VSE はセキュリティアプリです。守られるべき側のデータが、最も強く守られなければならない。これが私たちの設計思想です。
すべての通信を TLS 1.3 で、すべての保管データをディスク暗号化で保護。家族間共有データは E2E 暗号化で送受信します。
取得するデータは目的に必要な最小限のみ。閲覧できる従業員も最小限に絞り、すべてのアクセスを監査ログに記録します。
第三者によるセキュリティ診断・脆弱性診断を年 2 回以上実施。報奨金プログラムも公開後に開設予定です。
| 領域 | 採用技術 / 方針 |
|---|---|
| 通信暗号化 | TLS 1.3 以上 / HSTS / Certificate Pinning(モバイル)REQUIRED |
| 保管時暗号化 | AES-256-GCM(データベース・オブジェクトストレージ) |
| 家族間共有 | E2E 暗号化(Curve25519 鍵交換 + AES-256-GCM) |
| パスワード保管 | Argon2id(ハッシュ化のみ、平文保管なし) |
| 認証 | パスワード + 二要素認証(TOTP / プッシュ承認 / 生体認証) |
| セッション | 短命アクセストークン(JWT, 15 分)+ ローテーション可能なリフレッシュトークン |
| 権限制御 | RBAC + 属性ベース、本番環境は二人承認原則 |
| 監査ログ | すべての特権操作を改ざん不可能な形式で 1 年以上保管 |
VSE では、脆弱性の発見から修正までを以下の優先度で対応します。
| 重大度 | 対応目標時間 | 例 |
|---|---|---|
| CRITICAL | 24 時間以内に緩和措置 / 7 日以内に恒久対応 | 認証バイパス、リモートコード実行 |
| HIGH | 7 日以内に修正 | 権限昇格、データ漏洩リスク |
| MEDIUM | 30 日以内に修正 | 限定的な情報開示、CSRF |
| LOW | 90 日以内に修正 | 軽微な構成不備、低リスクの開示 |
外部のセキュリティ研究者からの報告は info@arsystem.co.jp(件名: [VSE / Security Report])まで。受領後 72 時間以内にご連絡いたします。
セキュリティインシデントが発生した場合、以下の手順で対応します。
VSE は、以下の基準への準拠を目指します。
第三者によるペネトレーションテストおよびセキュリティ診断を、年 2 回以上の頻度で実施します。
サービス側のセキュリティだけでなく、利用者ご自身による対策も重要です。
セキュリティに関するご質問・脆弱性のご報告は info@arsystem.co.jp(件名: [VSE / Security Report])まで。お問い合わせ全般は CONTACT ページをご利用ください。