SECURITY

セキュリティへの取り組み

確認できている対策のみを記載しています。未確認の項目は断定せず、確認事項として明示します。

本ページは、コーポレートサイトの実装・設定から確認できる内容を中心にまとめています。 実際の開発案件における顧客データの取り扱いや社内運用については、別途ご契約・NDAの範囲でご説明します。

確認済みの取り組み

  • 通信の暗号化(HTTPS)

    コーポレートサイトは HTTPS で提供し、Strict-Transport-Security(HSTS)を設定しています。

  • クリックジャッキング対策

    X-Frame-Options: DENY および関連セキュリティヘッダーにより、第三者サイトへの埋め込みを制限しています。

  • MIME スニッフィング対策

    X-Content-Type-Options: nosniff を付与し、ブラウザによる意図しない解釈を抑制しています。

  • リファラー制御

    Referrer-Policy: strict-origin-when-cross-origin を設定しています。

  • ブラウザ機能の制限

    Permissions-Policy により、カメラ・マイク・位置情報・決済・USB・センサー系など不要なブラウザ API を無効化しています。

  • Content-Security-Policy

    XSS 対策として CSP を強制適用。許可先は GA4・Spline・Unsplash 等の実利用オリジンに限定し、unsafe-eval は禁止しています。

  • クロスオリジン隔離

    Cross-Origin-Opener-Policy / Cross-Origin-Resource-Policy を same-origin で設定しています(COEP は外部メディア互換のため未適用)。

  • 技術情報の非公開

    X-Powered-By ヘッダーを無効化し、フレームワーク情報の露出を抑えています。

  • ソースコード管理

    ソースコードは Git リポジトリで管理し、本番デプロイは CI/CD(Netlify)経由で行います。

  • 秘密情報の管理(サイト運用)

    APIキー等は環境変数で管理し、クライアントへ埋め込まない構成としています。リポジトリへの .env コミットは禁止しています。

  • お問い合わせフォームの入力対策

    サーバー側で必須チェック・文字数制限・メール形式検証を実施。HTMLメール送信時はユーザー入力をエスケープし、件名への改行注入を除去します。営業スパム向けのフィルタも運用しています。

  • 開発環境と本番環境の分離

    ローカル開発・プレビュー・本番を環境変数とホスティング設定で分離しています。

確認事項(未掲載・要確認)

以下は「実施済み」と断定できる根拠がコード・設定から確認できないため、TODO として残しています。 社内確認後に内容を更新します。

  • 要確認多要素認証(社内・管理アカウント)

    社内ツール・メール・クラウド管理画面における MFA の必須化範囲は、運用実態の確認後に追記します。

  • 要確認バックアップ・復旧手順

    データバックアップ頻度・保管場所・復旧訓練の有無は社内確認事項です。

  • 要確認脆弱性対応プロセス

    依存パッケージ更新・脆弱性対応の SLA は、開発運用ルールとして文書化したうえで掲載します。

  • 要確認委託先管理

    クラウド・メール送信(Resend)等の委託先一覧と契約上の安全管理措置は、確認後に整理します。

  • 要確認インシデント対応

    検知・報告・初動・顧客通知の手順書の有無を確認し、存在する範囲のみ記載します。

  • 要確認NDA・個人情報・データ削除方針

    案件ごとの NDA、個人情報の保管期間、削除依頼への対応方針は、社内ポリシー確認後に追記します。

  • 要確認ボット対策(Turnstile 等)

    お問い合わせフォームへの Cloudflare Turnstile 導入は、アカウント設定後に実装予定です。

  • 要確認HSTS Preload リスト登録

    HSTS に preload を付与済み。ブラウザ共有リストへの申請(hstspreload.org)は運用判断後に実施します。

セキュリティ要件を含む開発のご相談は、お問い合わせよりご連絡ください。

お問い合わせへ
THE FUTURE IS JAPAN.
THE FUTURE
IS JAPAN.