メインコンテンツまでスキップ

セキュリティとアクセス制御

このページについて

本ページでは、QA ZERO を安全に運用するためのセキュリティ要件およびアクセス制御の考え方について説明します。

QA ZERO は、計測専用サーバーとして外部サイトと通信を行うため、
インフラレベルでのアクセス制御および通信制限が重要となります。

本ページは要件整理を目的としており、
具体的な設定手順については導入フローおよび個別設定ページで説明します。

アクセス制御の基本方針

QA ZERO セキュリティを意識したアクセス制御

QA ZERO は、計測専用サーバーとしての運用を前提としています。

そのため、以下の方針でのアクセス制御を推奨します。

  • サーバーへの直接アクセスを最小限に抑える
  • 必要な通信のみを許可する
  • 管理目的以外のアクセスを遮断する

これにより、
不要な通信や第三者からの不正アクセスを防止します。

IP 制限について

QA ZERO では、インフラ側での IP 制限を推奨しています。

  • 管理画面へのアクセス元 IP を制限
  • SSH 等の管理用アクセスも必要最小限に制限

導入作業を弊社が代行する場合は、
事前にご提出いただくヒアリングシートをもとに、
弊社側で IP 制限設定を行います。

HTTPS 通信の必須要件

QA ZERO では、すべての通信において HTTPS を必須としています。

  • HTTP 通信は利用できません
  • 通信内容の暗号化を前提としています

SSL 証明書については、
AWS の ALB(Application Load Balancer)を利用した構成を推奨しています。

SSL 証明書および DNS 設定

導入作業を弊社が代行する場合は、
QA ZERO 用ドメインの DNS 権限を委任していただくことで、

  • SSL 証明書の取得
  • 証明書の更新管理
  • 関連する通信設定

を弊社側で対応することが可能です。

DNS 設定の詳細については、導入フローのページを参照してください。

外部サービスとの通信について

QA ZERO は、以下の外部サービスと通信を行います。

  • Google APIs(Google サーチコンソール等)
  • 計測対象サイトへの HTML 取得

これらの通信が制限されている場合、
一部機能が正常に動作しない可能性があります。

ファイアウォールやセキュリティグループの設定では、
必要な通信が許可されていることを事前に確認してください。

計測対象サイトへのアクセスについて

QA ZERO では、計測対象サイトの HTML を取得することで、
自動変更履歴の記録や解析処理を行います。

そのため、以下の点に注意してください。

  • QA ZERO 導入ドメインからのアクセスを許可する
  • 全ページの HTML 取得が可能であること

計測対象サイト側でアクセス制限を行っている場合は、
事前に調整が必要となります。

セキュリティ責任の範囲

QA ZERO の導入において、

  • インフラ(AWS アカウント・サーバー)の管理責任はお客様側
  • QA ZERO アプリケーションの提供および動作仕様は弊社側

という責任分界となります。

インフラに起因する障害やセキュリティインシデントについては、
まずお客様側での一次対応をお願いいたします。

次に確認すべきページ

セキュリティおよびアクセス制御を確認した後は、
以下のページを参照してください。

  • お客様 Web サーバー側の設定
  • 導入フロー