Security & Compliance
セキュリティ・コンプライアンス
法人決裁・稟議に耐える判断材料を提供。 Next.js + Supabase構成を前提としたセキュリティ設計。
Technical Security
技術セキュリティ要件
要件定義として採用している技術的なセキュリティ要件です。
01
Framework Requirements
フレームワーク・ライブラリ要件
- Next.js / React / React-DOM は最新安定版(LTS推奨)を採用
- 重大脆弱性(例:React2Shell CVE-2025-55182)発見時は即時アップデート対応
- package.json のバージョンは固定または厳格指定により管理
02
Vulnerability Management
脆弱性管理ポリシー
- リリース前に Critical / High の脆弱性が 0件 であること
- npm audit による脆弱性チェックを実施
- 自動修正不可の脆弱性は個別に対応方針を決定
03
Environment Variables
環境変数の運用ルール
- .env.local は Git 管理外とし情報漏洩を防止
- クライアント共有が必要な値は NEXT_PUBLIC_ プレフィックスを必須
- .env.example を提供し、必要変数の仕様を文書化
- 本番環境では Vercel の暗号化環境変数を使用
04
Image Storage
画像保存要件(Cloudinary + Supabase)
- 画像は Supabase に直接保存しない
- Cloudinary にアップロード → 変換された画像URLのみ Supabase に保存
- Supabase には テキストデータ(URL等)以外を保存しないポリシー
05
Coding Security
コーディングセキュリティ要件
- Server Components / Server Actions においてユーザー入力は必ずバリデーション
- Server Components から機密情報を返却しない
- SQLインジェクション対策を徹底
- すべての外部API処理にエラーハンドリングを実装
06
Deploy Security
デプロイ環境(Vercel)のセキュリティ要件
- HTTPS 強制(Vercel標準機能)
- Vercel Firewall(WAF)を有効化
- 本番ではソースマップを無効化
- CORS設定を適切に制限
- 本番環境変数が完全に設定されていること
07
Operation Security
運用セキュリティ要件(軽量版)
- 重大脆弱性発生時は即時アップデート対応
- 月次で依存パッケージ更新を検討し、必要に応じてパッチ適用
- デプロイ後はエラーログ・アクセスログを監視
Information Policy
情報管理ポリシー
お客様の大切な情報を適切に管理・保護するためのポリシーです。
取り扱う情報の範囲と責任分界点
お預かりする情報の範囲を明確にし、責任の所在を文書化します。
データの保存・削除ポリシー
データの保存期間と削除ルールを明確に定め、適切に運用します。
学習・二次利用を行わない契約前提
お客様のデータをAI学習や二次利用に使用しないことを契約で保証します。
想定されるリスクと対応スタンス
想定されるセキュリティリスクと、それに対する対応方針を明示します。
法人利用を前提とした運用・管理ルール
法人としての利用に適した運用ルールと管理体制を整備しています。
