セキュリティホワイトペーパー
本ドキュメントは、AnimaTimeのセキュリティアーキテクチャについて包括的にまとめた技術文書です。 IT部門でのセキュリティ審査にご活用ください。
暗号化
| 対象 | 方式 | 詳細 |
|---|---|---|
| 保存時暗号化 | Supabaseインフラストラクチャによる暗号化 | データベース・ファイルストレージはSupabase/AWSインフラストラクチャの暗号化機能により保護 |
| 通信暗号化 | TLS | すべてのHTTPS通信にTLSを適用(バージョンはVercel/Supabaseインフラストラクチャに準拠)。HSTS対応。 |
認証基盤
AnimaTimeの認証はSupabase Authを基盤としています。
- ●Supabase Authによる安全なパスワードハッシュ化(bcrypt)
- ●JWTベースのセッション管理(アクセストークン: 1時間、リフレッシュトークン: 7日)
- ●TOTP準拠の二段階認証(MFA)対応
- ●アカウントロックアウト(5回連続失敗で15分ロック)
インフラストラクチャ
| コンポーネント | プロバイダ | リージョン |
|---|---|---|
| アプリケーション | Vercel Edge Network | グローバルCDN(東京エッジ含む) |
| データベース | Supabase(マネージドPostgreSQL) | AWS ap-northeast-1(東京) |
| ファイルストレージ | Supabase Storage(S3互換) | AWS ap-northeast-1(東京) |
| オフサイトバックアップ | Google Cloud Storage(別事業者・暗号化) | GCP asia-northeast1(東京) |
外部サービス・委託先
サービス提供のため、以下の事業者に個人データの取り扱いを委託しています。Stripe・Anthropic は米国法人で、 決済処理・AIサポートの会話処理に伴いデータの国外移転が生じます。移転先での保護措置は契約により担保しています (詳細はプライバシーポリシー第3・4条)。
| 委託先 | 業務 | 所在国 |
|---|---|---|
| Supabase, Inc. | DB・認証・ストレージ | 米国(東京リージョン保管) |
| Vercel, Inc. | ホスティング・配信 | 米国 |
| Google LLC | バックアップ保管 | 米国(東京リージョン保管) |
| Stripe, Inc. | 決済処理 | 米国 |
| Anthropic, PBC | AIサポート | 米国 |
脆弱性スキャン
依存パッケージの脆弱性は GitHub Dependabot により毎週自動で検知し、修正プルリクエストを作成しています。 加えて CI パイプラインで本番依存の監査を実行し、Critical の脆弱性が検知された場合はマージをブロックします。 High 以下の脆弱性についても、影響度を評価のうえ速やかな対応に努めています。
ペネトレーションテスト
年1回の外部ペネトレーションテストを実施予定です。テスト結果はNDA締結のうえ、 お客様に共有可能です。
SOC 2ロードマップ
SOC 2 Type II認証の取得に向けて準備を進めています。 現在、セキュリティポリシーの整備とコントロールの実装を行っており、 2027年中の認証取得を目標としています。