SECURITY
セキュリティへの取り組み
確認できている対策のみを記載しています。未確認の項目は断定せず、確認事項として明示します。
本ページは、コーポレートサイトの実装・設定から確認できる内容を中心にまとめています。 実際の開発案件における顧客データの取り扱いや社内運用については、別途ご契約・NDAの範囲でご説明します。
確認済みの取り組み
通信の暗号化(HTTPS)
コーポレートサイトは HTTPS で提供し、Strict-Transport-Security(HSTS)を設定しています。
クリックジャッキング対策
X-Frame-Options: DENY および関連セキュリティヘッダーにより、第三者サイトへの埋め込みを制限しています。
MIME スニッフィング対策
X-Content-Type-Options: nosniff を付与し、ブラウザによる意図しない解釈を抑制しています。
リファラー制御
Referrer-Policy: strict-origin-when-cross-origin を設定しています。
ブラウザ機能の制限
Permissions-Policy により、カメラ・マイク・位置情報・決済・USB・センサー系など不要なブラウザ API を無効化しています。
Content-Security-Policy
XSS 対策として CSP を強制適用。許可先は GA4・Spline・Unsplash 等の実利用オリジンに限定し、unsafe-eval は禁止しています。
クロスオリジン隔離
Cross-Origin-Opener-Policy / Cross-Origin-Resource-Policy を same-origin で設定しています(COEP は外部メディア互換のため未適用)。
技術情報の非公開
X-Powered-By ヘッダーを無効化し、フレームワーク情報の露出を抑えています。
ソースコード管理
ソースコードは Git リポジトリで管理し、本番デプロイは CI/CD(Netlify)経由で行います。
秘密情報の管理(サイト運用)
APIキー等は環境変数で管理し、クライアントへ埋め込まない構成としています。リポジトリへの .env コミットは禁止しています。
お問い合わせフォームの入力対策
サーバー側で必須チェック・文字数制限・メール形式検証を実施。HTMLメール送信時はユーザー入力をエスケープし、件名への改行注入を除去します。営業スパム向けのフィルタも運用しています。
開発環境と本番環境の分離
ローカル開発・プレビュー・本番を環境変数とホスティング設定で分離しています。
確認事項(未掲載・要確認)
以下は「実施済み」と断定できる根拠がコード・設定から確認できないため、TODO として残しています。 社内確認後に内容を更新します。
要確認多要素認証(社内・管理アカウント)
社内ツール・メール・クラウド管理画面における MFA の必須化範囲は、運用実態の確認後に追記します。
要確認バックアップ・復旧手順
データバックアップ頻度・保管場所・復旧訓練の有無は社内確認事項です。
要確認脆弱性対応プロセス
依存パッケージ更新・脆弱性対応の SLA は、開発運用ルールとして文書化したうえで掲載します。
要確認委託先管理
クラウド・メール送信(Resend)等の委託先一覧と契約上の安全管理措置は、確認後に整理します。
要確認インシデント対応
検知・報告・初動・顧客通知の手順書の有無を確認し、存在する範囲のみ記載します。
要確認NDA・個人情報・データ削除方針
案件ごとの NDA、個人情報の保管期間、削除依頼への対応方針は、社内ポリシー確認後に追記します。
要確認ボット対策(Turnstile 等)
お問い合わせフォームへの Cloudflare Turnstile 導入は、アカウント設定後に実装予定です。
要確認HSTS Preload リスト登録
HSTS に preload を付与済み。ブラウザ共有リストへの申請(hstspreload.org)は運用判断後に実施します。
セキュリティ要件を含む開発のご相談は、お問い合わせよりご連絡ください。
お問い合わせへ