セキュリティ - WorkTime One | エンタープライズグレードのデータ保護とコンプライアンス

データ暗号化

軍事レベルの暗号化があらゆるレベルでデータを保護

保存時の暗号化

AES-256暗号化： データベースに保存されるすべてのデータは、256ビット鍵を使用した高度暗号化標準で暗号化されています
データベース暗号化： Firebase Firestoreは、保存されるすべてのデータに対して保存時の自動暗号化を提供します
生体認証データ： 指紋データはSHA-256でハッシュ化され、暗号化形式で保存されているため、リバースエンジニアリングは不可能です
バックアップ暗号化： すべてのバックアップは同じAES-256標準で暗号化されています
ファイルストレージ： アップロードされたファイル（レポート、ドキュメント）は、保存前に暗号化されます

転送中の暗号化

TLS 1.3： ブラウザとサーバー間で送信されるすべてのデータは、Transport Layer Security 1.3を使用します
全域HTTPS： プラットフォーム全体がHSTSを有効にしたHTTPS経由で動作します
APIセキュリティ： すべてのAPI呼び出しは、セキュアトークンを使用して暗号化および認証されます
証明書ピニング： モバイルアプリは証明書ピニングを使用して中間者攻撃を防止します

鍵管理

Google Cloud KMS： 暗号化鍵はGoogle Cloud Key Management Serviceによって管理されます
鍵のローテーション： 暗号化鍵は90日ごとに自動的にローテーションされます
アクセス制御： 承認されたシステムのみが暗号化鍵にアクセスでき、完全な監査ログが記録されます
ハードウェアセキュリティモジュール（HSM）： 鍵はFIPS 140-2レベル3認定HSMに保存されます

認証とアクセス制御

アカウントアクセスを保護する多層セキュリティ

二要素認証（2FA）

TOTPサポート： Google Authenticator、Authy、または同様のアプリを介した時間ベースのワンタイムパスワード
メール2FA： メール確認コードによる代替2FA
必須2FA： 組織はすべてのユーザーに2FAを強制できます
バックアップコード： 認証デバイスを紛失した場合の回復コードを提供

パスワードセキュリティ

Bcryptハッシング： すべてのパスワードはソルト付きbcryptでハッシュ化されます
パスワードポリシー： 最低8文字、複雑さの要件を適用
侵害検出： 既知の侵害データベース（Have I Been Pwned）に対してパスワードをチェック
レート制限： ログイン試行の失敗は、ブルートフォース攻撃を防ぐためにレート制限されます
セッション管理： 非アクティブ後の自動ログアウト、設定可能なタイムアウト期間

ロールベースアクセス制御（RBAC）

詳細な権限： さまざまなユーザーロール（管理者、マネージャー、従業員）に対するきめ細かいアクセス制御
最小権限の原則： ユーザーは自分の役割に必要なデータにのみアクセスできます
組織の分離： マルチテナントアーキテクチャにより、組織間の完全なデータ分離を保証
監査ログ： すべてのアクセスと権限の変更がログに記録され、監視されます

Firebase認証

業界標準： GoogleのFirebase Authenticationプラットフォームを採用
OAuth 2.0： OAuth 2.0によるソーシャルログインプロバイダー（Google、Microsoft）のサポート
メール確認： すべての新規アカウントにメール確認を義務化
アカウント回復： 期限付きトークンを使用したメールによる安全なパスワードリセット

インフラストラクチャセキュリティ

グローバル冗長性を備えたエンタープライズグレードのクラウドインフラストラクチャ

クラウドインフラストラクチャ

Google Cloud Platform： ISO 27001、SOC 2、SOC 3認証を取得したGoogle Cloudでホスティング
マルチリージョン展開： 冗長性のために複数の地理的リージョンにデータを複製
自動スケーリング： トラフィックのスパイクに対応するためにインフラストラクチャが自動的にスケール
DDoS保護： Google Cloud Armorが自動DDoS緩和を提供
ネットワーク分離： ファイアウォールルールとネットワークセグメンテーションを備えたプライベートVPCネットワーク

可用性と信頼性

99.9%稼働率SLA： ダウンタイムに対する財政的クレジット付きの保証されたサービス可用性
自動フェイルオーバー： 障害発生時に冗長システムが自動的に引き継ぎ
負荷分散： 最適なパフォーマンスのために複数のサーバーにトラフィックを分散
ヘルスモニタリング： 24時間365日の自動監視と即座のアラート
インシデント対応： 専任チームが15分以内にインシデントに対応

バックアップと災害復旧

継続的バックアップ： Firebaseが自動的で継続的なデータバックアップを提供
ポイントインタイムリカバリ： 過去35日以内の任意の時点にデータを復元
地理的冗長性： 複数の地理的場所にバックアップを保存
災害復旧計画： 目標復旧時間（RTO）4時間の包括的なDR計画
バックアップテスト： データ整合性を確保するための定期的なバックアップ復元テスト

物理的セキュリティ

Googleデータセンター： 24時間365日のセキュリティ要員を配置した最先端施設
生体認証アクセス： 生体認証によって管理されたデータセンターアクセス
ビデオ監視： ビデオ録画による継続的な監視
環境制御： 消火、空調、電源冗長性

アプリケーションセキュリティ

安全なコーディング慣行と脆弱性管理

セキュアな開発

セキュアSDLC： ソフトウェア開発ライフサイクルのすべての段階にセキュリティを統合
コードレビュー： デプロイ前に複数の開発者によってすべてのコード変更をレビュー
静的解析： セキュリティ脆弱性の自動コードスキャン（SAST）
依存関係スキャン： 既知の脆弱性についてサードパーティライブラリをスキャン
セキュリティトレーニング： すべての開発チームメンバーに対する定期的なセキュリティトレーニング

脆弱性管理

ペネトレーションテスト： 認定セキュリティ企業による年次サードパーティペネトレーションテスト
バグバウンティプログラム： セキュリティ研究者への報酬を伴う責任ある開示プログラム
脆弱性スキャン： セキュリティ脆弱性の週次自動スキャン
パッチ管理： 24時間以内に重要なセキュリティパッチを展開
CVE監視： 共通脆弱性と暴露の継続的な監視

OWASP Top 10保護

SQLインジェクション： パラメータ化されたクエリとORMがSQLインジェクション攻撃を防止
XSS防止： 入力サニタイズとContent Security Policy（CSP）ヘッダー
CSRF保護： すべての状態変更操作に対するアンチCSRFトークン
認証の欠陥： Firebase Auth経由の業界標準認証
セキュリティの誤設定： 自動化された構成チェックと強化
機密データの露出： すべての機密データの暗号化と安全な保存

APIセキュリティ

JWTトークン： 有効期限付きJSON Web Tokensを使用したAPI認証
レート制限： APIレート制限が悪用とDDoS攻撃を防止
入力検証： すべてのAPI入力を検証およびサニタイズ
OAuth 2.0： OAuth 2.0プロトコルによるサードパーティAPIへの安全なアクセス

コンプライアンスと認証

グローバルセキュリティおよびプライバシー基準への準拠

SOC 2 Type II

独立した第三者監査人によるセキュリティ、可用性、機密性コントロールの年次監査。

GDPRコンプライアンス

データ主体の権利と侵害通知を含む、EU一般データ保護規則への完全な準拠。

CCPAコンプライアンス

包括的なプライバシーコントロールを備えた米国ベースの顧客向けカリフォルニア州消費者プライバシー法への準拠。

ISO 27001（GCP）

当社のインフラストラクチャプロバイダー（Google Cloud）は、情報セキュリティ管理のISO 27001認証を維持しています。

PCI DSS

PCI DSSレベル1準拠の決済プロセッサーを通じた決済処理。クレジットカード情報は一切保存しません。

HIPAA対応

医療機関向けのHIPAAコンプライアンス要件をインフラストラクチャがサポート（BAAはリクエストに応じて利用可能）。

プライバシーとデータ保護

透明なデータ慣行とユーザープライバシーコントロール

データ最小化

サービス機能に必要なデータのみを収集
マーケティング目的のトラッキングCookieなし
生体認証データはハッシュ化された不可逆形式で保存
オプション機能により特定のデータ収集を無効化可能

ユーザーの権利

アクセス権： 標準形式（CSV、JSON、Excel）ですべてのデータをエクスポート
削除権： データの永久削除をリクエスト
訂正権： 不正確または不完全なデータを修正
可搬性権： 別のサービスプロバイダーへデータを転送
異議申し立て権： マーケティングコミュニケーションと分析からのオプトアウト

データ処理契約

標準契約条項： 国際的なデータ転送のためのEU承認SCC
GDPRコンプライアンス： GDPR第28条処理者義務への完全な準拠
サブプロセッサーの透明性： 変更通知付きのすべてのサブプロセッサーの公開リスト
データ侵害通知： データ侵害から72時間以内に通知

セキュリティ監視とインシデント対応

24時間365日の監視と迅速なインシデント対応

継続的監視

24時間365日監視： インフラストラクチャとアプリケーションの24時間体制の監視
SIEM統合： 脅威検出のためのセキュリティ情報とイベント管理
異常検出： 機械学習ベースの異常なアクティビティの検出
リアルタイムアラート： セキュリティインシデントの即時通知
ログ集約： フォレンジック分析のための保持期間付き集中ログ

インシデント対応

専任チーム： 24時間365日利用可能なセキュリティインシデント対応チーム
応答時間： 重大なインシデント検出から15分以内の初期対応
コミュニケーション： インシデント中の影響を受けた顧客との透明なコミュニケーション
インシデント後のレビュー： インシデント後の詳細な分析と是正措置
規制当局への通知： 侵害通知要件（GDPR、CCPA）への準拠

監査ログ

包括的ログ： すべてのユーザーアクション、システムイベント、セキュリティイベントをログに記録
不変ログ： ログは変更または削除できず、監査証跡の整合性を保証
ログ保持： コンプライアンスとフォレンジックのため2年間セキュリティログを保持
ユーザーアクティビティ： 顧客は組織のアクティビティの監査ログを閲覧可能

従業員アクセスとトレーニング

顧客データへの従業員アクセスに対する厳格な管理

アクセス制御

最小権限： 従業員は職務に必要なデータにのみアクセス
バックグラウンドチェック： すべての従業員は採用前にバックグラウンドチェックを受けます
NDAと機密保持： すべての従業員が秘密保持契約に署名
アクセスレビュー： 従業員アクセス権限の四半期ごとのレビュー
即時取り消し： 退職時にアクセスを即座に取り消し

セキュリティトレーニング

オンボーディングトレーニング： すべての新入社員に必須のセキュリティトレーニング
年次トレーニング： 更新された脅威に関する年次セキュリティ意識トレーニング
フィッシングシミュレーション： 警戒心を維持するための定期的なフィッシングテスト
インシデント対応訓練： 四半期ごとのセキュリティインシデント対応演習
コンプライアンストレーニング： GDPR、SOC 2、データ保護トレーニング

顧客データアクセス

デフォルトアクセスなし： 従業員はデフォルトで顧客データにアクセスできません
サポートアクセス： カスタマーサポートは明示的な許可がある場合のみデータにアクセス可能
監査証跡： 顧客データへのすべての従業員アクセスがログに記録され監視されます
データ匿名化： エンジニアはデバッグのために匿名化されたデータを使用

顧客向けセキュリティベストプラクティス

アカウントのセキュリティを強化するために、以下の慣行をお勧めします：

すべてのユーザーに対して二要素認証（2FA）を有効化
強力でユニークなパスワードを使用（最低12文字）
ユーザーアクセス権限を定期的に確認し、不要なアクセスを削除
フィッシング意識とソーシャルエンジニアリングについて従業員をトレーニング
独自の内部アクセス制御とポリシーを実装
定期的にデータをエクスポートしてバックアップ
疑わしいアクティビティの監査ログを監視
セキュリティの懸念事項を[email protected]に即座に報告

責任ある開示プログラム

セキュリティコミュニティを重視し、セキュリティ脆弱性の報告を歓迎します。セキュリティ問題を発見した場合は、責任を持って報告してください：

セキュリティメール： [email protected]

PGP鍵： 暗号化通信のためにリクエストに応じて利用可能

応答時間： 24時間以内に報告を確認

バグバウンティ： 適格な脆弱性に対する報酬が利用可能

ガイドライン

許可なく顧客データにアクセスまたは変更しないでください
サービス拒否攻撃や破壊的なテストを実行しないでください
公開開示前に問題に対処する合理的な時間を提供してください
詳細な再現手順と影響評価を提供してください
誠実に行動する研究者に対して法的措置を追求しません

セキュリティに関する質問がありますか？

セキュリティチームがご質問にお答えします

セキュリティチームに連絡プライバシーポリシーを表示

エンタープライズグレードのセキュリティ

AES-256暗号化

SOC 2準拠

99.9%稼働率SLA