お客様は機密性の高い内部データについてmablを信頼しており、mablはこれらのデータの保護を非常に重視しています。この記事では、mablがお客様のデータのセキュリティを確保するために実施している各種基準、ポリシー、暗号化手法について説明します。
セキュリティ基準とプライバシー基準
mablはセキュリティおよびプライバシーのベストプラクティスを用いて構築されたクラウドネイティブなアプリケーションです。これらのベストプラクティスには、サービス間での通信経路の最小化、パブリックIPの使用の制限、役割ベースのグループアクセス、権限の最小化などがあります。mablでは強固なセキュリティ プログラムを維持し、毎年複数回の監査を実施しています。
- mablはSOC 2 Type II認証を取得済みです。SOC 2コンプライアンスでは、お客様データの適切な処理、従業員トレーニング、サイバーリスクの緩和、プライバシー規制への準拠など、mablのセキュリティ プログラムが機能していることを監査します。
- mablはSSAE16 / ISAE 3402 Type II基準に準拠しています。
mablの情報セキュリティ&テクノロジーチームは、キー管理を含むセキュリティポリシーと実際の運用についての内部監査を定期的に実施しています。
データ保護契約 (DPA)
mablは一般向けのDPAを公開していませんが、お客様のご要望に応じ、協議の上で個別にDPA契約を締結いたします。
データ保持ポリシー
mablはお客様のテスト環境に関する技術情報を利用して、アプリケーションパフォーマンスメトリックに関するインサイトを提供し、mablアプリケーションの改善を図ります。また、技術情報を集約して業界のベンチマークを作成する場合もあります。
アクティブなワークスペースでは、mablはテスト実行データを13か月間保持します。
お客様のすべてのワークスペースデータは、ワークスペースが削除されてから30日後に削除されます。トライアルのワークスペースでは、ワークスペースデータはトライアルが失効して90日後に削除されます。
データ暗号化
mablは、お客様のチームだけがお客様のワークスペースデータにアクセスできるようにするため、お客様の伝送データと保存データを暗号化します。
伝送データ
mablとの間で伝送されるすべてのお客様データは、TLSおよびHTTPSプロトコルを用いて暗号化されます。mabl内で伝送されるお客様データでも、同じ暗号化手法を使用しています。
保存データ
お客様の保存データは、AES-256暗号化キーを用いて暗号化されます。これらの暗号化キーは、幅広く利用されているホスト型のキー管理サービスであるGoogle Cloud KMSによって管理されます。Google Cloudのデフォルトの暗号化ポリシーの詳細については、こちらをご確認ください。
お客様の機密データに対し、mablはGoogle Cloud KMSでワークスペース固有の対称暗号化キーを生成します。少なくとも、以下の用途でワークスペース固有の暗号化キーを使用しています。
- テスト実行時に収集されるすべてのテストアーティファクト (スクリーンショット、HARログ、DOMスナップショットなど)
- クレデンシャル
- APIキー
- Link Agentのクレデンシャル
- 環境変数
- カスタムHTTPヘッダー
キー管理とキー強度
mablのグローバルな暗号化キーとワークスペースレベルの暗号化キーは、Google Cloud KMSに保存されます。これらのキーは、mablが管理する顧客管理の暗号鍵としてCloud KMSによって生成され、Cloud KMS内に保存されます。これらのキーをGoogle Cloud KMSからエクスポートすることはできません。
mablが管理するキーはすべて、AES256-GCMを使用します。詳細については、Cloud KMSのドキュメントを参照してください。
お客様のキーは、要求に応じてローテーションや削除を行うことができます。キーやキーバージョンを削除すると、そのキーやキーバージョンを用いて暗号化されたデータに永続的にアクセスできなくなる可能性があります。