Craid TechCraid Tech

Security Action

SECURITY ACTION
二つ星に向けた対策宣言

Craid Techは、独立行政法人情報処理推進機構(IPA)の「SECURITY ACTION」制度に賛同し、次の取組を行ったことを宣言します。

  • 「5分でできる!情報セキュリティ自社診断」を実施しました。
  • 情報セキュリティ基本方針を策定し、これを公開しました。

今後も、情報セキュリティ対策の維持・向上に努め、お客様と社会の信頼に応えてまいります。

SECURITY ACTION について(IPA公式)

Closed AI

データを外に出さないAI導入

「AIを使いたいが、社内データを外部に出せない」というご懸念は、技術的にはすでに解決済みです。御社の状況に応じて最適な方式を選定し、安全にAIを導入します。

多くの中小企業に最適

Lv.1 — Azure OpenAI Service / AWS Bedrock

御社専用のクラウド環境内でAIが動作します。データはAI会社(OpenAI・Anthropic等)に渡らず、モデルの学習にも一切使用されません。日本国内リージョン(東京/大阪)を選択でき、データが国外に出ることもありません。

医療・金融・官公庁向け

Lv.2 — オンプレミスLLM(Llama, Mistral等)

自社サーバー内にAIモデルを設置し、インターネット接続なしで動作させます。データが物理的に社外へ出ることはありません。完全なエアギャップ運用にも対応可能です。

ChatGPT(無料版/Plus)との違い

ChatGPTの無料版・Plus版は、入力データがOpenAI社のサーバーで処理され、モデル改善に使用される可能性があります。Azure OpenAI Serviceは同じGPT-4oモデルですが、御社専用環境で動作し、データはモデル学習に一切使われません。技術的にも契約的にも二重の保証があります。

Delivery Security

納品前セキュリティ対策

Craid Techでは、お客様に安心してシステムをご利用いただくために、全ての納品物に対して以下の8段階のセキュリティ対策を実施しています。

01

契約書・免責事項の整備

納品物の責任範囲、セキュリティインシデント発生時の責任の所在、保守体制を契約書に明記します。お客様とCraid Techの双方が安心できる取り決めを、開発着手前に整えます。

02

セキュアコーディングの実施

開発段階からOWASP Top 10に準拠したセキュアコーディングを徹底します。全APIルートへの入力バリデーション・レート制限・Origin検証、ユーザー入力のサニタイズ、認証・認可の適切な実装を行い、コードレビュー時にセキュリティチェックリストで確認します。

03

ドメイン・SSL/TLS セキュリティの設定

カスタムドメインのDNS設定、DNSSEC有効化、ドメイン自動更新の確認を行います。SSL証明書の適用、HTTPS強制リダイレクト、TLS 1.2以上の強制、HSTS(HTTP Strict Transport Security)の設定により、通信経路の安全性を確保します。

04

インフラセキュリティの構築

WAF(Web Application Firewall)によるDDoS防御・ボット対策、セキュリティヘッダ(CSP, X-Frame-Options, X-Content-Type-Options等)の設定、データベースのアクセス制御(Row Level Security)、環境変数の本番環境への適切な設定を行います。外部サービスの本番モード切替やメール送信ドメインのDNS認証(SPF/DKIM/DMARC)も確認します。

05

社内セキュリティ監査の実施

全ソースコードに対してセキュリティ監査を実施します。SQLインジェクション、XSS、認証の不備、機密情報の漏洩、オープンリダイレクト、レート制限の欠如など、主要な脆弱性カテゴリを網羅的にチェックし、Critical・Highの指摘事項がゼロであることを確認します。

06

本番環境での最終検証

本番URLでの全主要機能の動作確認、スマートフォン実機(iOS Safari・Android Chrome)での表示・操作確認、フォーム送信テスト、パフォーマンス計測(Lighthouse 70点以上・LCP 3秒以内)、OGP表示確認を実施します。コンソールエラーゼロ、セキュリティヘッダの実レスポンス確認まで行います。

07

第三者による脆弱性診断

国内のセキュリティ専門企業による脆弱性診断を実施します。第三者の客観的な視点でシステムの安全性を検証し、診断レポートをお客様にもご共有します。

08

サイバー保険の加入準備

万が一のセキュリティインシデントに備え、サイバー保険への加入を準備しています。損害賠償・調査費用等の補償体制を整え、お客様のリスクを最小限に抑えることを目指しています。

情報セキュリティ基本方針

Craid Techは、お客様の情報資産およびCraid Techが取り扱う全ての情報資産を適切に保護するため、以下の基本方針に基づき情報セキュリティを推進します。

  1. 法令・規範の遵守と、社会的要請に沿った適切な管理を行います。
  2. 情報資産の機密性・完全性・可用性を確保するため、組織的・技術的・物理的な対策を講じます。
  3. 従業者に対し、継続的な教育・訓練を実施し、周知徹底を図ります。
  4. 事故・災害等のインシデントに対して、迅速な初動・原因分析・再発防止に取り組みます。
  5. 本方針および関連規程・手順は、事業・技術・社会の変化に応じて継続的に改善します。

本基本方針に関するお問い合わせは、
info[at]craidtech.com までお願いします。

実施している主な対策

基本方針の策定

情報セキュリティ基本方針を定め、経営のコミットメントの下で継続的改善を行います。

資産とアクセス管理

アカウントの最小権限・MFAの適用、アカウント監査、退職/異動時の迅速な権限見直しを実施。

端末/OS/ソフト更新

OS・ブラウザ・ソフトウェアの自動更新、EDR/ウイルス対策、不要アプリの排除を徹底。

パスワード/認証

強固なパスワード方針、パスワードマネージャ活用、主要サービスへの多要素認証を必須化。

データ保護/暗号化

機微情報の分類・保護、保存/転送時の暗号化、バックアップとリストア訓練を実施。

開発/脆弱性管理

依存関係の脆弱性スキャン、コードレビュー、環境分離、秘密情報の安全管理を実施。

ログ/監視/検知

重要システムのログ収集と保全、アラート設計、異常検知と早期対応体制を構築。

メール/フィッシング対策

迷惑メール対策、添付/リンクのサンドボックス化、従業員教育を定期実施。

物理/持出管理

端末持出ポリシー、リモートワイプ、記録媒体の暗号化と廃棄時の適切処置。

委託先/クラウド

委託先のセキュリティ確認、契約での義務化、クラウド設定のベストプラクティス順守。

インシデント対応

連絡体制、初動手順、原因分析〜再発防止のPDCAを整備し、演習を実施。

教育/啓発

入社時・定期の情報セキュリティ教育、受講状況管理、釣りメール演習の実施。

Craid Techが実際に行っている取り組み

上記の方針に基づき、日々の業務で以下の具体的な対策を実施しています。

開発プロセスのセキュリティ

  • OWASP Top 10(インジェクション、XSS、CSRF等)に対応したセキュアコーディングの徹底
  • すべてのソースコード実装完了時にセキュリティ監査を実施し、重大脆弱性ゼロを確認してから納品
  • コードレビュー時にセキュリティチェックリストによる確認を必須化
  • ユーザー入力のバリデーション・サニタイズを全入力箇所で実施

機密情報の管理

  • APIキー・パスワード・トークン等の機密情報をソースコードに一切ハードコードしない運用ルール
  • 環境変数ファイル(.env)の読み込み・表示を技術的にブロックし、コンテキストへの機密情報漏洩を防止
  • 本番環境の環境変数はVercelダッシュボードで管理し、ソースコードと分離
  • gitコミット前に機密情報が含まれていないことを確認するプロセスを運用

AI開発固有のセキュリティ

  • AIツール使用時のプロンプトインジェクション対策
  • 未検証パッケージのインストール禁止(サプライチェーン攻撃対策)
  • AI開発環境からの間接的なコマンド実行(シェル経由の迂回)を禁止するルールを運用
  • 編集履歴の定期クリーンアップによる機密情報の残留リスク低減

APIセキュリティ

  • 外部API呼び出しへのタイムアウト設定(10秒)とエラーハンドリング
  • APIレスポンスに内部情報(スタックトレース、内部パス等)を含めない設計
  • 認証・セッション管理にhttpOnly + secure Cookieを採用

本宣言は、社会情勢・技術動向・事業内容の変化に応じて定期的に見直し、必要な更新を行います。具体的な運用ルールや技術設定は、内部規程・運用手順にて管理しています。