セキュリティ要件および免責事項

セキュリティ要件および免責事項
セキュリティ要件および免責事項

seoLOUNGEについて、そのセキュリティに関する要件の定義を行います。本定義は信頼できるアプリケーションの開発・購入・運用の推進を目的として設立されたオープンなコミュニティ「The Open Web Application Security Project (OWASP)」により配布されている要件仕様に基づき作成しています。

■ OWASP Japan( https://www.owasp.org/index.php/Japan

  • 認証・許可
    • ユーザー認証およびアクセス制御はCakePHPより提供される認証ライブラリを用います。
    • seoLOUNGEの機能を利用するには、当社から発行するID/PASSによる認証が必要です。
    • seoLOUNGE利用については、当社と書面での契約がなされた本人確認が明確なユーザーのみに対してID/PASSを発行いたします。
    • 認証されていない(非ログイン)ユーザーが閲覧できるページはGoogleにインデックスされているURLが対象となります。
    • 企業様独自のコンテンツは、別の第三者ユーザーから閲覧すること自体認証ライブラリによって排斥されるため、できません。
    • 当社内一部のシステム管理者はすべてのコンテンツや機能を閲覧、実行することが可能です。
  • パスワード
    • パスワード文字列は大小英字と数字の両方を含み、最低8文字以上のものを付与します。
    • パスワード文字列の入力フォームはinput type=“password”で指定します。
    • パスワード文字列はsaltによってハッシュ化したものをデータベースに保存する仕組みです。
    • saltは大小英字と数字の両方を含む40文字以上の文字列で設定しています。
    • パスワードを紛失した場合、ご本人様を確認させたうえでパスワードの再発行を行います。
  • セッション管理
    • 認証後はログアウト機能によるセッション破棄が可能です。
    • 認証済みのセッションが60分以上のアイドル状態(ページを読み込まない状態)にある時、セッションタイムアウトとしてセッションを破棄しログアウトさせます。
    • セッションIDはCakePHPが提供するセッション管理ライブラリを使用します。
    • CakePHPが提供するトークンラインブラリを用いることでフォームに対するCSRF(クロスサイトリクエストフォージェリー)対策を行っています。
  • パラメータ
    • URLパラメータにパスワードなどの秘密情報を格納いたしません。
    • ファイルを扱う際にパラメータによってファイルの格納場所を操作できるような仕様ではございません。これにより想定していないファイルへのアクセスといった不正な操作の実行対策となります。
  • 出力処理
    • すべてのHTML出力で特殊文字(< > ′ " &)をエスケープさせるのに加え、フォームからの入力をバリデーションライブラリで適切な形式かの入力チェックを行うことで外部からの不正なHTMLタグ、スクリプトの埋め込みの対策をしています。
    • スタイルシートを内部からのみ静的に読み込ませることで、ブラウザに表示される画面を意図的に変更されたりスクリプトが埋め込まれたりする可能性を防ぎます。
    • HTMLタグの属性値は「“(ダブルクォーテーション)」で囲います。
    • SQLインジェクションのセキュリティホールとなるようなSQLコマンドを、直接プログラム内で動的に生成、実行する仕組みではございません。
    • コンテンツの内容に応じたHTTPレスポンスヘッダのContent-Typeを指定しています。
    • HTTPヘッダインジェクションのセキュリティホールとなるような、リクエストホディの値をレスポンスヘッダの値へ設定する仕組みではございません。
    • パラメータにURLを指定してリダイレクトさせるオープンリダイレクタの機能はございません。
    • 企業様からお問い合わせフォームに入力されるメールヘッダに関する入力値に対して、すべて改行コードを削除することでメールヘッダインジェクションの対策をしています。
  • HTTPS
    • seoLOUNGE内のすべてのページにおいてHTTPS通信です。
    • SSL認証局はGlobalSign nv-saを用います。
  • cookie
    • Cookieにはsecure属性とhttpOnly属性を付与しCookieの盗聴対策をしています。
    • Cookieの値にパスワードなどの機密情報を格納する設計ではございません。
  • 画面設計(推奨環境)
    • Webブラウザのデフォルトの設定で閲覧・動作する設計となっています。
    • 企業様側のブラウザ設定でセキュリティ設定の変更をさせる機能は実装いたしません。
    • iframeを利用したページは設置いたしません。
    • レスポンスヘッダにX-Frame-Options:Denyを指定することで、クリックジャッキング対策をしています。
    • seoLOUNGEは下記のブラウザにての利用・閲覧を推奨致します。
      Internet Explorer 11.0 以上 / Google Chrome 最新版 /Mozilla Firefox 最新版
      上記以外のブラウザでもご利用いただけますが、一部のブラウザでは表示が異なる場合があります。また上記ブラウザであっても完全な動作および表示を必ずしも保証できませんので予めご了承ください。
  • その他
    • エラーメッセージの表示に攻撃のヒントとなるようなシステム的メッセージを含ませません。
    • システム設計のファイルはURLで直接指定して閲覧することはできません。
    • メール送信処理にはCakePHPのメールライブラリを使用しています。

免責事項

本要件はセキュリティ対策として当社が具体的に実行することを明示したものであり、未知の攻撃手法や脆弱性をついた攻撃をすべて防ぐことをお約束するものではございません。本セキュリティ要件に基づいた設計で防げない攻撃で発生した損害については当社は一切の責任を持たないことを予めご了承ください。

利用規約に戻る