← 戻る
セキュリティポリシー
Marketing Data Studio / Stay Manager by DIGITALEYES
1. 通信の保護
- すべての通信は TLS 1.2 以上(HTTPS)で暗号化されています。
- HTTP によるアクセスは自動的に HTTPS へリダイレクトされます。
- API リクエストは署名付きトークンにより認証され、改ざんを検知します。
- データベースへの接続は SSL/TLS で暗号化され、正規の CA 証明書による検証を行い、中間者攻撃を防止しています。
2. 認証・アクセス制御
- ログイン時は メールアドレス + パスワード + 2段階認証コード(メール送信)による多要素認証を採用しています。
- パスワードはソルト付き scrypt(鍵導出関数)でハッシュ化して保存しており、平文での保存は行いません。レインボーテーブル攻撃やブルートフォース攻撃に対する耐性を確保しています。
- セッショントークンは有効期限付きで発行され、一定期間で自動失効します。
- ロールベースのアクセス制御により、ユーザーごとに閲覧・操作可能な物件やデータを制限しています。
- 不正な認証試行やセッションの不整合は検知・遮断されます。
- ログイン・2段階認証・パスワードリセットにはレート制限を適用し、ブルートフォース攻撃を防止しています。
3. データの保存と保護
保存場所
- すべてのデータは日本国内のデータセンターに保存されます。
- 顧客データとシステム設定データは用途に応じて異なるデータベースに分離管理しています。
- いずれのデータベースも保存時暗号化(encryption at rest)が有効です。
データの分離
- 顧客データは物件ごとに独立したデータベーススキーマに分離して保存しています。
- ある物件のデータ操作が他の物件のデータに影響を与えることはなく、万が一特定の物件で不正なアクセスが発生した場合でも、被害が他の物件のデータに波及しない構造です。
- アプリケーション層のロールベースアクセス制御と合わせた多層防御により、データの機密性を確保しています。
バックアップ
- 全データベースの日次自動バックアップを実施しています。
- バックアップは暗号化されたクラウドストレージに保存され、90日間保持した後に自動削除されます。
- データベースの自動スナップショットによるポイントインタイムリカバリにも対応しています。
4. アプリケーションセキュリティ
- X-Frame-Options、X-Content-Type-Options、Referrer-Policy、Strict-Transport-Security(HSTS)等のセキュリティヘッダーを設定し、クリックジャッキング・コンテンツスニッフィング・プロトコルダウングレード攻撃を防止しています。
- カメラ・マイク・位置情報等の不要なブラウザ機能は Permissions-Policy により無効化しています。
- ユーザー入力はサーバー側でサニタイズ処理を行い、インジェクション攻撃を防止しています。
- データベースクエリにはパラメータバインディングを使用し、SQL インジェクションを防止しています。
- CORS(Cross-Origin Resource Sharing)ポリシーにより、許可されたオリジンからのリクエストのみを受け付けます。
5. 外部連携のセキュリティ
- 外部サービス(メール・LINE・SMS・広告プラットフォーム等)との連携は OAuth 2.0 を使用し、アクセストークンは暗号化されたデータベースに保存されます。
- Webhook エンドポイントは署名検証またはトークン認証により、正当なリクエストのみを受け付けます。
- 内部管理 API(cron ジョブ等)はシークレットトークンによる認証が必須であり、タイミング攻撃に対して安全な比較方式を採用しています。
- 外部サービスの認証情報(API キー・トークン等)はソースコードに含めず、環境変数として安全に管理しています。
- AI 開発支援ツールの利用にあたり、本番データベースへの書き込み操作は承認制としています。
- AI がアクセスする顧客データは必要最小限に制限し、個人情報の一括取得を禁止しています。
6. インフラストラクチャ
- アプリケーションはグローバルなエッジネットワーク上で稼働し、DDoS 保護・WAF(Web Application Firewall)が適用されています。
- サーバーレスアーキテクチャにより、各リクエストは隔離された環境で処理され、リクエスト間でのデータ漏洩リスクを低減しています。
- 東京リージョンを優先配置し、国内からの低遅延アクセスを実現しています。
7. データの取り扱い
- お預かりした顧客データを第三者に提供・販売することはありません。
- データへのアクセスは業務上必要な範囲に限定し、アクセス権限を最小限に管理しています。
- 開発・運用において AI 支援ツールを使用する場合、顧客の個人情報は件数・該当有無の確認に留め、生データの一覧表示を原則行いません。
- 本番環境のデータ変更は、操作者による明示的な承認を経て実行されます。
- 契約終了時には、ご要望に応じてすべてのデータを完全に削除いたします。
8. インシデント対応
- 万一セキュリティインシデントが発生した場合は、速やかにお客様へ通知し、原因調査と対策を実施いたします。
- データベースの操作履歴を記録しており、不正アクセスの追跡が可能です。
9. お問い合わせ
セキュリティに関するご質問やご報告は、担当者または下記までお寄せください。
DIGITALEYES
メール: digitaleyes@o-eighty.co.jp
最終更新日: 2026年5月30日