セキュリティへの取り組み

株式会社 KINCHAKUは、お客さまに安心・安全にサービスをご利用いただくために、セキュリティ対策の継続的な強化やセキュリティに関する注意喚起などに取り組んでいます。

個人情報管理

KINCHAKUはTRUSTe プライバシー・プログラムのライセンシー です。当社が、ユーザーの個人情報をTRUSTe基準に従って管理しています。

KINCHAKUで提供されるサービスは全て法務担当者及び当社の弁護士による審査を経ない限り公開されることはありません。当社の従業員は、取得する個人情報が必要最低限であること、利用目的の適切性、取得プロセスの適切性、重要情報の暗号化や保存期間の適切性、アクセス制御の適切性等の観点から確認や検証を行い、必要な場合の改善指示を行っています。また、個人情報は日本の法令に従い管理されます。

暗号化

KINCHAKUで扱う個人情報は、システム内の通信経路では全てSSL/TLSによって暗号化されており、悪意のある第三者によるデータの改ざんやなりすまし、通信内容の漏洩を防ぎます。また、各データは業界標準のベストプラクティスに基づいて暗号化またはハッシュ化された後、システム上に保存されます。

アプリケーションセキュリティ検証

KINCHAKUアプリケーションの品質とセキュリティを確保するために、OWASPアプリケーションセキュリティ検証標準 4.0に基づいたソフトウェア開発を行っています。

アクセス統制&WAF

KINCHAKUのデータが保存されるサーバーは最新のセキュリティ設備が導入されたクラウドインフラストラクチャ上で管理されています。同クラウドは厳格なアクセス統制を行い、KINCHAKU社内でも最低限の人員のみアクセスが許可されます。合理的な理由に基づく事前許可が無い場合、アクセスが許可されることはありません。

KINCHAKUは、WAFを導入しています。トラフィックをIP アドレス/HTTP ヘッダー/HTTP 本文等でフィルタリングし、KINCHAKUウェブアプリケーションを攻撃から保護しています。

KINCHAKUサーバーへ接続するIPアドレスを制限できます。また、制限はアカウントに紐づくロール単位で設定できるようになっています。

脆弱性管理ワークフロー

KINCHAKUプロダクトチームでは、潜在的な脆弱性を検出するために、アプリケーションの静的解析と動的解析を定期的に実施しています。このスキャンで発見された全ての脆弱性は、脆弱性管理ワークフローに従って管理され、速やかに修正されます。

KINCHAKUソフトウェアで発見された脆弱性は、速やかに修正できるよう厳重なワークフローに従って管理されます。脅威モデルをベースに脆弱性修正の優先度を決め、その優先度と緊急度に基づいて修正を行っています。