1データ保管・暗号化
- ✓データベース: Supabase (AWS ap-northeast-1 東京リージョン)。AES-256 による保存時暗号化
- ✓通信: TLS 1.3 による全通信の暗号化
- ✓アプリケーション: Vercel Edge Network でのグローバル配信
2認証・認可
- ✓認証: Supabase Auth(JWT、セッション有効期限 1時間・自動リフレッシュ)
- ✓多要素認証(MFA): TOTP(認証アプリ)に対応。ユーザーが任意で有効化可能
- ✓アクセス制御: PostgreSQL Row Level Security(RLS)によるテナント分離。全81ポリシーで行レベルアクセス管理
- ✓ブルートフォース対策: 5回のログイン失敗で15分間ロック
3監視・検知
- ✓エラー監視: Sentry によるランタイムエラーのリアルタイム検知
- ✓ログ集約: Axiom によるアプリケーションログの集約・検索
- ✓稼働監視: UptimeRobot による 5分間隔の死活監視
- ✓ステータスページ: 稼働状況を一般公開(※Phase A 完了後に URL を掲載)
4脆弱性管理
- ✓依存ライブラリ: Dependabot による自動脆弱性検知・PR作成(週次)
- ✓静的解析(SAST): GitHub CodeQL による毎プッシュ時のコード脆弱性スキャン
- ✓高リスク依存の監視: CI パイプラインで High 以上の脆弱性がある場合はデプロイをブロック
5インシデント対応
- ✓対応手順: 障害・漏洩の各シナリオについて Runbook を整備済み
- ✓通知義務: 個人情報漏洩が疑われる場合、発覚から 72時間以内にお客様へ通知
脆弱性・セキュリティ問題の報告
セキュリティ上の問題を発見した場合は、以下の窓口にご連絡ください。
t-ito@promotize.jp
報告内容は機密として扱い、速やかに対応いたします。