企業の意思決定データを、
安全に守る。
Decision OSは、企業の機密性の高い意思決定データを扱うからこそ、
セキュリティを最優先に設計しています。
セキュリティ対策の全体像
多層防御の考え方で、データの保護からアクセス制御まで包括的に対策しています。
データ暗号化
保存時・通信時ともに暗号化
すべてのデータは保存時(at rest)と通信時(in transit)の両方で暗号化されます。
- TLS 1.2+ による通信の暗号化
- データベースの保存時暗号化(AES-256)
- セッションデータの暗号化管理
- パスワードはbcryptでハッシュ化
認証方式
OAuth 2.0 + パスワード認証
Google OAuthとパスワード認証の2方式に対応。企業のセキュリティポリシーに合わせて選択できます。
- Google OAuth 2.0 によるSSO
- パスワード認証(bcryptハッシュ)
- セッションベースの認証管理
- CSRF トークンによるリクエスト検証
アクセス制御
ワークスペース分離
データはワークスペース単位で厳格に分離。メンバーのみが該当ワークスペースのデータにアクセスできます。
- ワークスペース単位のデータ分離
- ロールベースのアクセス制御(Owner / Member)
- 招待制のメンバー管理
- APIレベルでのワークスペース認可チェック
OWASP対策
XSS / SQLi / CSRF防御
OWASP Top 10に基づくセキュリティ対策を実装。主要な攻撃ベクトルに対して防御しています。
- XSS: Reactの自動エスケープ + CSP
- SQLi: Prisma ORMによるパラメータ化クエリ
- CSRF: トークンベースの検証
- 入力値のバリデーション(Zod)
セキュリティヘッダー
HSTS / CSP / X-Frame-Options
ブラウザレベルのセキュリティ対策として、推奨されるHTTPセキュリティヘッダーを設定しています。
- HSTS: HTTP通信の強制的なHTTPS化
- CSP: スクリプト実行元の制限
- X-Frame-Options: クリックジャッキング防止
- X-Content-Type-Options: MIMEスニッフィング防止
API Rate Limiting
過剰リクエストの制限
APIエンドポイントにレート制限を設定し、DDoS攻撃やブルートフォース攻撃からシステムを保護します。
- IPベースのレート制限
- 認証エンドポイントの試行回数制限
- AI生成APIの利用量制限
- 異常トラフィックの自動ブロック
データ取り扱いについて
お客様のデータを安全に管理するためのポリシーです。
AI処理にはOpenAI API(gpt-4o-mini)を使用。入力データがモデルのトレーニングに使用されることはありません。
データはVercel上でホスティング。リージョンは東京(ap-northeast-1)を優先。
定期的なセキュリティレビューと依存パッケージの脆弱性チェックを実施。
ユーザーデータの削除リクエストに対応。アカウント削除時に関連データを完全消去。
セキュリティに関するご質問は、support@decision-os.io までお問い合わせください。