セキュリティポリシー
最終更新日:2026年3月1日
株式会社TCI(以下「当社」)は、お客様の大切な情報を守るため、以下のセキュリティ対策を実施しています。
セキュリティ対策の概要
当サービスは、Cloudflareのグローバルエッジネットワーク上で運用されており、エンタープライズレベルのインフラセキュリティを基盤としています。さらに、アプリケーション層で複数の防御策を実装しています。
1. 通信の暗号化(SSL/TLS)
| 対策項目 | 実施内容 |
| HTTPS強制 | 全ページでSSL/TLS暗号化通信を使用。HTTPアクセスはHTTPSに自動リダイレクト。 |
| HSTS | HTTP Strict Transport Security を適用(max-age=31536000; includeSubDomains)。ブラウザに対し常時HTTPS接続を指示。 |
| TLSバージョン | TLS 1.2以上のみ許可。古い脆弱なプロトコルは無効化。 |
2. 認証・パスワード管理
| 対策項目 | 実施内容 |
| パスワードハッシュ化 | パスワードはbcrypt互換アルゴリズムでハッシュ化して保存。平文保存は行いません。 |
| パスワード要件 | 8文字以上128文字以下。入力値のバリデーションを実施。 |
| セッション管理 | 暗号学的に安全な乱数でセッションIDを生成。有効期限は7日間。 |
| ログイン試行制限 | 同一IPアドレスからのログイン試行を15分間に5回まで制限(レートリミット)。超過時はアクセスをブロック。 |
3. Webアプリケーションセキュリティ
| 脅威 | 対策内容 |
| XSS(クロスサイトスクリプティング) | サーバーサイド・クライアントサイド両方でのHTMLエスケープ処理。入力値のサニタイズ。X-XSS-Protection ヘッダー設定。 |
| CSRF(クロスサイトリクエストフォージェリ) | HMACベースのCSRFトークンを全フォームに自動付与。変更リクエスト時にトークンを検証。 |
| クリックジャッキング | X-Frame-Options: DENY ヘッダーにより、iframeへの埋め込みを完全拒否。 |
| MIMEタイプスニッフィング | X-Content-Type-Options: nosniff ヘッダーにより、ブラウザのMIMEタイプ推測を防止。 |
| 情報漏洩(リファラー) | Referrer-Policy: strict-origin-when-cross-origin により、外部サイトへのリファラー情報送信を制限。 |
| 不要なブラウザ機能 | Permissions-Policy ヘッダーにより、カメラ・マイク・位置情報の不要なアクセスを無効化。 |
4. アクセス制御
| 対策項目 | 実施内容 |
| 権限分離 | 一般ユーザー・管理者の権限を厳密に分離。管理者ページへのアクセスには管理者認証が必要。 |
| CORS制御 | Cross-Origin Resource Sharing を自社ドメインのみに制限。外部サイトからのAPI呼び出しを防止。 |
| 起業家の右腕 | バックオフィス機能は会員専用。従業員の打刻システムはPINコード認証を採用。 |
5. データ保護
| 対策項目 | 実施内容 |
| 入力値検証 | 全てのユーザー入力に対し、サーバーサイドでバリデーション・サニタイズを実施。SQLインジェクション防止のためパラメータバインドを使用。 |
| データベース | Cloudflare D1(分散SQLiteデータベース)を使用。Cloudflare社のセキュリティ基盤で保護。 |
| バックアップ | データベースはCloudflare社により自動バックアップされます。 |
6. セキュリティ監査・モニタリング
| 対策項目 | 実施内容 |
| 監査ログ | ログイン成功・失敗、登録、パスワード変更、CSRF検証失敗、管理者操作等の全認証イベントを記録。 |
| 記録内容 | イベント種別、ユーザーID、IPアドレス、ユーザーエージェント、リクエストパス、タイムスタンプ。 |
| 不正検知 | レートリミット超過、不審な入力パターンの検知・ブロック。 |
7. インフラストラクチャセキュリティ
本サービスは Cloudflare Workers / Pages 上で運用されています。
- DDoS保護:CloudflareのエンタープライズグレードのDDoS緩和機能
- WAF(Web Application Firewall):Cloudflareの管理ルールセットによる自動防御
- グローバルエッジネットワーク:世界300以上の拠点で分散処理、レイテンシー最小化
- 認証取得:Cloudflare社はISO 27001、SOC 2 Type II、PCI DSS等を取得
8. セキュリティインシデント対応
万が一セキュリティインシデントが発生した場合、当社は以下の手順で対応します。
- インシデントの検知・影響範囲の特定
- 被害拡大の防止措置(アカウントロック、サービス一時停止等)
- 影響を受けたユーザーへの速やかな通知
- 原因究明と再発防止策の実施
- 必要に応じて関係当局への報告
9. ユーザーの皆様へのお願い
セキュリティを強化するため、ユーザーの皆様にも以下のご協力をお願いいたします。
- 推測されにくいパスワードの設定(英数字混合、8文字以上推奨)
- パスワードの使い回しを避ける
- 共有PCや公共Wi-Fi使用時はログアウトを徹底
- 不審なメールやリンクには注意する
- セキュリティに関する問題を発見した場合は速やかにご連絡ください
10. お問い合わせ
セキュリティに関するご質問・脆弱性の報告は、以下の窓口までご連絡ください。
株式会社TCI セキュリティ窓口
代表取締役 尾崎 俊行
お問い合わせページよりご連絡ください
※脆弱性の報告は、公開前に当社までご連絡いただけますようお願いいたします(責任ある開示)
11. ポリシーの改定
当社は、技術環境やサービス内容の変化に応じて、本セキュリティポリシーを適宜改定します。重要な変更がある場合は、本ページおよびサービス上でお知らせします。