My Compassは、企業様・個人様に安心してご利用いただけるよう、以下のセキュリティ対策を実施しています。
1. 通信の安全性
- 全通信をHTTPS(TLS 1.2以上)で暗号化
- HSTS(HTTP Strict Transport Security)によるHTTPS強制
2. 認証・ログイン
- パスワードは業界標準のハッシュアルゴリズム(PBKDF2-SHA256)で不可逆暗号化して保存
- ログイン試行回数の制限(ブルートフォース攻撃対策)
- セッションはサーバーサイドのデータベースで管理(Cookie改ざんによるなりすましを防止)
3. アクセス制御
- ユーザーは自分のデータのみ閲覧・編集が可能(他ユーザーのデータには一切アクセス不可)
- 管理者機能は専用の認証で保護
- 企業(B2B)利用時は組織単位でデータを完全に分離
4. データ保護
- SQLインジェクション対策(全データベース操作でパラメータ化クエリを使用)
- クロスサイトスクリプティング(XSS)対策(入力値の検証・サニタイズ処理)
- クロスサイトリクエストフォージェリ(CSRF)対策(SameSite Cookie設定)
5. 決済の安全性
- Stripe社の決済基盤を利用(PCI DSS準拠)
- カード情報は自社サーバーを一切経由しない設計
- Webhook通信は署名検証により改ざんを検知
6. インフラストラクチャ
- Cloudflare社のグローバルエッジネットワーク上で稼働
- DDoS攻撃に対する防御が標準で適用
- アプリケーション実行環境はリクエストごとにサンドボックス化(他テナントとの完全分離)
- APIキー等の秘密情報は暗号化されたシークレットストアで管理
7. セキュリティ監査
- 2026年2月にコードベース全体のセキュリティ監査を実施(2段階)
- 発見された脆弱性は全件修正・検証済み
- 使用ライブラリの脆弱性スキャンで問題なしを確認
8. 個人情報の取り扱い
- アクセスログのIPアドレスは匿名化して保存
- パスワードリセット時にアカウントの存在有無を第三者に開示しない設計
- エラーメッセージからシステム内部情報が漏洩しない設計
技術的な詳細について:セキュリティ監査の詳細レポートをご要望の企業様には、別途ご提供が可能です。お気軽にお問い合わせください。