← Opus Partner Portal

セキュリティポリシー

最終更新日: 2026/3/1

1. はじめに

株式会社オーパスシステム(以下「当社」)は、Opus Partner Portal(以下「本サービス」)におけるお客様データの安全性を最優先事項と位置づけ、包括的なセキュリティ対策を実施しています。本ポリシーは、本サービスにおけるセキュリティ対策の概要を説明するものです。

2. インフラストラクチャセキュリティ

2.1 ホスティング環境

  • Vercel: エンタープライズグレードのホスティングプラットフォーム
    • ISO 27001、SOC 2 Type II 認証取得
    • グローバルCDNによる高速配信と DDoS 保護
    • 自動SSL証明書発行(Let's Encrypt)
  • Supabase: PostgreSQL データベースおよびストレージ
    • SOC 2 Type II 準拠
    • データセンター: AWS Tokyo リージョン(ap-northeast-1)
    • 自動バックアップ(日次、7日間保持)

2.2 ネットワークセキュリティ

  • 全通信の暗号化(TLS 1.3)
  • HTTPS 強制リダイレクト
  • HSTS(HTTP Strict Transport Security)有効化
  • ファイアウォールによるアクセス制御

3. アプリケーションセキュリティ

3.1 認証・認可

  • パスワード管理
    • bcrypt ハッシュ化(ソルト付き、ストレッチング係数 10)
    • 最小8文字、英数字記号の組み合わせ推奨
    • 平文パスワードは一切保存しない
  • セッション管理
    • NextAuth (Auth.js) による JWT ベース認証
    • セッショントークンの有効期限: 30日
    • HttpOnly Cookie による XSS 攻撃対策
    • SameSite=Lax による CSRF 攻撃対策
  • アクセス制御
    • RBAC(ロールベースアクセス制御)実装
    • 3つのロール: SUPER_ADMIN、ADMIN、SALES
    • ミドルウェア層での認可チェック

3.2 データ保護

  • テナント分離(マルチテナント対応)
    • Row Level Security(RLS)によるデータベースレベルの完全分離
    • companyId による自動フィルタリング
    • SUPER_ADMIN のみ全テナントデータにアクセス可能
  • ファイルセキュリティ
    • MIME タイプ検証(ホワイトリスト方式)
    • ファイルサイズ制限(最大10MB)
    • 署名付きURL(60分有効期限)でのアクセス
    • 非公開バケット設定
  • 監査ログ
    • CRUD 操作の自動記録
    • 変更前後の値を JSON 形式で保存
    • SUPER_ADMIN のみ閲覧可能

3.3 脆弱性対策

  • OWASP Top 10 対策
    • SQL インジェクション: Prisma ORM によるパラメータ化クエリ
    • XSS(クロスサイトスクリプティング): React の自動エスケープ
    • CSRF(クロスサイトリクエストフォージェリ): SameSite Cookie
    • 認証の不備: NextAuth による堅牢な認証基盤
  • 入力検証
    • サーバーサイド検証の徹底
    • 型安全性(TypeScript 100%)
    • サニタイゼーション処理

4. 運用セキュリティ

4.1 システム保守

  • 依存パッケージの定期アップデート(月次)
  • セキュリティパッチの優先適用(Critical 脆弱性は24時間以内)
  • 自動脆弱性スキャン(GitHub Dependabot)

4.2 モニタリング

  • Vercel Analytics によるパフォーマンス監視
  • エラーログの自動収集
  • 異常なアクセスパターンの検出

4.3 バックアップ

  • データベース: 日次自動バックアップ(7日間保持)
  • Point-in-Time Recovery(PITR)対応
  • リカバリテスト(四半期ごと)

5. 組織的セキュリティ

5.1 アクセス管理

  • 最小権限の原則に基づくアクセス権限付与
  • 本番環境へのアクセス: 限定されたエンジニアのみ
  • 多要素認証(MFA)の義務化

5.2 従業員教育

  • セキュリティ研修(年1回必須)
  • フィッシング対策トレーニング
  • インシデント対応訓練

5.3 第三者監査

  • 外部セキュリティ診断(年1回)
  • 脆弱性診断レポートに基づく改善実施

6. インシデント対応

6.1 対応体制

  • CSIRT(Computer Security Incident Response Team)設置
  • 24時間365日の監視体制
  • インシデント対応手順書の整備

6.2 通知体制

セキュリティインシデントが発生した場合:

  • 検知後24時間以内に影響範囲を調査
  • 影響を受けるお客様に速やかに通知
  • 復旧対応と再発防止策の実施
  • 必要に応じて監督官庁への報告

7. お客様へのお願い

お客様におかれましても、以下のセキュリティ対策を実施いただくようお願いいたします:

  • 強固なパスワードの設定(8文字以上、英数字記号の組み合わせ)
  • パスワードの定期的な変更
  • パスワードの使い回しを避ける
  • 共有アカウントを作成しない
  • 退職者のアカウントを速やかに削除する
  • 不審なメール・リンクに注意する
  • セキュリティインシデントを発見した場合は直ちに報告する

8. 脆弱性報告

本サービスにセキュリティ上の脆弱性を発見された場合は、以下の連絡先までご報告ください。報告いただいた情報は機密として扱い、迅速に対応いたします。

セキュリティ報告窓口

メール: security@opus-systems.co.jp

※ 脆弱性報告には PGP 暗号化をご利用いただけます(公開鍵は別途提供)

9. 本ポリシーの変更

本ポリシーは、セキュリティ環境の変化やサービスの改善に伴い、予告なく変更されることがあります。重要な変更がある場合は、本サービス上での通知またはメールにてお知らせします。

10. お問い合わせ

本ポリシーに関するご質問は、以下までご連絡ください:

株式会社オーパスシステム

代表取締役 鈴木 克之

メール: support@opus-system.jp

電話: 03-5347-0645