セキュリティポリシー

第1条（情報セキュリティマネジメント）

当社は、情報セキュリティマネジメントシステム（ISMS）の国際規格であるISO/IEC 27001の認証を取得しており、継続的な改善を通じて情報セキュリティの維持・向上に取り組んでいます。

第2条（インフラストラクチャ）

本サービスは、Amazon Web Services（AWS）上で運用されており、以下の対策を講じています。
(1) ネットワークやサーバを冗長化することや、フルマネージドサービスを活用することで高可用性と自動スケーリングを実現しています。
(2) データのバックアップを毎日取得・保存しています。
(3) インフラ操作ログ、サービスアクセスログ、アプリケーションログを取得・保存し、監査や不正利用検知に活用しています。

第3条（通信・データの暗号化）

(1) お客様と本サービス間の通信は、TLS1.2以上による暗号化を行い、データの盗聴・改ざんを防止しています。
(2) 保存データについても、データベースレベルで暗号化（AWSが提供するマネージドキーを用いた暗号化）を実施・保護しています。

第4条（認証・アクセス制御）

(1) パスワードは8文字以上、英大文字・英小文字・数字・記号の4種類を必須とするポリシーを適用しています。
(2) ログイン試行を5回連続で失敗した場合、アカウントを一時ロックし、以降は失敗ごとにロック時間を段階的に延長（最大15分）するブルートフォース攻撃対策を実装しています。
(3) ユーザーごとに管理者または一般ユーザーの権限を設定でき、プロジェクトごとに参加ユーザーを指定することで適切なアクセス制御を実現しています。

第5条（アプリケーションセキュリティ）

(1) デプロイごとに脆弱性スキャンを実施し、脆弱性が検知された場合は速やかに対処しています。
(2) Content Security Policy（CSP）Level 3に準拠したStrict CSPを設定し、クロスサイトスクリプティング（XSS）等のブラウザを介した攻撃を防止しています。

第6条（データの取扱い）

(1) 本サービスにおいて保存するお客様のデータは、個人情報、属性情報、事業アイデアです。
(2) データの削除をご希望の場合は、お問い合わせ窓口までご連絡ください。ただし法令により保管が必要な情報を除き、個別に対応いたします。

第7条（監視・不正検知）

(1) WAF（Web Application Firewall）を導入し、不正なアクセスや攻撃からサービスを保護しています。
(2) 脅威検知ツールを活用し、不審なアクティビティを継続的に監視しています。

第8条（アカウント・権限管理）

(1) 開発・運用担当者のアクセス権限は、最小権限の原則に基づいて付与しています。
(2) アカウントおよびアクセス権限の定期的な棚卸しを実施し、不要なアカウントや過剰な権限を排除しています。

第9条（インシデント対応）

(1) セキュリティインシデントが発生した場合は、速やかに影響範囲の特定と初動対応を行います。
(2) お客様に影響が及ぶ場合は、速やかに通知するとともに、必要に応じて監督官庁への報告を行います。

第10条（組織的対策）

(1) 障害や不正アクセスに備えたインシデント対応プロセスを定め、迅速な対応を実施できる体制を構築しています。
(2) ソフトウェア開発・インフラ運用のためのルールやプロセスを定め、安定した品質とサービスを提供できる体制を構築しています。
(3) 構築した体制・プロセス・ルールは定期的に見直しを行い、継続的な改善を実施しています。

第11条（セキュリティポリシーの変更）

当社は本ポリシーの内容を適宜見直し、その改善に努めます。変更後のセキュリティポリシーは、当社所定の方法により、お客様に通知し、又は当社ウェブサイトに掲載したときから効力を生じるものとします。

第12条（お問い合わせ窓口）

本サービスのセキュリティに関するお問い合わせは以下までご連絡ください。
株式会社Relic　お客様対応窓口
〒150-6019　東京都渋谷区恵比寿4-20-3恵比寿ガーデンプレイスタワー19F

お問い合わせ:support@biz.ideation-cloud.com