Wave Forge Baseはお客様のデータを守ることを最優先とし、最高水準のセキュリティ体制を構築・維持しています。
Wave Forge Baseは「Security by Design」の原則のもと、製品の設計段階からセキュリティを組み込むアプローチを採用しています。セキュリティは後付けの機能ではなく、すべてのプロダクト開発・インフラ構築の核心にあるものと考えています。
お客様の波動データ・業務データは、極めて重要な経営資産です。私たちはそのデータを自社のものと同等の責任感で保護することをお約束します。国内外の最新の脅威情報を常に監視し、新たな攻撃手法に対して継続的に防御を強化し続けます。
全エンジニアが年間40時間以上のセキュリティ研修を受け、セキュリティ意識の高い組織文化を醸成しています。外部のペネトレーションテスターによる年2回の独立評価も実施しています。
Wave Forge Baseの専任セキュリティチームは、国内の主要セキュリティ研究機関と連携しながら、24時間365日体制でシステムを監視しています。SIEM(セキュリティ情報イベント管理)による異常検知から、インシデント対応まで一元管理します。
万が一のセキュリティインシデント発生時は、事前に定義されたプレイブックに従い、影響範囲の特定から復旧、報告までを迅速かつ透明性を持って対応します。重大なインシデントは発覚後1時間以内にお客様へ初報を行います。
情報セキュリティマネジメントシステム国際標準
サービス組織のセキュリティ・可用性・機密性
EU一般データ保護規則への完全対応
クレジットカードデータ保護最高水準
日本政府情報システムのためのセキュリティ評価制度
Cloud Security Alliance クラウドセキュリティ認定
すべてのデータ転送にTLS 1.3を使用。保存データはAES-256-GCMで暗号化。鍵管理はHSMで安全に運用します。
すべてのアクセスをデフォルト拒否とし、最小権限の原則に基づく細粒度のアクセス制御を実装します。
すべての管理アクセスにHardware FIDO2キーまたはTOTPを必須化。フィッシング耐性のある認証を標準提供します。
すべてのアクセス・変更・削除操作を改ざん不能な監査ログに記録。コンプライアンス対応の証拠として活用できます。
CIパイプラインへの統合によるコード脆弱性の自動検出。本番環境への脆弱なコードのデプロイを未然に防ぎます。
大規模なDDoS攻撃に対するグローバルなAnycastネットワークによる分散防御。1Tbps以上の攻撃にも対応します。
AIベースの行動分析により、シグネチャに依存しない未知の攻撃も検知。自動ブロックと人間によるレビューを組み合わせます。
設計レビュー、コードレビュー、SAST/DAST、ペネトレーションテストを含む安全なソフトウェア開発ライフサイクルを実践します。
EUのデータ保護規則に完全準拠。データ処理同意管理、削除権・可搬性権の行使支援、DPO(データ保護責任者)の設置を実施しています。
改正個人情報保護法(2022年施行)に完全対応。個人データの漏洩発生時の72時間以内の当局報告体制を整備しています。
米国の医療情報プライバシー規則に対応。医療機関向けサービスでは、Business Associate Agreement(BAA)の締結に対応します。
金融庁の「金融機関等のシステム障害に関する報告書」および「サイバーセキュリティ強化に向けた取組方針」に準拠した管理体制を構築しています。
Wave Forge Baseは、セキュリティ研究者やホワイトハットハッカーの善意のある脆弱性報告を歓迎します。脆弱性の発見者が責任ある開示を行うことで、私たちのシステムをより安全にするパートナーとして敬意を持って対応します。
潜在的なセキュリティ脆弱性を発見した場合、まず他のユーザーへの影響がないことを確認してください。
security@waveforgebase.com宛に、PGP暗号化してご報告ください。公開鍵はセキュリティページに掲載しています。
受領後24時間以内に確認連絡を送ります。深刻度評価を行い、修正の優先度を決定します(最短7日、最長90日)。
修正完了後、報告者の同意を得てセキュリティアドバイザリーを公開します。有効な報告者にはHall of Fameへの掲載または謝礼をお送りします。
セキュリティ評価の依頼、コンプライアンス証明書の提供、カスタムセキュリティ要件のご相談はお気軽にお問い合わせください。
セキュリティ専門家に問い合わせる セキュリティホワイトペーパーをダウンロード