セキュリティホワイトペーパー
本ドキュメントは、AnimaTimeのセキュリティアーキテクチャについて包括的にまとめた技術文書です。 IT部門でのセキュリティ審査にご活用ください。
暗号化
| 対象 | 方式 | 詳細 |
|---|---|---|
| 保存時暗号化 | Supabaseインフラストラクチャによる暗号化 | データベース・ファイルストレージはSupabase/AWSインフラストラクチャの暗号化機能により保護 |
| 通信暗号化 | TLS | すべてのHTTPS通信にTLSを適用(バージョンはVercel/Supabaseインフラストラクチャに準拠)。HSTS対応。 |
認証基盤
AnimaTimeの認証はSupabase Authを基盤としています。
- ●Supabase Authによる安全なパスワードハッシュ化(bcrypt)
- ●JWTベースのセッション管理(アクセストークン: 1時間、リフレッシュトークン: 7日)
- ●TOTP準拠の二段階認証(MFA)対応
- ●アカウントロックアウト(5回連続失敗で15分ロック)
インフラストラクチャ
| コンポーネント | プロバイダ | リージョン |
|---|---|---|
| アプリケーション | Vercel Edge Network | グローバルCDN(東京エッジ含む) |
| データベース | Supabase(マネージドPostgreSQL) | AWS ap-northeast-1(東京) |
| ファイルストレージ | Supabase Storage(S3互換) | AWS ap-northeast-1(東京) |
脆弱性スキャン
依存パッケージの脆弱性は GitHub Dependabot により毎週自動で検知し、修正プルリクエストを作成しています。 加えて CI パイプラインで本番依存の監査を実行し、Critical の脆弱性が検知された場合はマージをブロックします。 High 以下の脆弱性についても、影響度を評価のうえ速やかな対応に努めています。
ペネトレーションテスト
年1回の外部ペネトレーションテストを実施予定です。テスト結果はNDA締結のうえ、 お客様に共有可能です。
SOC 2ロードマップ
SOC 2 Type II認証の取得に向けて準備を進めています。 現在、セキュリティポリシーの整備とコントロールの実装を行っており、 2027年中の認証取得を目標としています。