情報セキュリティへの取り組み
最終更新日:2026年2月27日
DC Insiderは、ユーザーの個人情報を適切に保護するため、以下のセキュリティ対策を実施しています。 本ページでは、実際に導入している技術的・運用的なセキュリティ対策を誠実に開示します。
🔐通信・データ保護
HTTPS / TLS 1.3 による通信暗号化
サイト全体でHTTPS通信を強制し、最新のTLS 1.3プロトコルで通信内容を暗号化しています。
- ・HTTP → HTTPS 自動リダイレクト
- ・HSTS(HTTP Strict Transport Security)設定済み
- ・Let's Encrypt による SSL証明書
パスワードのセキュアな保管
パスワードは平文で保存せず、Supabase Authによりbcryptハッシュ化して保管します。
🛡️Webセキュリティヘッダー
セキュリティHTTPヘッダーの設定
クリックジャッキング・XSS・コンテンツスニッフィング等の攻撃を防ぐヘッダーを設定しています。
- ・Content-Security-Policy(CSP): リソース読込元を制限
- ・X-Frame-Options: DENY(クリックジャッキング防止)
- ・X-Content-Type-Options: nosniff(MIMEスニッフィング防止)
- ・Strict-Transport-Security(HSTS): HTTPS強制
- ・Referrer-Policy: strict-origin-when-cross-origin
- ・Permissions-Policy: カメラ・マイク・位置情報をブロック
- ・X-XSS-Protection: 有効
⚡アクセス制御・レート制限
APIレート制限
ブルートフォース攻撃・スパム送信を防ぐため、エンドポイントごとにアクセス頻度の上限を設けています。
- ・お問い合わせ: 5回/分
- ・メルマガ登録: 5回/分
- ・管理者ログイン: 10回/分
- ・クイズAPI: 20回/分
- ・その他API: 60回/分
アプリケーション内部の非公開化
アプリケーションサーバーはlocalhost(127.0.0.1)のみでリッスンし、Nginx経由以外の直接アクセスを遮断しています。
🚨不正アクセス検知・遮断
fail2ban による自動ブロック
繰り返し不正なリクエストを行うIPアドレスを自動的に検知し、一定時間ブロックします。
- ・SSH ブルートフォース対策
- ・Nginx レート制限超過による自動BAN
- ・不審なボット・スキャン行為の検知
Nginxバージョン情報の非公開
サーバーのソフトウェアバージョン情報を応答ヘッダーから削除し、脆弱性情報の露出を防止しています。
🔍脆弱性管理
依存パッケージの定期脆弱性チェック
npm audit を毎日自動実行し、使用しているライブラリに既知の脆弱性がないかを定期的に確認しています。
- ・毎日午前3時に自動実行
- ・管理者が最新の診断結果を随時確認可能
リクエストボディサイズの制限
異常に大きなリクエストによるサービス妨害(DoS)を防ぐため、リクエストサイズを2MBに制限しています。
👤アカウントセキュリティ
管理者2要素認証(TOTP)
管理画面へのアクセスには、パスワードに加えてTOTPによる2要素認証を設定できます。
入力値のバリデーションとエスケープ
フォーム入力はすべてサーバー側で厳格に検証し、SQLインジェクション・XSS攻撃を防いでいます。
- ・入力長の制限(名前: 100文字、メッセージ: 2000文字)
- ・HTMLエスケープ処理
- ・メールアドレスの形式検証
📋操作履歴の記録
管理者操作の監査ログ
管理画面での操作(法令の作成・更新・削除、ユーザー管理等)はすべてログとして記録し、不正操作の追跡を可能にしています。
セキュリティに関するご連絡
本サイトのセキュリティに関する脆弱性を発見された場合や、セキュリティに関するご質問・ご懸念がある場合は、お問い合わせフォームまたはinfo@iaer.onlineまでご連絡ください。
なお、本サイトは一般向けの情報提供サービスです。金融機関・特定事業者向けの法的規制(FISC安全対策基準等)の適用対象ではありません。 個人情報保護法・不正アクセス禁止法に基づき適切に運営しています。