セキュリティ

プロマネCopilotのセキュリティへの取り組みについて説明します。

制定日: 2024年1月1日最終更新日: 2025年1月26日

1セキュリティへの取り組み

プロマネCopilot(以下「当サービス」)は、お客様のプロジェクトデータおよび個人情報の保護を最優先事項として位置づけています。 当社は、業界標準のセキュリティ対策を実装し、継続的な改善を行っています。

当サービスでは、以下の基本原則に基づいてセキュリティを確保しています。

  • 機密性: 権限のある者のみがデータにアクセスできるよう管理
  • 完全性: データの正確性と一貫性を維持
  • 可用性: 必要なときにサービスを利用できる状態を維持

2データ暗号化

当サービスでは、お客様のデータを保護するため、通信時および保存時の両方で暗号化を実施しています。

通信時の暗号化(転送中のデータ)

  • すべての通信はHTTPS(TLS 1.2以上)で暗号化
  • 最新の暗号化スイートを使用
  • 証明書はAWS Certificate Managerで管理
  • HTTP Strict Transport Security(HSTS)を有効化

保存時の暗号化(保管中のデータ)

  • データベース: AWS RDSの暗号化機能(AES-256)を使用
  • パスワード: bcryptによるハッシュ化(ソルト付き)
  • APIトークン・認証情報: AES暗号化して保存
  • バックアップデータ: 暗号化された状態で保管

暗号鍵の管理

暗号化に使用する鍵は、AWS Key Management Service(KMS)で安全に管理されています。 鍵のローテーションは定期的に実施され、アクセスログはすべて記録されます。

3アクセス制御

当サービスでは、最小権限の原則に基づいたアクセス制御を実装しています。

ユーザーレベルのアクセス制御

  • テナント(組織)単位でのデータ分離
  • ロールベースのアクセス制御(RBAC)
  • APIエンドポイントごとの認可チェック
  • セッションタイムアウトの設定

管理者レベルのアクセス制御

  • 本番環境へのアクセスは最小限の担当者に限定
  • すべての管理操作はログに記録
  • 多要素認証(MFA)の必須化
  • 定期的なアクセス権限のレビュー

4認証・認可

当サービスでは、安全な認証・認可システムを実装しています。

ユーザー認証

  • JWT(JSON Web Token)ベースの認証
  • パスワードはbcryptでハッシュ化して保存
  • アクセストークンとリフレッシュトークンによる認証管理
  • パスワードリセット機能(メール認証付き)

セッション管理

  • アクセストークンの有効期限: 1時間(リメンバーミー時は24時間)
  • リフレッシュトークンの有効期限: 30日
  • トークンのセキュアな保存(httpOnly Cookie)
  • ログアウト時のトークン無効化

パスワードポリシー

  • 最小文字数: 8文字以上
  • 複雑性要件: 英大文字・小文字・数字・記号の組み合わせを推奨
  • 過去のパスワードの再利用制限

5インフラセキュリティ

当サービスはAmazon Web Services(AWS)上で運用されており、 AWSの高いセキュリティ基準を活用しています。

ネットワークセキュリティ

  • Virtual Private Cloud(VPC)による隔離
  • セキュリティグループによるトラフィック制御
  • WAF(Web Application Firewall)による保護
  • DDoS対策(AWS Shield)

サーバーセキュリティ

  • OSおよびソフトウェアの定期的なパッチ適用
  • 不要なサービス・ポートの無効化
  • コンテナベースのデプロイメント
  • 自動スケーリングによる可用性確保

データセンター

当サービスのデータは、主にAWS東京リージョン(ap-northeast-1)に保存されます。

  • 24時間365日の物理セキュリティ監視
  • 生体認証によるアクセス制御
  • 冗長化された電源・ネットワーク
  • 環境制御システム

AWSのセキュリティ認証

AWSは、ISO 27001、SOC 1/2/3、PCI DSS Level 1など、 多数のセキュリティ認証を取得しています。詳細はAWS Complianceをご参照ください。

6外部サービス連携のセキュリティ

当サービスは、Jira、Backlog等の外部サービスと連携します。 これらの連携においても、セキュリティを最優先としています。

APIトークンの管理

  • お客様のAPIトークンは暗号化して保存
  • トークンは当サービスの機能提供にのみ使用
  • 必要最小限のスコープ・権限のみを要求
  • 連携解除時はトークンを完全に削除

AIサービス連携

議事録解析やアシスタント機能では、OpenAI、Google Gemini、Anthropic Claude等の AIサービスを利用しています。

  • 送信データは機能提供に必要な最小限に限定
  • 各社のエンタープライズ向けAPIを使用
  • AIモデルの学習には使用されない設定
  • 通信はすべて暗号化

データ処理の地域について

AI機能の利用時には、データが米国のサーバーに送信される場合があります。 送信されるデータは一時的な処理のみに使用され、 AIプロバイダーに永続的に保存されることはありません。

7インシデント対応

当社は、セキュリティインシデントに迅速かつ適切に対応するための体制を整えています。

監視とアラート

  • 24時間365日のシステム監視
  • 異常検知時の自動アラート
  • セキュリティログの継続的な分析
  • 不正アクセスの検知と遮断

インシデント発生時の対応

  • インシデント対応チームによる迅速な初動対応
  • 影響範囲の特定と被害の最小化
  • 原因の調査と再発防止策の策定
  • 影響を受けるお客様への速やかな通知

お客様への通知

お客様のデータに影響を及ぼす可能性のあるセキュリティインシデントが発生した場合、 発覚後72時間以内に影響を受けるお客様にメールにてお知らせいたします。 通知には、インシデントの概要、影響範囲、推奨される対応策を含めます。

8脆弱性報告

当社は、セキュリティ研究者の皆様からの脆弱性報告を歓迎しています。 責任ある脆弱性開示にご協力いただける方には、感謝の意を表します。

報告方法

セキュリティ上の脆弱性を発見された場合は、以下のメールアドレスまでご報告ください。

security@puromane.com

報告に含めていただきたい情報

  • 脆弱性の詳細な説明
  • 再現手順
  • 想定される影響
  • 可能であれば、修正案

お願い事項

  • 他のユーザーのデータへのアクセスや変更を行わないでください
  • サービスの可用性に影響を与える行為はお控えください
  • 発見した脆弱性を修正が完了するまで公開しないでください
  • 自動化されたスキャンツールの使用はご遠慮ください

対応について

ご報告いただいた脆弱性は、重要度に応じて優先順位をつけて対応いたします。 報告の受領確認は3営業日以内に、調査結果は30日以内にご連絡するよう努めます。 重大な脆弱性をご報告いただいた方には、謝辞の掲載(ご希望の場合)で感謝の意を表します。

9セキュリティ監査・認証

当社は、継続的なセキュリティ改善のため、定期的な監査と評価を実施しています。

実施中の取り組み

  • 定期的な脆弱性診断
  • ペネトレーションテスト(年1回以上)
  • コードセキュリティレビュー
  • 依存パッケージの脆弱性スキャン
  • 社内セキュリティ研修

取得予定の認証

当社は、以下のセキュリティ認証の取得を目指しています。

  • ISO/IEC 27001(情報セキュリティマネジメントシステム)
  • SOC 2 Type II

※認証取得の時期は、事業の状況により変更となる場合があります。

10お問い合わせ

セキュリティに関するご質問・ご懸念がございましたら、以下の窓口までお問い合わせください。

お問い合わせ窓口

※セキュリティに関するお問い合わせは優先して対応いたします。

改定履歴

  • 2024-01-01初版制定
  • 2025-01-26セキュリティページ公開