Agora社の公式ブログに「リアルタイムエンゲージメントPaaSプロバイダーを選択する際の6つのセキュリティ上の注意点」が公開されました。
https://www.agora.io/en/blog/six-security-considerations-for-selecting-an-rte-paas-provider/
【以下は、agora.「Six Security Considerations for Selecting an RTE PaaS Provider」,February 16, 2021 を翻訳したものです。】
アプリ開発者はPaaSを選定する際、セキュリティやコンプライアンスの観点からPaaS提供者が何を提供しているか正確に知る必要があります。
Agora社はデータプライバシー保護、セキュリティ、コンプライアンスが重要であると認識しており、ユースケースに必要なプライバシー要件をサポートする為のソフトウェアとシステムを構築しています。Agora社は、セキュリティのベストプラクティスのガイドラインを公開しています。
https://docs.agora.io/en/Agora%20Platform/security_practice?platform=Android
開発者がAgora社のSDKを最新の状態に保ち、既知の脆弱性があればすぐにパッチを当てて修正できるようにすることを推奨しています。
Agora社は、ISO 27001 / 27017 / 27018の業界標準に準拠した情報とセキュリティ・プライバシーを適用しています。Agora社のネットワークとインフラストラクチャはSOC 2に準拠しており、物理的および仮想的なアクセスが制御、管理、監視されていることを確認しています。
Agora社は個人を特定できる情報(PII)にアクセスしたり、保存したりすることはなく、サービスを提供するために絶対に必要な運用情報のみを収集します。このデータには、IPアドレス(地域コンプライアンスやネットワーク接続のためにユーザーの地理的位置を識別するために必要)、インストールID(トラブルシューティング目的のための仮名の識別子)、メータリングデータ(当社は従量制で運用しているため)が含まれます。Agora社は、パスワードやユーザーID(名前、メールアドレス、電話番号など)などのエンドユーザーデータを保存したり、処理したりすることはありません。これらの情報は、お客様のアプリケーション内で管理される内容です。
Agora社はErnst & Young LLPと提携し、Agora社のISO 27001 / 27018コンプライアンスを監視しており、Agora社のISOレビュープロセスと認証は、ヨーロッパの認定機関であるDNV GLによって実施されています。Agora社のSOC 2コンプライアンスは、Deloitte LLPによって監視されています。さらに、Trustwave Holdingsを含むグローバルなセキュリティ専門家と協力して、ネットワーク侵入、アプリケーションの脆弱性、コンプライアンス評価を実施しています。
メディアストリームの暗号化に関しては、パフォーマンスとセキュリティのトレードオフを考慮することが重要です。
開発者中心のAPIプラットフォームであるAgoraは、認証、暗号化、ネットワークジオフェンシングなど、メディアストリームのセキュリティを確保するための多くのデフォルトおよび設定可能なオプションをアプリ開発者に提供しています。これにより、特定のユースケースに必要な十分な情報に基づいた意思決定とトレードオフを行うことができます。
メディアコンテンツに暗号化を実装する場合、AES 128ビットとAES 256ビットの暗号化を利用したネイティブSDK用のエンドツーエンドの暗号化エンジンが組み込まれています。暗号化キーはアプリケーション側によって管理され、Agoraのネットワーク外のエンドユーザーデバイス間で転送されます。
脆弱性は複雑なソフトウェアの避けられない特性であることが証明されているため、PaaSプロバイダーがあらゆる悪用の可能性を緩和するための警戒心を持っていることが重要です。
Agora社では、セキュリティ監視機関と協力して、脆弱性を特定し、それを顧客に伝え、必要な修正を可能な限り迅速に行うことができるように支援しています。
グローバル企業は、その国や地域特有の法律や規制に注意しなければなりません。これらの法律は、その国や地域に居住する企業にのみ適用されると誤解されがちですが、実際には、これらの法律や規制は、その国や地域内で事業を展開するすべての企業に適用されます。実際には、これらの法律や規制は、その国や地域で事業を行うすべての企業に適用されます。EUのGDPRであれ、中国のサイバーセキュリティ法であれ、新興企業であれ、MicrosoftやAmazonのような多国籍企業であれ、中国でビジネスを行っている企業は、同じ法律や規制の対象となります。
Agora社は、ヨーロッパではGDPR準拠、カリフォルニアではCCPA準拠で国際基準を満たしています。また、ヘルスケア業界の関連するお客様には、BAAの下でHIPAAコンプライアンスをオプションとして提供しています。アゴラのコンプライアンスとプライバシーについての詳細はこちらをご覧ください。
https://www.agora.io/en/compliance/
ジオルーティング (ジオフェンシングと呼ばれることもあります) は、開発者がデータの移動中と静止時の両方で、データが制約を受ける地理的ドメインを定義することを可能にします。
Agoraは世界中に200以上のコロケーションデータセンターを持っています。デフォルトでは、Agoraネットワーク上のユーザーは、ディレクショナルDNSポリシー(別名「GEO DNS」)を使用して、最も近いデータセンターに接続されています。これにより、ユーザの音声およびビデオトラフィックは、国の境界に関係なく、最高のレイテンシパフォーマンスが得られるように最適化されています。
しかし、すべての音声およびビデオトラフィックを特定の国や地域の境界内に保持する必要があるユースケースもあります。このニーズに対応するために、Agoraでは6つの異なる地域に対して地理ベースのルーティングを実装しており、お客様は指定された地域内のノードのみでデータをルーティングして処理できるようになっています。例えば、ヨーロッパや中国本土を運営地域から除外することを決めた場合、メディアコンテンツはそれらの地域を経由してルーティングされません。
グローバルなリアルタイムエンゲージメントPaaSプロバイダーとして、Agora社はアプリ開発者の強固なデータセキュリティのニーズを満たす上で重要な役割を担っていることを認識しています。開発者の皆様が次世代のキラーアプリの開発に専念できるよう、優れたデータセキュリティを提供することをお約束します。