← トップに戻る

セキュリティ

ES 5秒アンサーでは、候補者の個人情報および応募内容を扱うサービスとして、 業界標準より一段上の水準を目指してセキュリティ対策を講じています。 本ページでは現在実装中の対策を網羅的に開示します。

最終更新日: 2026年6月20日

認証セキュリティ

  • Cloudflare Turnstilebot/総当たり攻撃を遮断する Privacy-first チャレンジを サインアップ・お問い合わせフォームに導入しています。
  • 二段階認証 (TOTP MFA)Google Authenticator / Microsoft Authenticator / 1Password などの Authenticator アプリと連携した6桁コードによる二段階認証を、管理者ログインで任意有効化できます。
  • メール認証必須新規登録時に発行されるメール内のリンク確認後にアカウントが有効化されます。
  • パスワード要件最低8文字。NIST SP 800-63B 改訂版に準拠し、定期変更強制や複雑さ要件は採用していません(むしろ覚えやすいパスフレーズと MFA を推奨)。
  • サーバー側レート制限認証・AI 生成・メール送信などの重要エンドポイントは、データベース永続型のレート制限により、IP 回避を含む濫用を抑制しています。
  • セキュアなセッショントークン候補者の招待 URL に使用するトークンは、暗号学的乱数 (crypto.randomBytes) によって 128 ビット相当のエントロピーで生成されています。

データ保護

  • 通信の暗号化すべての通信は TLS 1.3 で暗号化され、HSTS (Strict-Transport-Security) preload リストへの準拠を意図した設定としています。
  • 行レベルセキュリティ (RLS)データベース側で組織単位のアクセス境界を強制し、アプリケーションコードのバグがあっても他組織のデータを参照・変更できない多層防御構成です。
  • 保存データの暗号化データベース・バックアップはマネージドサービス側で AES-256 により保管時暗号化されます。
  • 個人情報の越境移転対応個人情報保護法第28条に基づく越境移転先の特定・安全管理措置の整備状況の確認を行い、 プライバシーポリシーにて詳細を開示しています。
  • 保有期間と削除候補者の個人情報・回答ログには保有期間を設けています。詳細は プライバシーポリシーに記載しています。
  • 開示請求への対応本人からの個人情報開示・訂正・利用停止のご請求に、原則 2 週間以内・無料で対応します。

インフラ・運用

  • データセンター所在地主要なデータベース・認証基盤は Supabase の東京リージョン (NRT) に配置しています。
  • セキュリティパッチの適用データベースおよびランタイムは、Supabase・Vercel の自動アップデートおよび定期的な手動アップグレードにより、最新のセキュリティパッチを適用しています。
  • WebセキュリティヘッダContent-Security-Policy / X-Frame-Options / Referrer-Policy / Permissions-Policy / HSTS を全レスポンスに付与しています。
  • サブプロセッサ管理利用しているサブプロセッサ(Supabase, Vercel, Stripe, Resend, Google, Cloudflare 等)の一覧と用途は プライバシーポリシーに明示しています。
  • 決済情報の取り扱いクレジットカード情報は PCI DSS 準拠の Stripe 上で処理され、当社サーバーには保存されません。Stripe Webhook は署名検証により改ざんを検出します。

監査・ロギング

  • 管理操作の監査ログ組織管理者の主要な操作(クイズ承認、ログイン、設定変更など)は監査ログに記録しています。
  • 候補者の行動ログ不正検知のため、タブ離脱・ウィンドウフォーカス喪失・右クリック・開発者ツール起動の 4 種類のみを記録します(コピー・ペースト・視線・キー入力は記録しません)。
  • Stripe / Webhook の監査決済関連 Webhook はイベント単位でログ化し、リプレイ攻撃や処理重複を検出する設計です。

アプリケーションセキュリティ

  • 入力バリデーション全 API エンドポイントで Zod による型・値検証を実施し、SQL インジェクション・XSS を含む不正入力を遮断します。
  • アップロードファイル検証管理者がアップロードする PDF / DOC ファイルは、クライアント申告 MIME に加えサーバー側でマジックバイト検証を行い、ファイル形式偽装を防ぎます。サイズ上限も適用されます。
  • API 抽象化レイヤ候補者向けエンドポイントは、招待トークンと連動した複数段階のチェック (quiz_set → session → round → question) を経て初めてデータにアクセスできます。
  • 認証情報の取り扱い本サービスはオープンソースに依存して動作しており、認証情報(Stripe・Resend・Gemini 等の API キー)はサーバー側にのみ保存され、クライアントへ送信されません。

メール送信

  • 認証ドメインからの送信候補者および管理者宛のメールは、SPF / DKIM 認証済みの自社ドメインから送信します。第三者ドメインからの送信は行いません。
  • 招待メールの送信制限組織あたりの招待メール送信数に上限を設けており、Resend スパムによるドメイン評価毀損を防ぎます。

インシデント対応

  • 連絡窓口セキュリティ上の問題を発見された場合は、お問い合わせフォームよりご連絡ください。脆弱性報告は当社が責任を持って対応します。
  • 被害発生時の通知個人情報の漏えい等が確認された場合、個人情報保護委員会への報告および本人通知を、関係法令に基づき適切に実施します。

情報セキュリティに関するお問い合わせ

企業の情報システム部門・法務部門の皆様より追加のセキュリティ質問書 (SAQ / VRM) への回答ご要望がある場合、 お問い合わせフォームよりご連絡ください。原則 5 営業日以内にご返答いたします。