品質保証の基本方針
T2Lでは、自社プロダクトを世に出す前に、必ず品質保証プロセスを通します。 機能テスト・UI/UXレビュー・セキュリティ監査・データ分析による定量検証を、各部署が役割を分けて実施しています。 このページでは、T2Lが内部で実践している品質保証プロセスと、使用しているツール群(社内呼称:Guardian)をご紹介します。
Guardian は T2L の内部品質保証ツールであり、現時点で外部販売は行っておりません。 将来、自社運用で十分な実績を積んだ上で、社外向けサービス化を検討する可能性があります。
6段階の品質保証フロー
T2Lのプロダクトは、以下のフローを経て本番公開されます。
- 設計部レビュー
アーキテクチャ・DB設計・API設計・UI設計の妥当性を確認 - UI/UXデザイン部レビュー(実装前)
人間工学(Fitts / Hick / Miller の法則)基準・操作フロー・空状態設計を確認 - 開発部による実装
セキュアコーディング原則に従った実装 - UI/UXデザイン部レビュー(実装後)
設計との整合・画面一貫性・アクセシビリティの最終確認 - 検査部テスト
正常系・異常系・境界値・RBAC・UI表示を全網羅テスト - 情報システム部セキュリティ課 監査(Veto権)
OWASP Top 10 / CWE Top 25 / CVSS v3.1 を基準とした脆弱性監査。 未解決の脆弱性がある場合、本部署はリリースを差し止める権限を持ちます
セキュリティ監査で使用するツール(Guardian ツールセット)
| 目的 | ツール | 用途 |
|---|---|---|
| Web脆弱性スキャン | OWASP ZAP | A01-A10 の自動診断 |
| ポートスキャン | nmap / masscan | 公開ポート・サービス検出 |
| SSL/TLS | testssl.sh / sslscan | 暗号スイート・証明書監査 |
| 依存関係 | pip-audit / npm audit | 既知CVEマッチング |
| 秘密情報 | TruffleHog / gitleaks | ソース・ログ内の平文認証情報検出 |
| 設定監査 | Lynis / Trivy | OS・コンテナ設定監査 |
| 手動ペネトレ | Burp Suite | 認証・認可・ロジック脆弱性の検証 |
診断カテゴリ(OWASP Top 10 2021 準拠)
- A01 アクセス制御の不備(認可・RBAC・IDOR)
- A02 暗号化の不備(平文保存・弱い鍵導出・TLS設定)
- A03 インジェクション(SQL / OS / XSS / テンプレート)
- A04 安全でない設計(脅威モデル / STRIDE分析)
- A05 セキュリティ設定ミス(デフォルト認証・CSP・CORS)
- A06 脆弱なコンポーネント(依存関係 CVE スキャン)
- A07 認証/認可の不備(セッション・パスワードポリシー)
- A08 データ整合性(デシリアライゼーション・CI/CD)
- A09 ログ・監視の不備
- A10 SSRF(サーバーサイドリクエスト偽造)
加えて: SSL/TLS設定、Cookie属性(HttpOnly/Secure/SameSite)、CSRF対策、レート制限、fail2ban等のホスト設定も確認します。