セキュリティ・コンプライアンス
OpenBait のインフラ所在地、暗号化、サブプロセッサー、認証ロードマップ、SDK 審査対応情報——中堅企業の採購審査に必要な情報をまとめました。
OpenBait は中堅企業のセキュリティ審査を念頭に設計されています。このページは情報システム部・情報セキュリティ室が採購審査で必要とする情報をまとめたものです。不明点や追加のセキュリティ質問票(VRA / SIG-Lite など)が必要な場合は [email protected] までご連絡ください。
データ保管場所
- 本番環境: 日本国内(大阪)のデータセンターにホスト
- インフラ事業者: Xserver Inc.(東京証券取引所上場、ISMS 認証取得済み)
- バックアップ: 日本国内(同事業者の別リージョン)
お客様データは日本国内で保管・処理されます。海外への越境送信は発生しません(例外: Groq API 経由の LLM 推論のみ。詳細は「AI データ処理」セクション)。
通信と保存の暗号化
転送中
- すべての外部通信は TLS 1.3 必須
- 証明書は Let's Encrypt で自動更新、HSTS preload 済み(max-age 2 年)
保存時
- データベース(MySQL 8.0)はディスク暗号化(LUKS)で保護
- 秘密情報(API キー、OAuth トークンなど)は AES-256-GCM で暗号化後に保存
- パスワードは Argon2id でハッシュ化
アクセス制御
- 本番環境へのアクセスは 鍵交換方式 SSH + 最小権限原則
- 内部ダッシュボードへのアクセスは 2FA 必須
- 顧客データへの日常的なアクセス監査ログ(90 日保管)
インシデント通知 SLA
- お客様データに影響が及ぶインシデントは、検出から 72 時間以内に該当お客様の登録管理者宛に通知します
- 通知には、影響範囲、既知の原因、対応状況、再発防止策の初期版が含まれます
- 通知先は Console 設定の「セキュリティ連絡先」で指定できます
インフラストラクチャ
- ホスティング: Xserver VPS(日本大阪、Ubuntu 24.04)
- CDN / DDoS 防御: Cloudflare(グローバル)
- キュー: Redis + Asynq(本番 VPS 内)
- データベース: MySQL 8.0(本番 VPS 内、同期レプリカ構成)
- 監視: 24 時間 365 日の自動アラート + On-call ローテーション
セキュア開発ライフサイクル(SDL)
- 設計段階: 脅威モデリング(STRIDE ベース)、外部連携の DPA レビュー
- 開発段階: コードレビュー必須、シークレットスキャン(gitleaks 等)
- テスト段階: 依存ライブラリの自動脆弱性スキャン、年次ペネトレーションテスト
- デプロイ段階: GitHub Actions 経由の固定化パイプライン、ロールバック手順文書化
サブプロセッサー(Sub-processors)
OpenBait が採用しているサードパーティ事業者の一覧。採購審査用の DPA サブプロセッサー別紙はお客様要求に応じて発行します。
| 事業者 | 用途 | データ所在 | 備考 |
|---|---|---|---|
| Xserver Inc. | 本番ホスティング | 日本 (大阪) | 東証上場・ISMS 取得済み |
| Cloudflare | CDN / DDoS 防御 / エッジ証明書 | グローバル(Edge) | ISO 27001 / SOC 2 Type II |
| Brevo (Sendinblue) | トランザクショナルメール送信 | EU | GDPR 準拠・ISO 27001 |
| Groq | AI 推論(オプション機能) | 米国 | SOC 2 Type I(詳細は下記) |
コンプライアンス認証(ロードマップ)
現在取得済み・予定中の認証:
| 認証 | ステータス | 想定時期 |
|---|---|---|
| GDPR | 準拠 | — |
| APPI(個人情報保護法) | 準拠 | — |
| ISMS / ISO 27001 | 導入 5 社到達後に開始予定 | 2026 Q3〜 |
| SOC 2 Type II | 評価中 | 2027 年以降 |
| PrivacyMark(日本) | 検討中 | 未定 |
現時点で認証未取得ですが、技術的統制(暗号化、アクセス制御、監査ログ)は認証取得済み事業者と同等レベルで運用しています。ISMS 認証の取得計画について詳細をご希望の場合は [email protected] までご相談ください。
AI データ処理(Groq API)
OpenBait の一部機能(AI ケース要約・脅威分析)は Groq API 経由で LLM 推論を行います。
- 送信されるデータ: ドメイン名、スクリーンショット URL、HTML コンテンツの抜粋のみ
- 送信されないデータ: 個人識別情報(PII)、お客様の他の資産データ、管理者情報
- データ保持: Groq API は推論完了後、入力データを永続保存しません(データ保持ポリシー上は 30 日以内に削除)
- オプトアウト: AI 機能は Console 設定から完全に無効化できます
SDK 部署の審査対応
OpenBait の JavaScript SDK を自社サイトに導入する際、セキュリティ審査で問われやすい事項:
- CSP 互換: strict-dynamic + nonce 構成に対応。
'unsafe-inline'/'unsafe-eval'は不要 - SRI(Subresource Integrity): 全てのバンドルに SHA-384 ハッシュが付与され、改ざん検知可能
- 自己ホスト(Business プラン以上): SDK バンドルを自社 CDN に配置する構成にも対応
- 監査可能なソースコード: 審査用の非難読化バージョン + ソースマップを NDA 配下で提供可能
- プライバシー: SDK は個人識別を行いません。照合は referrer のハッシュ化された値のみ
詳細は SDK アーキテクチャ解説(技術 deep dive)を参照。
脆弱性の責任ある開示
セキュリティリサーチャーからの脆弱性報告を歓迎します。
- 宛先: [email protected]
- 初動: 48 時間以内に受理確認
- 修正: 重大度 Critical / High は 7 日以内、Medium は 30 日以内が目標
- 公表: 修正完了後、報告者の同意があれば credit を付与
契約書・DPA・SOC 2 Bridge Letter
以下のドキュメントが必要な場合は [email protected] へご連絡ください:
- DPA(データ処理契約): 日本・EU 双方フォーマットに対応
- 秘密保持契約(NDA): 審査段階の技術文書共有用
- セキュリティ質問票: CAIQ / SIG-Lite / VRA 各種フォーマットに回答可能
- 日本法人向け請求書・契約書テンプレート
最終更新: 2026-04-23
本ページの情報は定期的に見直し・更新しています。重要な変更があった場合は既存のお客様宛にメール通知します。