品質保証プロセス

T2Lが自社プロダクトを、どう守っているか

品質保証の基本方針

T2Lでは、自社プロダクトを世に出す前に、必ず品質保証プロセスを通します。 機能テスト・UI/UXレビュー・セキュリティ監査・データ分析による定量検証を、各部署が役割を分けて実施しています。 このページでは、T2Lが内部で実践している品質保証プロセスと、使用しているツール群(社内呼称:Guardian)をご紹介します。

Guardian は T2L の内部品質保証ツールであり、現時点で外部販売は行っておりません。 将来、自社運用で十分な実績を積んだ上で、社外向けサービス化を検討する可能性があります。

6段階の品質保証フロー

T2Lのプロダクトは、以下のフローを経て本番公開されます。

  1. 設計部レビュー
    アーキテクチャ・DB設計・API設計・UI設計の妥当性を確認
  2. UI/UXデザイン部レビュー(実装前)
    人間工学(Fitts / Hick / Miller の法則)基準・操作フロー・空状態設計を確認
  3. 開発部による実装
    セキュアコーディング原則に従った実装
  4. UI/UXデザイン部レビュー(実装後)
    設計との整合・画面一貫性・アクセシビリティの最終確認
  5. 検査部テスト
    正常系・異常系・境界値・RBAC・UI表示を全網羅テスト
  6. 情報システム部セキュリティ課 監査(Veto権)
    OWASP Top 10 / CWE Top 25 / CVSS v3.1 を基準とした脆弱性監査。 未解決の脆弱性がある場合、本部署はリリースを差し止める権限を持ちます

セキュリティ監査で使用するツール(Guardian ツールセット)

目的ツール用途
Web脆弱性スキャンOWASP ZAPA01-A10 の自動診断
ポートスキャンnmap / masscan公開ポート・サービス検出
SSL/TLStestssl.sh / sslscan暗号スイート・証明書監査
依存関係pip-audit / npm audit既知CVEマッチング
秘密情報TruffleHog / gitleaksソース・ログ内の平文認証情報検出
設定監査Lynis / TrivyOS・コンテナ設定監査
手動ペネトレBurp Suite認証・認可・ロジック脆弱性の検証

診断カテゴリ(OWASP Top 10 2021 準拠)

  • A01 アクセス制御の不備(認可・RBAC・IDOR)
  • A02 暗号化の不備(平文保存・弱い鍵導出・TLS設定)
  • A03 インジェクション(SQL / OS / XSS / テンプレート)
  • A04 安全でない設計(脅威モデル / STRIDE分析)
  • A05 セキュリティ設定ミス(デフォルト認証・CSP・CORS)
  • A06 脆弱なコンポーネント(依存関係 CVE スキャン)
  • A07 認証/認可の不備(セッション・パスワードポリシー)
  • A08 データ整合性(デシリアライゼーション・CI/CD)
  • A09 ログ・監視の不備
  • A10 SSRF(サーバーサイドリクエスト偽造)

加えて: SSL/TLS設定、Cookie属性(HttpOnly/Secure/SameSite)、CSRF対策、レート制限、fail2ban等のホスト設定も確認します。

自社監査の事例

T2Lが自社プロダクトに対して実施した監査結果

まちのポスト 公開前監査(2026年4月)

発見: Critical 1件 / High 5件 / Medium 8件
対応: 全件公開前に修正完了(HKDF-SHA256導入、CSRFミドルウェア実装、PIN総当たり対策等)

LinkAnalyzer 実証テスト(2026年4月)

実施: 15シナリオ 947パケット + 悪意pcap 8種類
結果: 25テスト全合格、クラッシュ0件、10万パケット処理874ms

Musen/AirPermit 監査(2026年4月)

発見: Critical 2件 / High 4件 / Medium 6件
対応: 本番デフォルト認証除去、非root化、シークレット起動時検証導入

お客様へのお約束

  • T2Lが販売するプロダクトは、上記 6 段階の品質保証プロセスを通過したもののみです
  • 監査で発見した脆弱性は、責任ある開示(Responsible Disclosure)に従って処理します
  • 重大な発見があった場合、公表可能な範囲でお客様にご報告します
  • T2L 自身のインフラ(VPS・DNS・証明書)にも同じプロセスを適用しています

プロダクトのご相談はお気軽に

T2Lの品質保証プロセスを通ったSaaSプロダクトをご紹介します。

サービス一覧を見る