1. 基本方針
当社は、お客様のデータを保護することを最重要課題と位置づけ、以下のセキュリティ対策を実施しています。
2. データ暗号化
- 通信暗号化:全通信はTLS 1.2以上で暗号化されています
- 保存データ暗号化:パスワードはbcryptでハッシュ化、機密情報はAES-256で暗号化して保存
- バックアップ暗号化:バックアップデータも暗号化された状態で保存
3. アクセス制御
- ロールベースアクセス制御(RBAC)の実装
- 多要素認証(MFA)の管理画面への適用
- 定期的なアクセス権限の監査
- 操作ログの記録と監視
4. インフラセキュリティ
- ファイアウォールによる不正アクセス防御
- 定期的なセキュリティパッチ適用
- DDoS対策の実装
- 侵入検知システム(IDS)による24時間監視
5. アプリケーションセキュリティ
- OWASP Top 10対策の実装(SQLインジェクション、XSS、CSRF対策等)
- 定期的な脆弱性診断の実施
- コードレビューによるセキュリティ品質の確保
- 安全なセッション管理(HttpOnly / Secure Cookie)
6. データ保護
- 日次バックアップ(暗号化保存)
- 災害復旧計画(DR)の策定
- 日本国内のデータセンターでデータを保管
- データの論理削除および物理削除の実施
7. インシデント対応
- セキュリティインシデント発生時の対応手順を策定
- 影響を受けるお客様への速やかな通知(72時間以内)
- 再発防止策の実施と報告
8. 認証・認可
- Laravel Sanctumによる安全なAPI認証
- CSRF(クロスサイトリクエストフォージェリ)対策の実装
- レート制限によるブルートフォース攻撃の防止
- セッションタイムアウトの設定
9. 組織的対策
- 従業員への定期的なセキュリティ教育
- 情報セキュリティ責任者の設置
- 外部委託先のセキュリティ評価
- 内部監査の定期的実施
10. お客様へのお願い
より安全にご利用いただくために:
- 推測されにくい強力なパスワードを設定してください
- パスワードを他のサービスと使い回さないでください
- 不審なアクティビティを発見した場合は速やかにご連絡ください