Security
セキュリティへの取り組み
データと信頼を守るために、設計・開発・運用の各段階で実施している具体的な対策をご説明します。何をどこまでやっているか、透明性をもってお伝えします。
お客様データの取り扱い
お預かりした情報は、業務目的以外では使用しません。収集するデータは業務上の最小限に絞り、完了後は合意のもと削除します。
-
目的外利用なし
ご依頼の業務以外でデータを使用・第三者共有することはありません。
-
データの最小化
業務上必要な情報だけをお預かりします。必要以上に収集しません。
-
納品後の削除
プロジェクト完了後、預かりデータは合意のうえで速やかに削除します。
-
AIツールへの入力制限
機密情報を外部AIサービスに入力する際は、事前にご確認・ご同意をいただきます。
開発プロセスのセキュリティ
コードを書く段階からセキュリティを組み込んでいます。問題は「見つけてから直す」ではなく、「生まれないようにする」設計です。
-
自動セキュリティチェック
AIがコードを生成するたびに、危険なパターンがないか自動チェックが走る仕組みを導入しています。ツールの目と人間の目、両方で確認します。
-
秘密情報のコード非埋め込み
APIキーやパスワードはコードの外(環境変数)で管理します。コードが外部に漏れても認証情報は露出しない構造にしています。
-
Git による変更履歴の完全管理
GitHub を使いすべてのコード変更を記録・管理しています。問題が発生した際に原因の追跡・変更前状態への復元が可能です。
インフラとサービスの信頼性
世界・国内の大手企業が採用している実績あるインフラを使用しています。セキュリティの土台を、実績あるプラットフォームに置いています。
Airbnb・GitHub など世界数十万社が使う本番グレードのインフラ。自動でSSL暗号化が適用され、DDoS対策・99.99%稼働率を備えます。
データを暗号化して保管。「誰が何を読めるか」を行レベルで制御できるエンタープライズ水準のアクセス管理機能を持ちます。
国内シェアトップクラスのホスティングサービス。SSL標準対応・国内データセンター運用で、安定性と信頼性を備えます。
世界1億人以上が使う開発プラットフォーム。コードの変更履歴を安全に管理し、不正変更の検知・監査ログを提供します。
アクセス権限の管理
「必要な人が、必要なものだけにアクセスできる」を原則にしています。権限は業務上の最小限に絞り、終了後は速やかに返却します。
-
最小権限の原則
業務上必要な権限だけを持ちます。広い権限を慣習的に持ち続けるような運用はしません。
-
二段階認証の徹底
各サービスのアカウントには二段階認証を設定しています。パスワードが漏れた場合でも、不正ログインを防ぐ構造になっています。
-
お客様環境へのアクセスは都度確認
お客様のシステムへのアクセスが必要な場合は、毎回事前にご確認をとります。
-
プロジェクト終了時のアクセス権限返却
納品・契約終了後は、いただいたアクセス権を速やかに返却・削除します。不要な権限を残しません。
問題発生時の対応フロー
問題は起きないことが理想ですが、起きたときに迷わず動けるよう、対応手順を定めています。
不審なアクセスやシステムの異常をサービスのモニタリングと定期確認によって検知します。
影響範囲が不明な段階でも、まず速やかにご報告します。「わかってから報告」ではなく、確認次第の逐次報告を優先します。
被害が広がらないよう、まず問題のある部分を切り離します。
なぜ起きたかを調査し、再発しない形で修正します。
何が起きて、どう対処したか。書面でご報告し、今後の対策もご提案します。
透明性が、信頼の土台です。
「何をやっているか見えない」状態では、信頼は生まれません。このページに書いたことを実際に実施しており、疑問があればいつでもお問い合わせください。具体的な実装方法や対策の詳細についても、ご説明します。