サービス一覧 セミナー 新着情報 お役立ち資料 フィロソフィー 会社概要 お問い合わせ
ホーム > 情報セキュリティ方針

情報セキュリティ方針

お客様の重要なデータを保護するための具体的な取り組みを公開しています。

株式会社NEXA(以下「当社」)は、「ジシュトレAI」をはじめとするサービスの提供にあたり、お客様の重要なデータを保護することを最優先事項として取り組んでいます。

ジシュトレAI は、営業研修シミュレーションプラットフォームとして、お客様の信頼を最優先とし、情報セキュリティに関する高い基準を維持しています。本方針は、当サービスにおけるセキュリティに対する基本的な考え方と実践的な対策を規定するものです。

🔒

機密性の確保

お客様データへのアクセスを厳格に管理し、不正なアクセスを防止

完全性の維持

データの改ざんを防ぎ、正確性を保証

可用性の保証

継続的なサービス提供を実現するための体制を整備

🔄

継続的改善

定期的なセキュリティレビューを実施し、対策を強化

2

システムアーキテクチャとセキュリティ基盤

2.1 クラウドインフラストラクチャ

  • プラットフォーム:Microsoft Azure(日本リージョン: japaneast)
  • データセンター:日本国内のデータセンターで完全に管理され、海外転送はありません
  • 物理セキュリティ:Azure のデータセンターは ISO 27001、SOC 2、FedRAMP などの国際認証を取得しており、24/7 の監視と最新のセキュリティ対策が施されています

2.2 マルチテナント環境でのデータ分離

  • 論理的分離:各顧客のデータは完全に論理的に分離され、他社データへのアクセスは技術的に不可能です
  • テナント ID ベースの分離:全データベースクエリに tenant_id フィルタが適用され、複数テナント間のデータ混在は発生しません
  • RLS(Row Level Security):PostgreSQL のネイティブ RLS 機能により、データベースレベルでも行単位の分離を実施

2.3 データベースとストレージ

プライマリDB:PostgreSQL(Azure Database for PostgreSQL)

  • 自動バックアップ:毎日実施、最大35日間保持
  • 暗号化:保存時の暗号化(TDE相当)と通信時の TLS 暗号化
  • 監査ログ:全ての DDL/DML 操作をシステムログに記録

オブジェクトストレージ:Azure Blob Storage

  • ファイル暗号化:Azure Storage Service Encryption により全ファイルを暗号化
  • アクセス制限:Shared Access Signature(SAS)による時限付きアクセス許可
3

通信セキュリティ

  • HTTPS/TLS:全ての通信は TLS 1.2 以上で暗号化。HTTP 接続は自動的に HTTPS にリダイレクト
  • HSTS:HTTP Strict Transport Security ヘッダーにより、ブラウザがセキュアな通信を強制
  • WebSocket セキュリティ:リアルタイム通信は WSS(Secure WebSocket)で保護。音声・ビデオ通信も SRTP(Secure RTP)で暗号化
  • API 通信:外部API呼び出し(OpenAI など)も全て HTTPS で実施。API キーは環境変数で管理され、ソースコードに含まれません
4

認証とアクセス制御

4.1 ユーザー認証

  • パスワード管理:最小8文字、大文字・小文字・数字・記号を含むポリシー。bcrypt によるハッシュ化(salt round: 12)。パスワード変更時の履歴管理(過去5世代の重複チェック)
  • 多要素認証(MFA):オプションで TOTP(Time-based One-Time Password)をサポート。管理者には MFA の使用を強く推奨
  • シングルサインオン(SSO):Azure AD(Entra ID)との連携に対応。OIDC(OpenID Connect)対応で複数 IdP に対応可能

4.2 セッション管理

  • HttpOnly フラグ:JavaScript からのアクセスを防止
  • Secure フラグ:HTTPS でのみ送信
  • SameSite フラグ:CSRF 攻撃を防止
  • セッション有効期限:標準30日間。非アクティブ期間が30分を超えた場合は自動ログアウト

4.3 ロールベースアクセス制御(RBAC)

  • 管理者:全機能へのアクセス、ユーザー管理、監査ログ閲覧
  • マネージャー:チーム管理、結果確認、レポート生成
  • ユーザー:割り当てられたシナリオの実行、自身の結果確認
  • ゲスト:読み取り専用アクセス(カスタマイズ可能)

各ユーザーには必要最小限の権限のみを付与。月1回、全員の権限を確認し、不要なアクセスを削除します。

5

データ保護と分類

5.1 データの分類

  • Highly Sensitive:個人識別情報(PII)、パスワード、API キー
  • Sensitive:営業シナリオ、顧客企業情報、ロープレ実績
  • Internal:ユーザーログ、監査記録、システムデータ
  • Public:一般公開情報

5.2 データ保存と取り扱い

  • 個人情報(PII):保存時は暗号化、取得時は最小限。統計分析時は匿名化・仮名化を実施。EU の GDPR 対応により、個人情報の適切な取扱いを実施
  • 営業シナリオ:作成者・管理者のみがアクセス可能。共有時は特定ユーザーへの明示的な許可を要求。削除時は物理的に上書き消去

5.3 データ削除と保持

  • サービス解約時:お客様の要請に応じて全データを30日以内に削除。削除は複数回上書き(シュレッダー方式)により物理的に実施。法的要件がない限り、削除後の復元はできません
  • 自動削除:非アクティブなセッション(90日以上未使用)の古いログは自動削除。バックアップは規定期間後に自動廃棄
6

AI・機械学習セキュリティ

6.1 外部AIサービスの利用

  • API 通信は全て TLS で暗号化
  • API キーは環境変数で厳格に管理
  • Azure OpenAI の利用規約に従い、個人を特定できる情報は送信しません
  • ※使用するモデルのリージョンは米国東部2ですので、AIへのデータ送受信の際は国外に通信されます

6.2 データのプライバシー保護

  • AIへの入力データは必要な範囲でのみ送信
  • 個人情報は匿名化・マスキングして送信
  • Azure OpenAI は送信データを学習に使用しません(Enterprise プランを使用)

6.3 プロンプトインジェクション対策

  • 入力検証:全ユーザー入力をサニタイズし、不正なプロンプトを検出・遮断
  • 出力検証:AI の応答から有害なコンテンツを自動検出
7

監視とログ管理

7.1 監査ログ

  • ユーザー操作:ログイン、ログアウト、データアクセス
  • 管理者操作:ユーザー作成・削除、権限変更、設定変更
  • システム操作:データベース変更、エラー発生、セキュリティイベント

7.2 ログの保護と保持

  • 改ざん防止:Azure Log Analytics に送信され、改ざん不可能な状態で保存
  • 暗号化:ログは転送時・保存時ともに暗号化
  • 保持期間:最低1年間(法的要件に応じて延長可能)
  • アクセス制限:監査ログは管理者のみがアクセス可能

7.3 異常検知

  • 短時間の大量アクセス(DDoS の可能性)
  • 失敗したログイン試行の異常増加(ブルートフォース攻撃)
  • 通常と異なるアクセスパターン
  • 疑わしい活動は即座にセキュリティチームに通知
8

インシデント対応

8.1 インシデント対応体制

  • 24/7 監視:セキュリティチームが常時監視・対応
  • 初期対応:インシデント発生から1時間以内に影響範囲を特定
  • 隔離と復旧:被害拡大を防ぎながら、システムを復旧

8.2 報告と透明性

  • 高リスク(個人情報流出など):発生から24時間以内に通知
  • 中リスク(サービス停止など):3営業日以内に通知
  • 低リスク:月次レポートで報告

通知内容:インシデントの内容と影響範囲、講じた対応措置、再発防止策、お客様が実施すべき対応。個人情報流出など法的要件がある場合は、関連機関に報告します。

9

脆弱性管理

9.1 セキュリティスキャン

  • 月1回以上の脆弱性診断を実施(OWASP Top 10 を中心に診断)
  • 依存ライブラリの脆弱性を自動スキャン(npm audit, pip check など)
  • 年1回以上の本格的なペネトレーションテストを実施

9.2 脆弱性修復の優先順位

Critical
48時間以内に修復
High
1週間以内に修復
Medium
2週間以内に修復
Low
次回の定期メンテナンス時に修復

9.3 責任ある脆弱性報告

  • セキュリティ研究者による脆弱性報告を歓迎します
  • 報告者を保護し、公開前に対応を実施
  • 連絡先:security@jishutore.com
10

ソースコードセキュリティ

10.1 開発プロセス

  • コードレビュー:全ての本番コード変更には管理者による承認が必須
  • 静的コード分析:SonarQube などのツールで脆弱性を自動検出
  • 依存ライブラリ管理:pip(Python)と npm で定期的にセキュリティアップデートを確認。既知の脆弱性あるライブラリは使用を禁止

10.2 シークレット管理

  • APIキーと認証情報はソースコードに含まれない
  • 環境変数(Azure Key Vault)で管理
  • ローテーション:90日ごとに変更
11

従業員のセキュリティ教育

  • 入社時教育:全従業員がセキュリティ教育を受講し、誓約書に署名
  • 定期研修:年2回以上のセキュリティ研修を実施
  • インシデント時教育:セキュリティインシデント発生時に、全員への教育を実施
  • 内部通報制度:セキュリティに関する問題や懸念を報告できる制度を設置
12

ベンダーセキュリティ管理

主要パートナーのセキュリティ状況を定期的に評価しています。

  • Microsoft Azure:ISO 27001、SOC 2、FedRAMP など複数認証取得
  • OpenAI:Enterprise プラン利用、SOC 2 Type II 監査済み
13

コンプライアンス

13.1 法的準拠

  • 個人情報保護法:個人データの取扱いは完全に準拠
  • GDPR(General Data Protection Regulation):EU ユーザーのデータに対応
  • FISC安全対策基準:金融機関のお客様向けに対応
  • マイナンバー法:マイナンバーは取得・保存しない

13.2 認証と監査

  • ISO 27001:取得を目指して準備中
  • SOC 2 Type II:年1回の独立監査を実施予定
  • お客様監査への対応:セキュリティに関するご質問や監査への協力
14

セキュリティ対策の継続的改善

  • ポリシー見直し:年1回以上、セキュリティポリシーを見直し
  • 脅威環境への対応:業界の脅威トレンドを監視し、対策を更新
  • インシデント教訓の共有:セキュリティイベントから得られた教訓を組織全体で共有
  • お客様からのご意見:セキュリティに関するご提案やご指摘を積極的にお聞きします

セキュリティに関するお問い合わせ

セキュリティに関するご質問、脆弱性の報告、またはセキュリティ監査のご要望については、以下までお気軽にお問い合わせください。責任を持って対応させていただきます。

info@sales-nexa.co.jp
最終更新日: 2026年3月23日