セキュリティホワイトペーパー
最終更新日: 2026年5月8日 / バージョン: 1.0
1. 概要
1.1 本書の目的
本書は、カボシア株式会社(以下「当社」)が提供するデータインフラサービスの情報セキュリティ管理に関する設計・運用方針を、お客様および取引先の調達担当者・情報セキュリティ部門の評価のために開示するものです。
1.2 対象範囲
当社は EDINET DB と FUDOSAN DB の 2 つのデータインフラサービスを共通の基盤・運用方針で運用しています。本書は両サービスを対象としますが、実装エビデンスの整理は EDINET DB を中心に行っており、FUDOSAN DB 固有の実装詳細は確認後に追記します。
1.3 認証取得状況
認証
| 認証 | 状況 | 備考 |
|---|
| ISO/IEC 27001 (ISMS) | 未取得 | 取得着手の可否を 2026 年 9 月末に再判断予定 |
| SOC 2 | 未取得 | 必要性が明確化した段階で検討 |
| プライバシーマーク | 未取得 | 取り扱う個人情報の種類・量に応じて検討 |
第三者認証は未取得です。本書で記載する技術的・組織的安全管理措置は、ISO/IEC 27001 Annex A 管理策を 参考に、現時点で必要性の高い項目から順次実装・運用しているものであり、第三者審査による「準拠」「適合」を示すものではありません。
主要な未対応・未整備項目(透明性のため明示)
| 項目 | 状況 |
|---|
| 第三者ペネトレーションテスト | 未実施 |
| DAST(動的アプリケーションセキュリティテスト) | 未導入 |
| SAML / OIDC SSO(顧客向け) | 未対応(Google OAuth のみ) |
| 顧客管理鍵 (CMEK) | 未対応 |
| バグバウンティ(金銭報奨) | 未実施(脆弱性報告窓口は設置) |
| 標準 SLA の公開 | 未公開(個別契約で協議) |
| バックアップ復元試験の定期化 | 未定期化 |
| BCP(事業継続計画)の正式文書化 | 未文書化 |
1.4 法令遵守
- 個人情報保護法:第三者提供制限、安全管理措置、越境移転規律を遵守
- 特定商取引法:表示義務遵守
- 資金決済法:当社では決済代行に Stripe を利用し、当社サーバー上にカード情報を保有しません
2. 会社情報・体制
2.1 会社情報
2.2 セキュリティ責任体制
2.3 委託先(サブプロセッサ)一覧
主たる委託先は以下のとおりです。各委託先は、業界標準の認証取得状況・利用規約・公開情報を確認したうえで選定しています。
| 委託先 | 委託範囲 | データ所在地 | 認証等 |
|---|
| Google Cloud Platform | クラウドインフラ全般 | asia-northeast1(東京) | ISO 27001/27017/27018, SOC 1/2/3 |
| Stripe | 決済処理 | グローバル | PCI DSS Level 1 |
| Cloudflare | CDN / DNS / WAF | グローバル | ISO 27001, SOC 2 Type II |
| Resend | トランザクションメール | グローバル | SOC 2 Type II |
| Google Analytics 4 | アクセス解析 | グローバル | Google プライバシー基準 |
委託先一覧の最新版・利用目的の詳細はプライバシーポリシーに記載しています。
委託先管理の運用
- 追加・変更時の通知:プライバシーポリシーへの反映 + 重要な変更時は当社 Web サイトおよび登録メールアドレス宛に通知
- DPA:エンタープライズ契約で個別締結可能
- 異議申立て:security@cabocia.jp で個別相談
- 棚卸し:半年ごとに見直し(定期化を整備中)
3. インフラストラクチャセキュリティ
3.1 クラウド基盤
当社サービスは Google Cloud Platform(東京リージョン: asia-northeast1)上に構築されています。GCP は ISO 27001 / 27017 / 27018, SOC 1/2/3, PCI DSS, FedRAMP High 等の認証を取得しており、物理セキュリティ・ネットワーク・ハイパーバイザーレベルのセキュリティは GCP の責任において提供されています。
3.2 ネットワークセキュリティ
- HTTPS 強制、HSTS ヘッダー(max-age=31536000 + preload)
- TLS 1.2 以上、Google Managed SSL(自動更新)または Certificate Manager + DNS 認証
- DDoS 対策:Google Cloud Load Balancing による吸収 + Cloudflare
- サービス間通信は OIDC トークン認証、外部からのバッチ API は API Key 認証
- 事業ごとに GCP プロジェクトを独立運用(fudosan-database / edinet-database 等)
3.3 アプリケーション実行環境
- 実行基盤:Google Cloud Run(コンテナ化されたステートレスサービス)
- 言語/フレームワーク:Python / Flask + Gunicorn
- デプロイ:Cloud Build によるソースビルド、Artifact Registry で世代管理
- 環境変数:Secret Manager から secretKeyRef 経由で注入。平文ハードコード禁止
3.4 データベース
- データ基盤:Google BigQuery(東京リージョン)
- アクセス制御:サービスアカウント認証(IAM ロール最小権限)
- 暗号化:Google による標準暗号化(保存時 AES-256、転送時 TLS)
- 監査:Cloud Audit Logs を有効化、クエリ履歴・アクセスログを保持
4. 認証・認可(IAM)
4.1 ユーザー認証
| 面 | 認証方式 |
|---|
| 公開サイト | 認証なしで閲覧可能 |
| 開発者ダッシュボード | Google OAuth |
| 社内管理画面(fudosan.cabocia.com) | Google IAP |
| 公開 API | API Key(HTTPS 必須、X-API-Key) |
| MCP Server | API Key + OAuth 2.1 Authorization Code Flow with PKCE |
| バッチ API | API Key(Cloud Run 直接 URL 経由) |
| 決済 Webhook | Stripe 署名検証(HMAC-SHA256) |
4.2 API Key の管理
- 発行:開発者ダッシュボードから自己発行(Google OAuth 認証後)
- 保管:SHA-256 ハッシュ化して BigQuery に保存。平文では保存しない
- 比較:HMAC タイミング攻撃を防ぐため
hmac.compare_digest を使用
- 失効:ダッシュボードからの自己失効、または当社からの強制失効が可能
- レート制限:プラン別の日次・月次上限を設定
4.3 サービスアカウント
- 各サービスは用途別の専用サービスアカウントを使用
- IAM ロールは原則 最小権限(principle of least privilege)
- サービスアカウントキー(JSON)の発行は原則禁止
4.4 管理者アクセス
- 管理者アクセスは Google IAP で個別ユーザー単位に許可
- 許可ユーザーは当社の事業運営に必要な役職員・委託先担当者に限定し、許可リストは社内で管理
- 退職者・契約終了者のアクセスは終了日に失効
5. データ保護
5.1 データ分類
| 分類 | 例 | 保護レベル |
|---|
| 公開データ | 不動産取引情報、地価公示、エリア統計 | 公開(出典明示) |
| 顧客アカウント情報 | メールアドレス、組織名 | 機密(暗号化保存) |
| 決済情報 | カード番号 | 当社では保有しない(Stripe で直接処理) |
| API 利用ログ | エンドポイント、IP、UA | 機密(アクセス制限) |
| 認証情報 | API Key、OAuth トークン | 機微(ハッシュ化) |
5.2 暗号化
- 転送時:TLS 1.2 以上を必須化、HSTS 有効(整備中)
- 保存時:Google Cloud 標準暗号化(AES-256)
- API Key:SHA-256 ハッシュ化、Stripe は委託先側で PCI DSS 準拠の暗号化
5.3 シークレット管理
- 全シークレットは Google Cloud Secret Manager で集中管理
- アクセスは secretmanager.secretAccessor ロールで制御
- 主要シークレット例:
fudosandb-reinfolib-api-key, fudosandb-batch-api-key
5.4 データ所在地
- BigQuery / Cloud Storage 等の 主要なアプリケーションデータは GCP asia-northeast1(東京)リージョンに保管
- 決済(Stripe)、メール(Resend)、CDN/DNS(Cloudflare)、解析(Google Analytics 4)では委託先のグローバル基盤を利用する場合があります
- 越境移転に関する詳細はプライバシーポリシーで開示
5.5 データ保持・削除
| 種別 | 保持期間 | 削除方法 |
|---|
| 顧客アカウント情報 | 解約後30日まで | ユーザー請求で即時削除可 |
| API 利用ログ | 24ヶ月 | 期間経過後に削除運用 |
| 監査ログ | GCP 標準保持期間 | GCP 管理 |
削除請求の運用
- 窓口:security@cabocia.jp
- 本人確認:登録メールアドレスからの請求 + 必要に応じた追加確認
- 対応目安:請求受付から30日以内に削除完了 → 本人へ通知
- 削除の対象外(除外):法令で保存義務のあるデータ、匿名加工データ、GCP のバックアップ・監査ログの自動的なローテーションによる削除
6. アプリケーションセキュリティ
6.1 セキュアコーディング
- BigQuery クエリは 必ずパラメータ化 して SQL インジェクションを防止
- テンプレートは Jinja2 のオートエスケープを使用
- 例外メッセージはユーザー向けには汎用化、内部エラーはログのみ
6.2 セキュリティヘッダー
EDINET DB と同等の以下のヘッダー付与を整備中です。
- Content-Security-Policy / Strict-Transport-Security (HSTS) / X-Content-Type-Options: nosniff / X-Frame-Options: DENY / Referrer-Policy / Permissions-Policy
6.3 CSRF 対策
EDINET DB と同様の Origin ヘッダー検証 + SameSite=Lax + Secure Cookie 運用を整備中です。API / Webhook / MCP は独自認証で保護されているため CSRF 検証から除外します。
6.4 入力検証・出力エンコーディング
- 主要な外部入力(API パラメータ、フォーム、認証ヘッダー等)について、型・範囲・列挙値の検証を実施
- HTML 出力は Jinja2 オートエスケープにより XSS を防止
7. 脆弱性管理
7.1 セキュリティレビュー
| 種類 | 運用方針 |
|---|
| 重要変更時レビュー | 機能追加・認証/データ取り扱い変更時に都度実施。AI(Claude Code)+ 人間レビュー |
| 包括レビュー | 必要に応じて随時実施 |
| 依存関係 CVE スキャン | 依存追加時に都度実施、定期化を整備中 |
| 設定棚卸し | 重要変更時に都度実施、半年ごとの定期化を整備中 |
定期運用(月次・四半期)の制度化は ISMS 取得着手と合わせて整備します。
7.2 ペネトレーションテスト
現時点では外部委託のペネトレーションテストは実施していません。
7.3 脆弱性報告
外部研究者からの脆弱性報告は security@cabocia.jp で受け付けます。
対象範囲:当社が運営するサービス(fudosandb.jp / edinetdb.jp / edinetdb.com / 関連 API・MCP エンドポイント)。
セーフハーバー:以下の遵守を前提に、責任ある開示として善意の報告者への法的措置は行いません。
- 個人情報・機密データの取得・改変・破壊・第三者開示を行わないこと
- DDoS・スパム送信・ソーシャルエンジニアリングを行わないこと
- 報告内容を当社の修正完了まで第三者に開示しないこと
報奨金:金銭的報奨金プログラムは現時点では実施していません。報告内容に応じて謝意の表明・謝礼の検討を行います。
8. インシデント対応
8.1 検知
- サービスダウン:GCP モニタリング + 内部監視 → Slack 通知
- 異常なクエリ・コスト:BigQuery INFORMATION_SCHEMA.JOBS 監視
- データ品質異常:日次自動チェック
- 認証失敗連続:API Gateway 層でレート制限 + 監査ログ
8.2 対応プロセス
- 検知 → Slack 即時通知
- トリアージ(Severity 判定)
- 封じ込め(影響範囲特定、必要に応じてサービス停止・キー失効)
- 是正(根本原因の修正、再発防止策の実装)
- 記録(ポストモーテム作成)
- 顧客通知(個人情報漏えい等の場合)
8.3 個人情報漏えい時の通知
個人情報保護法 第26条が定める 報告対象事態 に該当する個人データの漏えい等が発生した場合、以下を実施します。
- 個人情報保護委員会への速報:発覚日から概ね 3〜5 日以内
- 個人情報保護委員会への確報:30 日以内(不正の目的をもって行われたおそれがある場合等は 60 日以内)
- 本人への通知:影響範囲・対応方針・問い合わせ先を明記して速やかに
- 必要に応じて当社 Web サイト・メールで公表
9. バックアップ・事業継続
9.1 データバックアップ
- BigQuery(公開データ):国土交通省 不動産情報ライブラリ等の公的ソースから再構築可能 + GCS にもアーカイブ保管
- BigQuery(顧客データ):GCP のリージョン冗長化により保護
- Secret Manager:自動バージョン管理(最新10世代)
- ソースコード:GitHub に保管
9.2 事業継続
- Cloud Run / BigQuery のリージョン内冗長化により単一障害点リスクを 低減(GCP 全体障害時はサービス停止の可能性、GCP の SLA に依拠)
- 公開データに関する社内目標値:RTO 4時間 / RPO 24時間(返金・補償を伴う標準 SLA としては公開していません)
- エンタープライズ契約では稼働率・通知目標等を個別に協議のうえ合意可能
- バックアップからの 復元試験は未定期化。優先課題として整備中
10. AI / LLM 利用に関する管理
当社は内部開発で生成 AI(Anthropic Claude / OpenAI ChatGPT)を活用しています。
| 項目 | 方針 |
|---|
| 顧客の API リクエストパラメータ・検索クエリ | 外部の生成 AI 学習目的での提供は行わない |
| 当社内部での AI 活用 | コード生成・ドキュメント作成・データ分析支援に限定。顧客個別の機微データは入力しない方針を運用 |
| AI が出力したコード・文書 | 人間レビューを経て採用(生成物のそのままのデプロイは禁止) |
| 委託先サービス | 利用条件・管理設定を確認のうえ運用。学習利用・データ保持の有無は利用サービスおよび契約条件に従う |
11. 物理セキュリティ・端末管理
- データセンター:GCP(東京)の物理セキュリティに依拠
- 業務端末:OS 標準のディスク暗号化(FileVault)有効化、画面ロック必須
- リモートワーク:VPN / Zero Trust ネットワーク(Google IAP)でリソースアクセス制御
- 廃棄端末:ディスク暗号化キーを破棄したうえで初期化
12. 教育・採用
- 入社時に情報セキュリティ方針・取り扱いルールを共有
- 業務委託契約には秘密保持条項・情報セキュリティ条項を含む
- アクセス権限はプロジェクト終了とともに失効
13. 外部連絡先
14. 改訂履歴
本書はカボシア株式会社のデータインフラ事業における現時点の管理態勢を示すものであり、事業成長や法令改正に応じて随時更新します。最新版は当社 Web サイトで公開しています。
← セキュリティトップへ ・ セキュリティ FAQ →