セキュリティーポリシー

最終更新日: 2022年4月26日

脆弱性対策

brakemanを用いてソースコードの静的解析による脆弱性の検査を行い、基準を満たしたものだけをリリースしています。

GitHub Security Alertsによってアプリケーションの依存ライブラリの脆弱性を検知し、随時アップデート等の対策を行っています。

Amazon Inspectorによってソフトウェアの脆弱性や意図しないネットワークのエクスポージャーがないかを継続的にスキャンし、随時対応を行っています。

パスワードの管理

サービスで保持するパスワードは半角英数字をそれぞれ1種類以上含む8文字以上72文字以下のみを受け付け、全てハッシュ化・暗号化して保存しています。

パスワードの認証の失敗状況に応じて、当該IDのログインを一時的に停止することがあります。

通信の暗号化

お客様とサービスとの通信は全てSSLにて暗号化しています。

アクセスの制限

サービスに用いるサーバー等のインフラ資源に対する操作権限は、AWS IAMやLDAPによって管理しています。

各インフラ資源はAWSのファイアウォール機能や公開鍵認証などを用いてアクセス制限を実施しています。

AWS WAFを用いてSQLインジェクションの検知、ブロックを行っています。

不正侵入検知・不正改ざん検知

AIDEを用いて各サーバー内の改ざん検知を実施しています。

Amazon GuardDutyを有効化して脅威検出を行なっています。