1. はじめに
2. データ保護策
暗号化
- 送信中:デバイスと当社サーバー間の全通信をTLS1.2以上で暗号化します。
- 保存時:APIキーや決済情報など機密性の高いデータはAES-256で暗号化されています。
- パスワード:bcrypt等のハッシュ方式とソルト化により安全に保存されます。
インフラのセキュリティ
- クラウドホスティング:AWS、Google Cloud、Azureなどでエンタープライズ仕様のファイアウォール、IDS、DDoS防御を利用。
- ネットワーク分離:重要システム(DBや決済プロセッサー)は外部公開サーバーから分離しています。
- 定期パッチ適用:自動的に脆弱性修正が適用されます。
3. 脆弱性管理
ペネトレーションテスト
- 社内スキャン:NessusやQualysを用いて週次で脆弱性スキャンを実施。
コードセキュリティ
- 安全な開発:静的/動的解析(SAST/DAST)とピアレビューを経て本番環境へ展開。
- 依存関係チェッカー:Snyk、Dependabot等を使用し、外部ライブラリの脆弱性を監視。
4. インシデント対応計画
検知 & 通報
- 24時間365日監視:SIEMツールによる異常(不正ログイン、データ流出など)の監視。
- ユーザー通報:「SECURITY INCIDENT」を件名に添えて sales@magictradebot.com までご連絡ください。
対応フロー
- 隔離:影響を受けたシステムを切り離し感染拡大を防ぎます。
- 調査:原因、範囲、影響を明らかにします。
- 通知:GDPR / CCPA対象のユーザーには72時間以内に通知します。
- 対応:脆弱性の修正、侵害された認証情報の再設定、バックアップからの復元。
- 事後検証:学びを文書化し、今後の対策に反映します。
5. サードパーティリスク管理
- ベンダー評価:Stripe、AWSなどISO 27001やSOC 2準拠のサービスのみ採用。
- APIセキュリティ:OAuth 2.0 または HMAC署名による安全な統合。
- データ共有:契約に基づき不正使用を禁じ、保護義務を課しています。
6. ユーザーの責任
- アカウントセキュリティ:強力かつユニークなパスワードを使用し、可能であればMFAを有効にしてください。
- APIキー保護:当社はAPIキーを求めません。自己ホスティングの場合はご自身での管理が必須になります。
- フィッシングへの注意:当社を装った不審なメールは sales@magictradebot.com までご報告ください。
7. コンプライアンスと監査
- 年次監査:GDPR、CCPAなどに準拠しているか独立監査で検証。
- 規制当局への対応:必要に応じて適法に協力します。
8. データの保持と削除
- 保持期間:サービス提供のために必要な間のみ保管します。
- 安全な削除:NIST 800-88標準に準拠し、アカウント削除時またはご要望に応じて完全消去します。