaaS(Software as a Service) です。クラウドサービスであるため、PCにソフトなどを追加でインストールする必要はなく、データはすべてオンライン上に保存されます。また、全てウェブブラウザで動作するサービスで端末にソフトウェアをインストールする必要がないため、ブラウザさえあればPCやタブレット、スマートフォンなど、異なる端末からログインしたとしても、全く同じ機能を使うことが可能です。

しかし、どこからでも誰でもアクセスできるオンラインのサービスだからこそ、そのセキュリティ対策については気になるところです。そこで今回の実践編は操作方法や活用方法ではなく、Tradeshiftを安心して使うために、Tradeshiftのセキュリティとデータ保存について解説します。


第三者によるセキュリティ認証
Tradeshiftはユーザー企業様が安心してサービスをご利用頂くため、国際的なセキュリティ基準に準拠して、システム構築と運用を行っています。Tradeshiftでは以下のセキュリティ・認証機関の審査をクリアしています。


ISO 27001
ISO 27001は、組織が保有する情報にかかわるさまざまなリスクを適切に管理し、組織の価値向上をもたらすISMSの国際規格です。


ISAE3402 / SOC1
SOC 1 監査は、データとネットワークセキュリティ、論理的セキュリティ、バックアップと復旧の手続き、システムの可用性、アプリケーション開発、顧客の認証を含む管理体制について徹底した監査が行われたことを証明します。


SOC 2
企業のITガバナンスにおける統制の有効性や効率性を評価するもの。規準にはセキュリティ、可用性、処理の整合性、機密保持、プライバシーなどの項目にわたっています。

このように、グローバルレベルの堅牢なセキュリティ基準に合格しているため、クラウド環境でも安心して利用できます。

【Tradeshiftへのログイン】
Tradeshiftの標準機能を使ったログイン方法は、メールアドレスとパスワードです。ただし、こちらも利用企業のセキュリティポリシーに応じて、アプリを使って変更することが可能です。例えば、パスワードポリシーの変更、アカウントにアクセスできる端末のグローバルIPアドレスの指定、利用企業のWindowsネットワークからのシングルサインオン、Googleアカウントとの連携による2段階認証の設定など、様々なログイン方法を設定できます。

【Tradeshift上のデータ保存】
Tradeshiftで取引される文書データは、暗号化された形で保存され、データが消失しないようになっており、文書が作成された段階でグローバルに8ヶ所の拠点に同時にバックアップが行われます(詳細な場所については非公開)。そのため、改ざんしようとしても8ヶ所を同時に改ざんしない限りは改ざんされたことが判明しますので、ほぼ不可能と言っても過言ではありません。

また、取引文書のデータは企業アカウント毎に管理されており、他社のデータとは分離保管されています。取引先に文書を送信する際は、技術的には全く同じ文書データのコピーが作成されます。そのコピーが取引先に送信され、取引先のアカウントに保管されます。一度送信した、もしくは受信した文書データは変更することはできませんが、文書のステータスが一方のアカウントで更新された場合は、他方の相手にもステータスが変わったことが通知されます。このようにアカウント毎にデータが完全に分離されているため、一部のアカウントにおいてハッキングなどの被害が仮にあった場合でも、基本的に他のアカウントはその影響は受けず、安全に保護されます。

Tradeshiftにはデータの保持期間は設定されてないため、ユーザーが企業アカウントを削除しない限り、そのデータは半永久的に保存されます。(保証要件としては少なくとも10年間)したがって、日本の法人税法上の帳簿書類保存要件も満たしています。
(請求書などの帳簿書類の保存要件については、こちらのブログ記事で詳しく解説しています。 https://jblog.tradeshift.com/seikyusyo-hozonkikan/

【その他「ビジネスの安全」を守る仕組み】
Tradeshiftは参加している企業同士が電子文書を送受信できる仕組みですが、双方のアカウントでつながることを合意したコネクション(Tradeshift上のつながり)がなければ文書の送受信はできません。コネクションがない企業から送られてくる文書は、受信側がネットワーク追加リクエスト(つながりの要求)を承認しない限り、受信されません。以前コネクションがあった企業でも、今後文書を受け取りたくない場合は、コネクションを削除することが可能で、これにより先方からの文書は以降受信されなくなります。これはSNSアプリLINEで例えればブロック、あるいはメールの受信拒否と似たような効果を生みます。

また、注文書と請求書のマッチングといったビジネスロジックの機能もアプリによって提供しており、注文していない請求書に対する送金ミスや、二重支払い等を防止することも可能です。