セキュリティの取り組み

技術的な対策

• 

  通信の安全化（SSL）

  ブラウザとサーバー間のデータ通信を暗号化します。暗号化通信により、サイト利用ユーザーの個人情報やログイン情報を、第三者の盗聴から守り、改ざんやなりすましから個人情報を保護します。

• 

  WAFの導入

  ウェブの脆弱性を利用した攻撃やボットから、アプリケーションやAPIを保護するために、AWS WAFを採用しています。サイバーセキュリティクラウド社のWafCharmを適用し、独自にカスタマイズしたルールを構築、運用しています。

• 

  サーバーレス
  アーキテクチャの採用

  サーバーを持たないため、OSやソフトウェアの脆弱性対応などが不要となり、常にAWSが最新の状態に保たれ、セキュリティリスクが低減されます。

• 

  脆弱性検査

  リリース前にGSX^※のタイガーチームによる大規模なペネトレーションテストを実施し、定期的な診断を実施しています。悪意ある攻撃や情報漏えい事故などのリスクを未然に防ぐことができます。

  ※GSX…グローバルセキュリティエキスパート株式会社 https://www.gsx.co.jp/

• 

  データベース
  セキュリティの最大化

  データベースへのアクセスをIAM認証による暗号通信とすることでセキュリティを担保しています。さらにデータベース自身も非公開領域(Private-Sub net) に配置し、情報漏えいを防止しています。

• 

  Cognito Authorizerの採用

  ユーザーのログイン認証でも利用しているAmazon Cognitoと連携するCognito Authorizer をAPI Gatewayに適用し、API Gatewayの不正利用を防ぐことでセキュリティ強化を実現しています。