セキュリティチェックシート
Ribbit App Developmentのセキュリティに関する取り組みや方針をまとめています。
ご不明な点がございましたら、お問い合わせください。
最終更新日: 2025年2月24日
1. 組織体制
| 項目 | 回答 |
|---|---|
| 情報セキュリティに関する責任者が明確に定められていますか | はい。代表者がセキュリティ責任者を兼務しています。 |
| 情報セキュリティポリシーを策定・運用していますか | はい。プライバシーポリシーおよび各種利用規約を策定し、https://policies.konomi.app にて公開しています。 |
| 従業員に対する情報セキュリティ教育を実施していますか | 個人事業のため従業員は在籍していませんが、代表者自身が最新のセキュリティ動向を継続的に学習しています。 |
| 情報セキュリティに関する法令・規制を遵守していますか | はい。個人情報保護法をはじめとする関連法令を遵守しています。 |
2. 物理的セキュリティ
| 項目 | 回答 |
|---|---|
| サーバー等の物理的な設備を自社で保有していますか | いいえ。クラウドサービス(Cloudflare Workers、AWS等)を利用しており、物理的なサーバーは保有していません。 |
| 業務端末(PC等)の盗難・紛失対策を実施していますか | はい。業務端末にはストレージの暗号化、画面ロック、リモートワイプ機能を有効にしています。 |
| 業務端末に対するセキュリティ対策を実施していますか | はい。OSおよびソフトウェアの自動アップデート、ファイアウォールの有効化を実施しています。 |
3. ネットワークセキュリティ
| 項目 | 回答 |
|---|---|
| 通信の暗号化(HTTPS/TLS)を実施していますか | はい。すべてのサービスにおいてHTTPS/TLSによる通信の暗号化を実施しています。 |
| ファイアウォールやWAFを導入していますか | はい。Cloudflareのファイアウォール・WAF機能を利用し、不正アクセスやDDoS攻撃等への対策を行っています。 |
| 外部からの不正アクセスを監視していますか | はい。Cloudflareのセキュリティ分析やアラート機能を活用し、不正なアクセスを監視しています。 |
| VPN等を利用したセキュアなリモートアクセス環境を整備していますか | はい。管理画面等へのアクセスにはCloudflare Zero Trustを利用しています。 |
4. データ管理
| 項目 | 回答 |
|---|---|
| 顧客データの収集範囲は明確にされていますか | はい。プライバシーポリシーにて収集するデータの範囲・目的を明記しています。 |
| データの保存場所は明確にされていますか | はい。データはCloudflare、AWSなどの信頼性の高いクラウドプラットフォーム上に保存しています。 |
| データのバックアップを定期的に実施していますか | はい。クラウドプラットフォームの機能を利用して定期的なバックアップを実施しています。 |
| 不要になったデータの削除ポリシーはありますか | はい。サービスの利用終了時や一定期間経過後にデータを削除するポリシーを運用しています。 |
| 個人情報の第三者提供は行っていますか | 法令に基づく場合を除き、事前の同意なく個人情報を第三者に提供することはありません。 |
5. アクセス制御
| 項目 | 回答 |
|---|---|
| システムへのアクセス権限を適切に管理していますか | はい。最小権限の原則に基づき、必要最小限のアクセス権限を付与しています。 |
| 多要素認証(MFA)を導入していますか | はい。クラウドサービスの管理コンソールやソースコード管理等、主要なシステムにおいてMFAを有効にしています。 |
| パスワードポリシーを定めていますか | はい。十分な長さ・複雑性を持つパスワードの使用と、パスワードマネージャーによる管理を実施しています。 |
6. ソフトウェア開発
| 項目 | 回答 |
|---|---|
| ソースコードの管理方法を教えてください | GitHubを利用してバージョン管理を行っています。リポジトリへのアクセスは適切に制限しています。 |
| 依存ライブラリの脆弱性管理を行っていますか | はい。GitHub Dependabot等を活用し、依存ライブラリの脆弱性を定期的に検知・対応しています。 |
| デプロイ前にセキュリティレビューを実施していますか | はい。コードレビュー、静的解析ツールによるチェックを実施した上でデプロイしています。 |
| 本番環境と開発環境を分離していますか | はい。開発環境・ステージング環境・本番環境を分離して運用しています。 |
7. インシデント対応
| 項目 | 回答 |
|---|---|
| セキュリティインシデント発生時の対応手順を定めていますか | はい。インシデント発生時の検知・報告・対応・復旧の手順を定めています。 |
| インシデント発生時にお客様への通知体制はありますか | はい。影響のあるお客様に対して、速やかにメール等で状況を通知する体制を整えています。 |
| 過去にセキュリティインシデントが発生したことはありますか | いいえ。これまでにセキュリティインシデントは発生していません。 |
8. 事業継続
| 項目 | 回答 |
|---|---|
| 事業継続計画(BCP)を策定していますか | クラウドベースのインフラを採用しており、障害発生時にはクラウドプラットフォームの冗長性により事業継続を図ります。 |
| サービスのSLAは定めていますか | 個別のSLAは設定していませんが、利用しているクラウドプラットフォームのSLAに準じた可用性を提供しています。 |
| サービスの稼働状況を監視していますか | はい。外部監視サービスを利用して、各サービスの稼働状況を常時モニタリングしています。 |
9. 外部委託・サプライチェーン
| 項目 | 回答 |
|---|---|
| 業務の外部委託を行っていますか | 開発業務の外部委託は原則として行っていません。インフラ・サービスとしてクラウドプラットフォームを利用しています。 |
| 利用している主要な外部サービスを教えてください | Cloudflare(CDN・ホスティング・セキュリティ)、AWS(クラウドインフラ)、GitHub(ソースコード管理)等を利用しています。 |
本チェックシートの内容に関するお問い合わせは adachi@konomi.app までご連絡ください。
プライバシーポリシー・各種規約については ポリシーと規約 をご確認ください。