情報システム部セキュリティ課の設置
T2Lは社内に「情報システム部」を設置し、その配下のセキュリティ課が自社プロダクトの継続的な監査を行っています。 OWASP Top 10 / CWE Top 25 / CVSS v3.1 を基準に、静的解析(SAST)・動的解析(DAST)・ ペネトレーションテスト・依存関係スキャン(SCA)を組み合わせた監査を実施します。 あわせてIT運用課がインフラ・アカウント・DNS/証明書などの日常運用を担い、Pマーク/ISMS の運用要件をカバーします。
監査済みプロダクト:
まちのポスト / Musen / AirPermit / LinkAnalyzer / FX N8
本番公開前の監査必須ルール
T2Lのすべてのプロダクトは、本番公開・顧客への提供の前に、情報システム部セキュリティ課による監査の合格が必須です。 脆弱性が未解決の場合、情報システム部セキュリティ課は リリースを差し止める権限(Veto権) を有します。
脆弱性の公表姿勢
T2Lは「失敗を隠さない会社」を基本姿勢としています。
- 監査で発見した脆弱性は責任ある開示(Responsible Disclosure)に従って処理
- 重大な脆弱性は修正後に公表することで、業界全体の知見として共有
- 自社プロダクトの監査レポートのサマリは希望者に開示
外部からの報告窓口
T2Lのプロダクトに脆弱性を発見された場合は、下記までご連絡ください。 24時間以内に初動対応、7日以内に評価結果をお返しします。
報告窓口: lab@t2l-inc.jp
報告プログラム: Bug Bounty プログラムの立ち上げを準備中
認証取得ロードマップ
| 時期 | 認証 | 対象 |
|---|---|---|
| 2027年 Q1 | Pマーク(JIS Q 15001) | 個人情報取扱い全般 |
| 2028年 Q4 | ISMS(ISO/IEC 27001) | 情報セキュリティ全社体制 |
| 2029年 | ISO/IEC 27017 | クラウドサービスセキュリティ |
技術的対策の実装
- 暗号化: HKDF-SHA256 による鍵導出、AES-256-GCM での保存暗号化
- 認証: HMAC署名付きセッション、bcrypt ハッシュ化、Ed25519 によるライセンス署名
- CSRF対策: Double Submit Cookie パターンの全 POST 適用、Stripe Webhook は署名検証必須
- XSS対策: 出力エスケープ、Content-Security-Policy(CSP)ヘッダー設定済
- クリックジャッキング対策: X-Frame-Options: DENY、frame-ancestors 'none'
- 通信路暗号化: TLS 1.2/1.3、HTTP/2、HSTS(max-age=1年・includeSubDomains)
- 権限ポリシー: Permissions-Policy で不要API(位置情報・カメラ等)を全拒否
- レート制限・侵入防止: nginx rate-limit、fail2ban(4 jail稼働: SSH / nginx-http-auth / nginx-limit-req / nginx-botsearch)
- SSH強化: パスワード認証無効・公開鍵のみ・root はパスワードログイン禁止
- インフラ: 非root コンテナ実行、systemd EnvironmentFile によるシークレット管理、unattended-upgrades による自動セキュリティパッチ
クレジットカード決済のセキュリティ(カード情報非保持)
T2L が販売するソフトウェアの決済は、Stripe Checkout を利用します。
- カード情報は Stripe(PCI DSS Level 1 認定) が直接処理
- カード番号・有効期限・セキュリティコードは T2L のサーバ・データベース・ログに 一切保存・処理・通過させません
- カード入力フォームは Stripe のドメイン(checkout.stripe.com)で表示され、T2L のドメインを物理的に経由しません
- 「クレジット取引セキュリティ対策協議会」のチェックリストにおける カード情報非保持区分に該当
運用面の対策
- 2要素認証(2FA): Stripe Dashboard・お名前.com・XServer・Google Workspace 等の管理画面すべてで有効化
- アクセスログ・監査ログ: nginx access/error log、systemd journal、LinkAnalyzer 内蔵監査ログを取得・保管
- 定期的な脆弱性診断: OWASP ZAP・Burp Suite による自社診断、Phase 3β以降は外部診断ベンダによる第三者診断
- インシデント対応: 24時間以内の初動対応・72時間以内の関係当局通知
倫理原則
T2Lは以下の倫理原則を厳格に遵守します。
- 自社以外への攻撃・侵入・破壊的操作は絶対に行わない
- 顧客プロダクト監査は書面による明示的同意の下でのみ実施
- 発見した脆弱性の第三者への無許可開示は行わない