審査に耐える、
セキュリティ設計。
PRSは金融機関・保険会社の調達審査を前提に設計されています。認証・暗号化・監査ログ・脆弱性対応をすべて明文化します。
認証・認可
- Bearer Token(APIキー)方式を標準採用
- Sandbox / 本番キーの環境分離(プレフィックス識別)
- 用途別キー発行 + 失効(Twilioモデル準拠)
- IP制限・署名付きリクエスト(Enterprise)
- RBAC(ロールベースアクセス制御)
データ保護
- 転送時暗号化: TLS 1.3
- 保存時暗号化: AES-256
- データ所在: 日本リージョン(東京/大阪)
- 個人情報マスキング(ログに住所・個人識別情報を残さない設計)
- デモ入力データの短期保持・目的限定・自動削除
監査ログ
- 「who did what, where, and when」を記録(Google Cloud Audit Logs準拠)
- 重要操作: キー発行・権限変更・エクスポート・DB共有・請求先変更
- Append-only(追記専用)+ 改ざん検知(ハッシュチェーン)
- エクスポート(CSV) + SIEM連携(Webhook/ストリーミング)
- 保持期間: プランにより30日〜1年
APIセキュリティ
- OWASP API Top 10 2023対応設計
- レート制限(キー別・IP別・エンドポイント別)
- 429時のリトライガイド(指数バックオフ)
- コスト防衛(請求アラート・上限停止オプション)
- WAF / ボット対策(デモページ含む)
脆弱性対応
- 脆弱性報告窓口の設置(Responsible Disclosure)
- 定期的な依存パッケージ監査
- インシデント対応フロー(検知→封じ込め→通知→復旧→報告)
- 時刻同期: NTP / UTC統一 / 表示はJST
コンプライアンス
- 個人情報保護法(安全管理措置・利用状況記録・アクセスログ)対応
- ISMAP管理策基準参照(イベントログ取得・保持・レビュー・改ざん防止)
- サブプロセッサ一覧の開示
- 越境移転に関する情報提供
- 経産省 情報セキュリティ管理基準(令和7年改正版)参照