セキュリティホワイトペーパー
本ドキュメントは、AnimaTimeのセキュリティアーキテクチャについて包括的にまとめた技術文書です。 IT部門でのセキュリティ審査にご活用ください。
暗号化
| 対象 | 方式 | 詳細 |
|---|---|---|
| 保存時暗号化 | Supabaseインフラストラクチャによる暗号化 | データベース・ファイルストレージはSupabase/AWSインフラストラクチャの暗号化機能により保護 |
| 通信暗号化 | TLS | すべてのHTTPS通信にTLSを適用(バージョンはVercel/Supabaseインフラストラクチャに準拠)。HSTS対応。 |
認証基盤
AnimaTimeの認証はSupabase Authを基盤としています。
- ●bcryptによるパスワードハッシュ化(コスト係数: 10)
- ●JWTベースのセッション管理(アクセストークン: 1時間、リフレッシュトークン: 7日)
- ●TOTP準拠の二段階認証(MFA)対応
- ●アカウントロックアウト(5回連続失敗で15分ロック)
インフラストラクチャ
| コンポーネント | プロバイダ | リージョン |
|---|---|---|
| アプリケーション | Vercel Edge Network | グローバルCDN(東京エッジ含む) |
| データベース | Supabase(マネージドPostgreSQL) | AWS ap-northeast-1(東京) |
| ファイルストレージ | Supabase Storage(S3互換) | AWS ap-northeast-1(東京) |
脆弱性スキャン
依存パッケージの脆弱性スキャンをCI/CDパイプラインで自動実行しています。 GitHub Dependabotによる自動PRも有効化しており、CriticalおよびHighの脆弱性は 72時間以内にパッチを適用しています。
ペネトレーションテスト
年1回の外部ペネトレーションテストを実施予定です。テスト結果はNDA締結のうえ、 お客様に共有可能です。
SOC 2ロードマップ
SOC 2 Type II認証の取得に向けて準備を進めています。 現在、セキュリティポリシーの整備とコントロールの実装を行っており、 2027年中の認証取得を目標としています。