今回はTeachableのセキュリティ基準を理解するというのをやっていきます。Teachableは安全であることを様々な角度からお話しします。Teachableではお客さんの安全性とかプライバシーの問題とかを守るためにいろんな取り組みをやっています。僕たちが考えている以上にいろんなことをやってくれています。
今回お届けするノウハウはこちら
Step1. アップロードしたPDFや動画コンテンツは守られている(ある程度は)
まず1つ目は、アップロードしたPDFとか動画コンテンツのセキュリティが「ある程度は」が守られているという話です。例えばアップロードしてレクチャーの中に入ったPDFとか動画コンテンツっていうのはダウンロードのオンオフを選ぶことができます。だからダウンロードをオンにしないでオフにしておけばPDFとかも基本的にはダウンロードできないし、動画のホスティングもWistiaというサービスを使っていて、ダウンロードしにくいコンテンツになっています。ただし、「ある程度は」と書いたのは、完全に安全であるというわけではなくて、素人の人だったらダウンロードできないという、そういうレベルのセキュリティを保証してくれています。
1-1. 動画コンテンツは検索エンジンにもクロールされない
動画コンテンツは検索エンジンにクロールされて直接見られないために、検索エンジンのクロールがかからないようになっています。たまにTeachableのレクチャータイトルがGoogleなどの検索結果に載ることがありますが、その場合も有料のコースであれば、その有料の登録をしないとあなたのコースの動画自体は見ることができません。レクチャーのタイトルだけが検索結果に引っかかることがあるだけです。その場合は検索結果をクリックしてもロックがかかっていて、ロックを解除するにはこのコースに入ってくださいね、という表示が出てコンテンツが守られています。
1-2. 無料プレビュー以外は外から見れない
無料プレビューの部分は購入前のお客さんでも誰でも見られるようになっていますが、それ以外のレクチャーに関してはお金を払っていないお客さんは外部から見れないようになってます。これも当然やっておかないと駄目ですね。
1-3. 無料プレビューのレクチャーはコメントも公開される
そして留意していただきたいのは、無料プレビューに設定したレクチャーは外部から見えます。そして、そのレクチャーに紐づいているお客さんからのコメントや自分たちのコメントも公開されるので、そこだけは管理者として注意しておいてください。
Step2. データ保管と運用にAWSを使っている
2つ目です。データの保管とか運用にはAWS、AmazonのWeb Servicesを使っています。Amazonはいろんなものを売っているのとは別にオンラインでいろいろデータを保管や自動化のシステムなどを提供してくれています。例えば有名なところで言うと米国の政府なんかがAWSを使ってホームページなどの運用をやっています。世界の政府なんかも使うような信頼性の高い、そういうサービスを使ってTeachableを運用しているというところです。
Step3. ダウンタイムと障害
次はダウンタイムと障害についてです。ネット上のサービスはずっと動いてるように見えますが、たまに障害が起こることがあります。例えばyahoo!のサービスで何か障害が起きて1時間使えなくなりましたとか、Googleドライブが30分使えなくなりました、みたいなことがありますが、そういうものへの対処もきちんとやっているという話です。ダウンタイムという、システムが使えなくなるような時間が本当に0.0001%ぐらいしかないという感じです。仮にそういう障害が突発的に発生したとしても、稼働状況を見るサイトがあります。それがteachablestatus.comです。teachablestatusで英語で検索すると、このページが出てくると思うんですけど、どんなサイトかというと、こんな感じですね。Teachableと表示されていますが、これはTeachableのドメインとは違うドメインです。teachablestatus.comというところなのでteachable.comというドメインが落ちていてもアクセスが可能です。
実際にどういうことが書いてあるかというと、今All Systems Operationalということで、全部システム動いてますよということなんですけど、もし黄色や赤の表示が出ていたら何か障害が発生しているということです。そのとき、どこに障害が発生しているのかがここのところに出てきます。
そして過去のインシデントや過去の障害情報を見ることができます。今のところ直近で2、3ヶ月は障害が起こっていないみたいですね。その前に戻ってみましょう。例えば定期的なメンテナンスは予告して何日の何時から何時というのは青で書かれています。それ以外の突発的なものは画像のように赤で書かれています。過去のものはここで確認できます。
こういうのをいち早く知りたい場合には、teachablestatus.comの一番上のSUBSCRIBE TO UPDATESというところをクリックしてください。そうすると、いろんなプラットフォームで見ることができます。例えばEメールで自分のEメールを登録してください。そうすると何かここで更新があったとき、なんか障害が発生したときっていうのは、ここの入れたメールアドレスにその情報がいち早くメールで送られてきます。なのでそれでお客さんとかに周知したりできますね。他にはRSS、メッセージ、ツイッター、Webフックなどもあります。これはサブスクライブしておくと便利だと思います。僕もサブスクライブしています。
Step4. GDPRやCCPAなどのプライバシー基準への対応
次は様々なプライバシー基準へ対応しているということです。GDPRというのは欧州のプライバシーの基準です。CCPAはカリフォルニア州のプライバシーの法律です。このように各国で定められている様々なプライバシーの基準にもきちんと準拠しています。
Step5. データのやり取りは暗号化されている
データのやり取りは暗号化をされています。例えば、お客さんがクレジットカードの情報を入力して商品を買う場合に、そのクレジットカード情報が暗号化されてないと通信の途中で盗まれたら困りますよね。だから多くのウェブサイトでは暗号化した状態で送信して、途中でデータが盗まれてもクレジットカード情報まではわからないような対策が施されています。Teachableの場合ももちろんデータのやり取りは暗号化されているので安心してください。
Step6. セキュリティの脆弱性に関する対処
セキュリティの脆弱性に関する対処です。ここまで述べたように様々な施策をやってくれていても、システムにはどこかに欠陥があるものなので、そういう欠陥に関してはどういうふうに対応しているかということですね。
6-1. OWASP Top10
OWASP Top10とは、OWASPが定期的に発行しているセキュリティのレポートのことです。開発者の間で、こういうところに気をつけましょうとか、こういうところにセキュリティの穴ができやすいから気をつけてねというようなフレームワークがあります。Teachableが常にそういうものと照らし合わせて、セキュリティの穴がないかとかっていうのをきちんと監視してくれています。もしそういうところに穴があったりしたら、すぐに直すようなこともちゃんと開発体制として整っているということですね。
6-2. 全SchoolにSSLの証明書を自動付与
最後です。全SchoolにSSLの証明書が自動付与されます。SSLはこのドメインはちゃんとしたものですよというような証明書です。これを自動的に付与してくれているので、わざわざSSLの証明書っていうのを管理者が別途発行する必要がありません。こういうのがあると、あなたの受講生から信頼してもらいやすくなります。
ということで僕たちが使ってるTeachableの裏でこんな感じにいろんなことをやってくれてるということで、Teachableは安心して使えますよというお話でした。