Domoモバイルセキュリティ
はじめに
Domoモバイルには、以下の最先端のセキュリティ機能が含まれています。
お客様によるアクセス制御
Domoは数多くのアイデンティティプロバイダー(IdP)とパートナー関係を結び、お客様が既存のSAMLベースのSSOや多要素認証(MFA)ソリューションとDomoを簡単に統合できるようにしています。このモデルでは、Domoは決してDomoのサービスへのアクセスに使用されたパスワードを知ることができません。ログイン時に、Domoのお客様は独自のSSO認証システムにリダイレクトされます。次にDomoは、お客様のインフラストラクチャへの認証が成功したことを示す暗号化トークンを受け取ります。お客様が自社のインフラストラクチャで自らのパスワードを変更すると、その変更は自動的にDomoにも反映されますが、Domoは決してお客様のパスワードにアクセスすることはできません。
シングルサインオン
ユーザーは、最初にログインするときに会社で使用しているアイデンティティープロバイダーにサインインする必要があります。これにより、Domoモバイルアプリにアクセスできるようになります。
2要素認証
Domoでは多要素認証をサポートすることにより、セキュリティの保護層を実装するオプションをお客様に提供します。Domoは、Domoによる認証(または不一致のアラート)が必要な場合はいつでもSMSメッセージを送信します。お客様にこのメッセージを受信できるモバイルデバイスの電話番号を登録いただくことによりサポートを提供します。認証リクエストが異常であると識別された場合、または1つ以上の高いリスク要因と一致した場合、Domoは一意の認証コードを登録済みのSMSデバイスに送信します。SMSデバイスを登録していないお客様の場合は、追加の認証用の質問を登録することで、セキュリティ認証を向上させることができます。
暗号化
Domoの固定記憶域に保存されているお客様のデータは、すべて暗号化されています。このため、Domoは鍵長256ビットの高度暗号化標準(AES)アルゴリズムを使用しています。
Domoは、信頼されていないネットワークを介して伝送されるお客様のデータを保護するために、TLSなど信頼できる暗号化キーを限られた数のみサポートするセキュアプロトコルを組み合わせて使用します。データを安全に伝送するため、必要に応じてSSHやSFTPもサポートされています。Domoは、クリアテキストや暗号化されていないデータ通信プロトコルは許可していません。Domoのベストプラクティスでは、Domoのすべてのお客様に、提供されている安全に保護されたサービス(TLS、SSH、SFTP)を1つ以上使用するよう推奨しています。Domoでは、TLS 1.2を使用しています。
Domoでキャッシュされるコンテンツには、iOSおよびAndroidのネイティブ暗号化機能が使用されます。
セッション管理とタイムアウト
ユーザーが初めてログインすると、デフォルトで8時間で期限切れになるセッショントークンが提供されます。この期限は、最小値「1」から最大値「24」の間で時間単位で設定できます。セッショントークンの有効期限に関するより細かな制御(15〜20分に短縮可能にする)は現在開発中です。
お客様によるログ監査
Domoインスタンス内のエンドユーザーアクティビティは、すべて記録されます。このログには、少なくともどのようなアクションが、いつ、誰によって行われたかが記録されています。お客様は、Domoインスタンスのログをいつでも閲覧できます。ユーザーアクティビティに異常がないかを確認できるほか、ユーザー別、時間別、イベント別にこのデータをフィルタリングできます。
また、Domoインスタンスのログを社内のセキュリティ情報およびイベント管理(SIEM)ツールやインシデントプロセスに直接統合できます。これにより、お客様はDomoインスタンスのログを社内のセキュリティオペレーションセンター(SOC)内で使用し、ユーザーのインスタンス内でのすべてのアクションをほぼリアルタイムで把握できます。
第三者機関による侵入テスト
Domoは半年に1回、独立した第三者機関によるアプリケーション、モバイル、システム、ネットワークへの侵入テストを受けています。テストの範囲や結果、各結果のステータスについて詳しく説明したエグゼクティブレポートが、以下のIndependent Security Reports (ISR)としてお客様に提供されます。
エクスポートおよびダウンロードの制限付きのコンテンツコントロール
Domoコンテンツのコピー/貼り付け、ダウンロード、共有は、お客様のリクエストに応じてロックすることができます。