トラスト

·English →

Anvil のセキュリティ

最終更新日:2026年4月19日

⚠️ 非公式参考翻訳 / Unofficial Reference Translation

本書面は参考用の日本語訳です。英語版(anvilhk.com/security)との間に相違がある場合、英語版が優先します。日本国内で利用される場合は、現地弁護士へのご相談をお勧めします。

Anvil は、お客様の収益パイプラインの記録システムです。当社はその責任を真剣に捉えています。 本ページは、顧客データを保護するセキュリティ制御、認証、および慣行を 平易な日本語で説明するものです。契約上のバージョンについては、 データ処理附属書 をご参照ください。

既定で暗号化

転送時は TLS 1.3、保存時は AES-256-GCM。鍵はハードウェアベースの KMS でエンベロープ暗号化されています。

最小権限アクセス

エンジニアには、承認されたアクティブなセッションなしには本番環境へのアクセスはありません。すべての管理者に MFA + SSO を必須。

透明なインシデント対応

48 時間以内の違反通知、重要なインシデントの公開事後検証、ライブステータスページ。

1. データ保護

転送時の暗号化

ユーザーと Anvil 間のすべてのトラフィックは、TLS 1.3 の HTTPS で提供されます。 HSTS を max-age 1 年で強制し、プリロードリストに登録されています。 内部サービス間トラフィックは、プライベートネットワーク内で暗号化されています。

保存時の暗号化

PostgreSQL、MongoDB、Redis 永続化、オブジェクトストレージはすべて AES-256-GCM で暗号化されています。データベースバックアップは別の鍵で 暗号化され、地理的に異なるリージョンに保存されます。

鍵管理

データ暗号化鍵は、ハードウェアベースの KMS に保持される鍵暗号化鍵でラップされます。 鍵は定義されたスケジュールで回転され、人間が DEK に平文でアクセスすることはありません。

シークレット

アプリケーションのシークレットは暗号化されたシークレットストアに保存され、 実行時に注入され、ソース管理にコミットされることはありません。 シークレットスキャンはプッシュごとに実行されます。

テナント分離

テナントを保持するすべてのテーブルの各行には、テナント識別子が付与されます。 認可はアプリケーション層で強制され、クロステナント回帰テストが各デプロイで実行されます。 ストレージパスは名前空間化されています。

データ所在地

顧客データは主に香港特別行政区でホストされます。エンタープライズ顧客は、 EU または米国限定の所在地を要求できます。料金については当社にお問い合わせください。

2. 認証およびアクセス

エンドユーザー認証

メール + パスワード、Google OAuth、SAML / OIDC SSO(エンタープライズ)。 パスワードはユーザーごとのソルトで Argon2id ハッシュ化されます。 繰り返し失敗するとアカウントはロックされます。

MFA

TOTP および WebAuthn / パスキーがすべてのプランでサポートされます。 MFA は、OWNER および ADMIN ロールで必須です。

セッション

アクセストークンは短命(15 分)の JWT で RS256 で署名されます。 リフレッシュトークンは回転型で、__Host- プレフィックスの HttpOnly Cookie に保存されます。 CSRF はダブルサブミットトークンと SameSite=Lax Cookie で緩和されます。

RBAC

組み込みロール:OWNER、ADMIN、MANAGER、MEMBER、VIEWER。 権限はサーバー側で強制されます。UI はユーザーができないことを非表示にしますが、 セキュリティをそれに依存しません。

従業員のアクセス

エンジニアには常設の本番環境アクセスはありません。ブレイクグラスアクセスは時間制限があり、 ピアレビューを必要とし、完全に記録されます。すべてのアクセスは、 ハードウェアセキュリティキーおよび管理されたゼロトラストプロキシを使用します。

API キーおよび Webhook

API キーはスコープ付き、取消可能、レート制限付きで、保存時にハッシュ化されます。 Webhook は HMAC シークレットで署名され、タイムスタンプおよびリプレイ保護が含まれます。

3. インフラストラクチャセキュリティ

ネットワーク

Cloudflare がエッジに配置され、DDoS 緩和、WAF、ボット管理、 TLS 終端を提供します。オリジンは認証されたトンネル経由でのみ到達可能で、 実 IP は公開ルーティングされません。

セグメンテーション

サービスはトラストゾーンにグループ化されます。サービス間トラフィックは、 利用可能な場合はサービスメッシュ mTLS を使用し、それ以外はプライベートネットワークを使用します。 データベースには公開侵入経路がありません。

ハードニング

ホストは最小限で定期的にパッチされたベースイメージを実行します。 コンテナイメージは可能な限りディストロレスベースから構築され、 ビルドごとに CVE をスキャンされます。重大 CVE が存在する場合、デプロイは出荷を拒否します。

構成管理

すべてのインフラはコードとして定義されます。ドリフトは検出されフラグされます。 手動変更は例外であり、ピアレビューされます。

サプライチェーン

依存関係は固定され、アップグレード前にレビューされます。各言語エコシステムの アドバイザリーフィードを購読し、重大度に基づく合意された SLA でアップグレードを出荷します。

ビルドパイプライン

CI は最小限の権限を持つエフェメラルランナーで実行されます。 アーティファクトは署名され、デプロイはロールアウト前に署名を検証します。

4. セキュアな開発

  • コードレビューはすべての変更で必須。本番ブランチへのセルフマージは禁止。
  • SAST、DAST、依存関係、シークレット、コンテナのスキャンを CI で実施。見つかった問題はトリアージされ SLA 追跡されます。
  • 認証、決済、PII に関わる新システムの脅威モデリング
  • 年次の第三者ペネトレーションテスト(フルスコープ)。NDA のもと要約を提供可能。
  • バグバウンティ / 責任あるディスクロージャー ― 以下を参照。
  • セキュリティチャンピオンプログラム:各スクワッドにトレーニング済みチャンピオンを最低 1 名配置。

5. 監視および検出

  • セキュリティイベントについて少なくとも 1 年間の保持期間を持つ、 集中型の改ざん検出可能なログストレージ。
  • 認証の異常、権限昇格、データエクスポート量スパイク、および WAF シグナルに対するリアルタイム警報。
  • アプリケーションエラーには Sentry、パフォーマンスには OpenTelemetry のトレースおよびメトリクス。
  • 管理およびクロステナント読み書きに関するデータベース監査ログ。
  • セキュリティチームによる週次の高リスク監査イベントのレビュー。

6. インシデント対応

ランブック

重大度階層、名前付き役割(インシデントコマンダー、コミュニケーションリード、スクライブ)、 および事前構築されたコミュニケーションテンプレートを持つ文書化された手順。

24 時間 365 日オンコール

エンジニアリングオンコールの輪番。セキュリティインシデントは、 エンジニアリングオンコールに加えてセキュリティリードをページします。

通知 SLA

個人データ侵害の確認から 48 時間以内に、DPA に従って登録された 影響を受ける顧客のセキュリティ連絡先に通知します。 日本国内の個人情報については、APPI 第 26 条に従い、 速やかに個人情報保護委員会(PPC)および本人に報告いたします。

事後検証

重要なインシデントは、非難のないルート原因分析を受けます。 他の顧客を公開しない要約は、ステータスページに公開されます。

7. 耐障害性、バックアップ、災害復旧

  • バックアップ:PostgreSQL 用に暗号化された日次フル + 時間単位の増分。 オブジェクトストレージはバージョン管理され、リージョン間複製されます。
  • 保持:35 日間のローリング。エンタープライズプランでは リーガルホールドおよび長期保持が可能。
  • 復元テスト:少なくとも四半期ごとにクリーン環境へ データベース完全復元を実行し、データ整合性を検証します。
  • 目標:プライマリデータベースの RPO ≤ 1 時間、RTO ≤ 4 時間。 実測値は NDA のもと顧客に提供可能。
  • マルチゾーン:ステートレスサービスはゾーン間でアクティブ-アクティブで実行。 ステートフルサービスは、ヘルスチェックゲーティングで自動フェールオーバー。

8. 人材およびベンダー

  • 法律で許可される範囲での身元調査。
  • 採用時に署名された機密保持および利用制限ポリシー。
  • 年次のセキュリティ意識およびフィッシングシミュレーショントレーニング。
  • 本番環境にアクセスする任意のデバイスに必要な管理されたデバイス姿勢 (ディスク暗号化、画面ロック、EDR)。
  • 顧客データへのアクセスを持つ処理者を雇用する前のベンダーレビュー。 委託先リスト をご覧ください。
  • アクセスのプロビジョニングおよび取消のための入社 / 異動 / 退職プロセス。

9. コンプライアンスおよび認証

Active

APPI(日本)

個人情報取扱事業者としての義務、APPI 第 28 条に基づく越境移転、個人情報保護委員会(PPC)との調整。

Active

GDPR および UK GDPR

管理者および処理者義務、SCCs(Module Two)、UK IDTA、DPIA サポート。

Active

HK PDPO

香港個人資料(私隱)条例に基づくデータユーザー義務 ― 当社のホーム管轄。

Active

CCPA / CPRA

サービスプロバイダーの役割、個人情報の販売または共有なし、GPC シグナルを尊重。

Active

PIPL

エンタープライズプランで中国本土からの越境移転のための標準契約ルート。

2026 年 Q4 予定

SOC 2 Type II

観察ウィンドウは 2026 年 Q2 に開始。ギャップアセスメント完了、是正進行中。

2027 年予定

ISO 27001:2022

2022 年 Annex A 制御に整合した実装。ステージ 1 監査は 2027 年を目標。

エンタープライズプランの顧客は、NDA のもと当社の SIG-Lite、CAIQ、 またはベンダーアンケートを要求できます。

10. データの保持および削除

  • エンドユーザーからの削除リクエスト(APPI の利用停止請求を含む)は、 30 日以内に尊重されます(法律で要求される場合はより早く)。
  • アカウント終了時、データは 30 日間のエクスポートウィンドウ保持後、 DPA に従いさらに 60 日以内に削除または匿名化されます。
  • 削除されたデータを含むバックアップは、標準ローテーション(≤ 35 日)で消去されます。 バックアップの手動編集は行いません。
  • 要求に応じて削除証明書を提供します。

11. 責任あるディスクロージャー

セキュリティ研究者からの報告を歓迎します。以下の情報を添えて security@anvilhk.com (738888@proton.me に転送)宛にメールしてください。

  • 問題および影響を受ける資産の明確な記述。
  • 実顧客データに触れないように最小化された概念実証手順。
  • クレジットを希望される場合、お名前またはハンドル。

以下をお約束します。

  • 2 営業日以内に受領確認。
  • 5 営業日以内に初期評価を提供。
  • 当社の security.txt ポリシーの範囲内で誠実に行動する研究者に対して法的措置を追求しない。
  • (同意があれば)殿堂ページに研究者を掲載。

有料のバグバウンティプログラムは 2026 年向けにスコープ策定中です。 ローンチまでは、影響度の高い問題については当社の裁量で支払います。

12. ステータスおよび透明性

  • ライブステータスは status.anvilhk.com にて。
  • 計画メンテナンスは、ステータスページで少なくとも 72 時間前に通知されます。
  • 法執行機関および政府機関からのデータリクエスト量を要約した 透明性レポートを毎年公開しています。

13. 連絡先

企業メール移行が完了するまで、すべてのエイリアスアドレスは現在 738888@proton.me に転送されます。