セキュリティ
お客様のデータをどのように保護しているか
当社のコミットメント
セキュリティはOrdiaの基盤です。当社はSlack、GitHub、Jiraの連携から機密性の高い開発データを 取り扱っており、その責任を真摯に受け止めています。このページでは、当社のセキュリティ対策と インフラストラクチャについて説明します。
インフラストラクチャ
Amazon Web Services (AWS)
コアインフラストラクチャはAWS上で稼働しており、SOC 2、ISO 27001などのコンプライアンス認証を 活用しています。冗長性のために複数のアベイラビリティゾーンを使用しています。
Supabase
データベースと認証サービスはSupabaseが提供しており、SOC 2 Type IIに準拠し、 AWSインフラストラクチャ上で稼働しています。
Cloudflare
DDoS保護、WAF(Webアプリケーションファイアウォール)、エッジキャッシングにCloudflareを 使用しています。すべてのトラフィックはCloudflareのネットワークを経由します。
暗号化
転送時の暗号化
Ordiaとの間で送受信されるすべてのデータは、TLS 1.2以上で暗号化されています。 すべての接続にHTTPSを強制し、HSTSヘッダーを使用しています。
保存時の暗号化
保存されているすべてのデータは、AES-256暗号化で保護されています。 データベースのバックアップも暗号化されています。
APIキーとシークレット
OAuthトークンとAPIキーは、保存前に暗号化され、安全なシークレット管理システムで 管理されています。
アクセス制御
- すべての社内システムにロールベースアクセス制御(RBAC)を適用
- 全チームメンバーに多要素認証を必須化
- すべてのアクセス権限に最小権限の原則を適用
- 定期的なアクセスレビューと未使用の認証情報の失効
- 本番環境と開発環境の分離
マルチテナントアーキテクチャ
Ordiaはマルチテナンシーを考慮して設計されています:
- 顧客データ間の厳格な論理的分離
- データベースレベルでのテナント分離
- アプリケーションを通じたクロステナントデータアクセスは不可能
- 顧客データが混在することはありません
ログとモニタリング
- すべてのシステムアクセスと変更の包括的な監査ログ
- 異常検知のためのリアルタイムモニタリングとアラート
- セキュリティ分析とコンプライアンスのためのログ保持
- 自動脅威検出システム
インシデント対応
当社は以下を含むインシデント対応計画を維持しています:
- 24時間365日のオンコールエンジニアリングチーム
- 文書化されたインシデント分類とエスカレーション手順
- データに影響を及ぼすデータ漏洩の72時間以内の顧客通知
- インシデント後のレビューと改善プロセス
- 定期的なインシデント対応訓練
AIとサードパーティのセキュリティ
AIシステム(OpenAI)を通じてデータを処理する際:
- データは暗号化された接続を通じて送信されます
- データ処理契約を締結しています
- AIプロバイダーは契約上、お客様のデータを学習に使用することを禁止されています
- AIシステムには必要なデータのみを送信します
開発プラクティス
- セキュア開発ライフサイクル(SDL)
- すべての変更に対するコードレビューの必須化
- CI/CDパイプラインでの自動セキュリティスキャン
- 依存関係の脆弱性モニタリング
- 開発チームへの定期的なセキュリティトレーニング
コンプライアンス
当社は適用される規制へのコンプライアンスを維持することにコミットしています:
- カリフォルニア州居住者向けCCPA/CPRA準拠
- SOC 2 Type II認証(取得予定)
- EUデータ主体向けGDPR対応
脆弱性の報告
セキュリティ上の脆弱性を発見された場合は、 security@ordia.dev まで責任を持ってご報告ください。 Ordiaの安全性を保つためのご協力に感謝いたします。24時間以内に受領確認をお送りします。
お問い合わせ
セキュリティに関するご質問、または追加の資料のリクエストについては、 security@ordia.dev までご連絡ください。