本サイトにおけるセキュリティの取り組み
心から安心できるサイト運営を目指して
私たちは常にユーザーの皆様が安心して弊社サービスをご利用いただけるよう、カスタマーサポートや、便利な機能の拡充にこだわりを持ち続けてまいりました。
また、転載行為などのトラブルが発生した際も運営から情報開示請求を行うなどして、皆様が安心して活動できるよう尽力してまいりました。
しかしながら、2023年8月に起きた弊社におけるインシデント発生は、この取り組みだけでは充分ではないことを痛感いたしました。
インシデント発生の一件は、皆様の信頼を裏切るものであり、私たち自身もその重大さを深く受け止めています。
私たちはセキュリティ体制の全面的な見直しを行いました。
セキュリティ専門会社を中心に、最先端のセキュリティ技術の導入や、従業員一人ひとりのセキュリティ意識の再教育、関係会社のデータアクセス制御など、システムだけでなく人的な側面からもリスクを抑制いたしました。
今回のインシデントを教訓に、私たちはより一層の安全性を確保するために、以下のような複数の対策を施しました。
これらは、サイト運営の基本として、皆様がご利用いただくすべてのサービスにおいて、見えないところで皆様の情報を守るためのものとなります。
私たちは、ユーザーの皆様一人ひとりが心から安心してサービスをご利用いただけるよう、セキュリティとプライバシー保護に関する取り組みを進化させ続けてまいります。
そして、これらの取り組みを通じて、失われた信頼を少しずつでも回復し、再び皆様に心からの安心をお届けできるよう努めて参ります。
セキュリティに対する取り組みの詳細
1. 基本セキュリティ対策
不正アクセスやデータ漏洩のリスクを最小限に抑えるため、本サイトで行っている対策をご紹介致します。
通信の安全性の確保
通信過程での情報漏えいを防ぐため、SSLやTLSといったセキュリティ技術を使用して、インターネット経由のデータ通信を暗号化します。
これにより、ユーザーの皆様とサーバー間の情報が第三者に傍受されることを防止します。
脆弱性の評価と管理
国際的なウェブセキュリティ標準である「OWASP Top 10」の基準に従い、以下のようなセキュリティテストを行っています。
- SAST(静的アプリケーションセキュリティテスト) ソフトウェアのソースコードをチェックして、不正なコードやセキュリティホールを早期に発見し、修正しています。これにより、開発段階での脆弱性を未然に防ぎます。
- DAST(動的アプリケーションセキュリティテスト) 実際に動作しているウェブアプリケーションを外部からテストし、不正なアクセスや攻撃を発見します。これにより、公開後のアプリケーションのセキュリティを確保します。
- SBOM(ソフトウェア部品表) 使用しているソフトウェアの全ての部品をリスト化し、脆弱な部品が含まれていないかを確認します。これにより、セキュリティリスクのある部品を特定し、適切に管理します。
- VDP(脆弱性開示プログラム) ユーザーやセキュリティ研究者からの脆弱性報告を受け付けるため、VDPを設置しています。これにより、OWASP Top 10の項目だけではなく、未知の脆弱性(Zeroday)まで早期に発見し、修正することができます。
防御策の実装
- WAF(Web Application Firewall)の構築
- 不正なトラフィックからWebアプリケーションを守るため、WAFを用いて外部からの様々なサイバー攻撃(例:SQLインジェクションやクロスサイトスクリプティングなど)を防いでいます。
- Google reCAPTCHAの導入
- ボットなどによる攻撃や不正アクセスを阻止するために、Google reCAPTCHAを利用しています。人間と機械を識別することで、ボットによる悪意ある攻撃を阻止しています。
- ログイン試行回数の制限
- アカウントへの不正アクセスを防ぐため、短時間に多数のログイン試行を行う攻撃への対策として、ログイン試行回数に制限を設け、アカウントをロックするシステムを導入しています。
- ログイン通知とセッションのログアウト機能
- ログインがあった場合はメールで通知するとともに、ログイン履歴を確認し不要なセッションを手動でログアウトできる機能を提供しています。
- ワンタイムパスワードを用いた認証
-
メールを通じて一時的なパスワード(ワンタイムパスワード)を用いた認証を行っています。パスワードを保管していないため(※)、万が一の情報漏えいが発生した場合でも、アカウントは(他社を含め)保護されます。
※2024年9月24日より、パスワード認証機能を再開しました。パスワードを使用しない認証方法を選択されている場合は、引き続きパスワードは保管されません。
2. データ保護の取り組み
お客様からお預かりした大切な個人情報は、厳重に管理しており、以下のような方策を講じております。
データの保管と暗号化
個人情報の取り扱い
お客様の個人情報は、暗号化して保護されています。
具体的には、AES256という業界標準で最も信頼されている暗号化方式を使用して、以下の情報を暗号化し、保管しています。
- 電話番号
- 発送に関する情報(ご住所、お名前)
- 振込に使用する銀行口座の詳細
パスワードの取り扱い
パスワードは高度なハッシュアルゴリズムを使用して安全に保管しています。
さらに、パスワードにはソルトを付加し、ストレッチング(複数回のハッシュ処理)を行うことで、総当たり攻撃や辞書攻撃に対しても高い耐性を持たせています。
なお、パスワードを使用しない認証方法を選択されている場合、パスワードは保管されません。
クレジットカード情報の取り扱い
クレジットカード情報は、クレジット取引セキュリティ対策協議会の指針に従い、弊社のサーバーを経由せず、直接決済処理業者に送信されます。
そのため、クレジットカード情報は弊社のシステム上で一切保管されません。
データの定期的な削除
お客様のプライバシーを守るため、不要になった情報は適切に処理されます。
以下の情報は、特定の期間が経過すると自動的に削除しております。
- 振込履歴
- 振込完了後1ヶ月後に、振込情報をシステムから完全に削除します。
- 発送履歴
- 取引完了後1ヶ月後に、注文情報をシステムから完全に削除します。
- アカウント退会
- 退会と同時に、アカウントに関連する情報をシステムから完全に削除します。
配送に関する情報の取り扱い
弊社独自の匿名配送サービスにおいて、お客様の情報を保護するため以下の対策を講じています。
- 配送システムへの対策
- パケットフィルタを使用し、関係者以外のアクセスを防止
- 作業員ごとにアカウントを発行し、アクセスを制限
- 操作ログを保存し、万が一の不正操作の追跡を可能に
- システム上でのコピーペーストを禁止し、情報の外部流出を防止
- 作業PCへの対策
- 外部の記憶装置がPCに接続できないようにし、データの不正コピーを防止
- 配送現場での対策
- 作業員の私物を現場に持ち込むことを禁止し、退勤時に持ち込んだ備品の返却を確認
- 使わなくなった送り状は、管理者の立ち会いのもとで確認後、適切に破棄
3. 様々な管理ポリシーの確立
日々の業務や万が一のトラブル時に備え、各管理ポリシーの確立を行っています。
- ログ管理ポリシーの確立
- アクセス制御ポリシーの確立
- インシデント対応プロセスの確立
4. 24時間365日のサーバー監視
サーバーの安全性を確保するために、サーバー運用会社と連携し、日々の監視を行っております。
サーバーのセキュリティ状況は専門家と共有し、脆弱性情報が更新された場合には、直ちに対策を講じ、サービスの安定した運用を実現しています。
5. セキュリティ専門会社との連携
セキュリティのトレンドや新たな脅威に関する最新情報を共有し、これらの知見を社内へ展開・反映する体制を確立しています。
また、週次にてセキュリティ専門会社による脆弱性診断を実施しています。
その都度、診断結果に基づく報告を受け、具体的な対策案を共有・実行する体制を整えています。
サイバー攻撃・セキュリティ対策は日々進化しているため、上記対応はそれに合わせて変更していく可能性がありますことをご了承ください。