Camp

セキュリティポリシー(Security Policy)

(最終更新日:2025年6月20日)

 株式会社PRIMA(以下「当社」といいます。)は、当社が提供するサービス「Camp」(以下「本サービス」といいます。)において、利用者の皆さまのデータと業務を守ることを最優先事項のひとつとして位置づけています。本ポリシーは、本サービスにおける主なセキュリティ対策を「顧客に伝わる形」で整理したものです(内部構成やDB設計など、攻撃に悪用され得る詳細は記載しません)。

1. 適用範囲

本ポリシーは、本サービス(Webアプリケーション、API、外部連携、運用を含む)に適用されます。

2. セキュリティ設計の基本姿勢

当社は次の原則に基づき、設計・実装・運用を行います。

  • 最小権限:人・システムいずれも、必要最小限の権限のみを付与します。
  • 多層防御:ネットワーク、アプリケーション、データ層で重ねて防御します。
  • データ分離:組織(ワークスペース)単位でデータ境界を厳密に分離します。
  • 秘匿情報の保護:鍵・トークン等の機密情報はクライアントへ露出させず、サーバー側で安全に管理します。
  • 入力・イベントの検証:フォーム入力、API、外部イベントはすべて「検証を前提」に処理します。

3. 通信の保護(HTTPS / TLS)

本サービスは、ブラウザ・アプリとサーバー間の通信を HTTPS(TLS) により保護します。

  • 盗聴・改ざん対策:TLS により通信内容の暗号化と改ざん検知を行います。
  • 強固なプロトコル:TLS 1.2 以上を基本とし、環境が対応する場合は TLS 1.3 の利用を推奨します。
  • Cookie保護:セッション等は、適切な Cookie 属性(例:HttpOnlySecureSameSite)を用いて保護します。

4. 認証(Authentication)とセッション管理

  • 認証情報の保護:パスワード等の認証情報は平文で保持せず、強固な ハッシュ化 等により安全に取り扱います。
  • セッション管理:認証状態を安全に維持し、不正なセッション利用(なりすまし等)を防ぐための制御を行います。

5. 認可(Authorization)とアクセス制御

  • ワークスペース境界の強制:ユーザーが所属する範囲のデータのみにアクセスできるよう、アプリケーション層・データ層双方で制御します。
  • 管理権限の隔離:高権限が必要な処理はサーバー側に限定し、利用者環境(ブラウザ等)から直接扱えないようにします。

6. データ保護(暗号化 / ハッシュ化)

  • 保存時の暗号化:重要なトークンや外部連携情報など、漏えい時の影響が大きいデータは暗号化して保存します。
  • 最小化とマスキング:表示・運用に不要なデータは保持しない、または識別に必要な最小部分のみを保存し、画面上はマスク表示します。
  • 鍵管理:暗号化鍵・署名鍵は環境変数等で安全に管理し、取り扱い範囲をサーバー側に限定します。

7. 外部連携(OAuth / Webhook)の安全設計

  • OAuth の保護:認可フローでは、PKCE 等の仕組みにより横取り・なりすましリスクを低減します。
  • Webhook の検証:外部サービスからの通知は、署名検証等により送信元の正当性と改ざん有無を確認します。
  • リトライ・タイムアウト:外部連携は障害を前提に設計し、適切なタイムアウト、リトライ、失敗時の記録を行います。

8. 入力検証・不正リクエスト対策

  • 入力検証:フォームや API の入力は型・制約を検証し、想定外の入力を拒否します。
  • サニタイゼーション:必要に応じて正規化・無害化を行い、XSS 等のリスクを低減します。

9. 監視・ログ(可観測性)とプライバシー配慮

  • 監視と検知:障害や不正兆候の検知のため、必要な範囲でログ・メトリクスを取得します。
  • 秘匿情報の取り扱い:ログに認証情報や機密データが残らないよう、マスキング等の対策を行います。

10. 脆弱性対応とセキュリティ更新

  • 依存関係の管理:使用コンポーネントやライブラリの更新を継続し、重大な脆弱性は優先的に対応します。
  • 再発防止:原因分析と対策の横展開により、同種のリスクを低減します。

11. インシデント対応

セキュリティ上の問題が発生した場合は、影響範囲の特定、封じ込め、復旧、再発防止を優先し、必要に応じて関係者へ適切に連絡します。

12. データの最小化・保持・削除

  • 最小化:提供価値に必要な範囲に限ってデータを取り扱います。
  • 保持:法令・契約・運用上の要件に基づき、必要な期間に限定して保持します。
  • 削除:利用終了・契約終了時は、要件に応じて削除・匿名化等の対応を行います(バックアップ等により即時削除が難しい場合は、合理的な期間内で段階的に反映します)。

13. 脆弱性のご報告(Responsible Disclosure)

本サービスに関する脆弱性の可能性をご発見の際は、影響の最小化のため、公開前に当社までご連絡ください。確認に必要な範囲で、再現手順・影響・推奨対策等の情報提供にご協力をお願いする場合があります。

14. お問い合わせ(セキュリティ窓口)

セキュリティに関するご質問・ご報告は、以下までご連絡ください。

株式会社PRIMA
support@prima-pr.com