セキュリティ

ちいプラのセキュリティ対策

概要

ちいプラは、世界で最も活用されているパブリッククラウドであるAWS（Amazon Web Services）をフル活用しています。AWSは世界最高峰のセキュリティが要求される米国防総省でも利用されており、セキュリティ対策として利用できる機能は折り紙付きです。

「コンソールログインの２ＦＡ（二要素認証）の強制」や「最小権限付与」など、セキュリティの指針に従って運用しています。

稼働しているサーバーOSはすべてLinuxサーバーです。

OS、ミドルウェアのセキュリティパッチは自動で適用されるように設定しています。

複数のサーバーから２４時間、死活監視しており、停止を検知した場合は1分以内にシステム管理者に電話で通知されます。

バックアップは実行環境と異なるストレージに保管しており、万一の障害に備えています。

このような対策の結果、２０１６年３月のサービス開始以来、攻撃による被害は一切発生しておりません。 もちろんセキュリティに万全はないので、油断せず、たゆまず対策を見直してまいります。

サーバーでのセキュリティの実装

• 管理サイトの海外からのアクセス不可(DNSレベル)
• セキュリティパッチの自動適用
• 不要ポート遮断
• HTTPサーバのセキュア設定
  • CSRF、XSS、クリックジャッキング、HSTS、Referrer-Policy、Secureクッキ―(HTTPSのみ、同一オリジンのみ、サーバ情報非公開等
• 古いSSL/TLSプロトコル無効化（1.2のみ）
• ファイル改ざん検知
• 自動アクセス遮断
• サーバーログインはSSH鍵認証のみおよびIP制限とログイン通知
• DDos攻撃（AWS標準）

アプリケーションでのセキュリティの実装

• 全ページHTTPS対応(通信暗号化)
• ログインパスワードの不可逆暗号化/ログ出力しない
• CSRF・XSS対策/ワンタイムトークン等
• SQLインジェクション対策/パラメタクエリや検知
• 不正アクセス検知と自動ブロック（セーフユーザーIPアドレス登録可能）
• ロボットブロック(Cloudflare Turnstile)
• CSP(コンテンツセキュリティポリシー )設定によりちいプラ以外のインラインスクリプト実行不可
• 管理サイト関連
  • 管理者ログイン通知
  • 詳細な操作履歴の記録（利用者による不正防止抑止効果）
  • パスワード強度設定
  • 一時ファイルの迅速削除
  • Internet Explorerブロック
  • 顧客CSVダウンロード可否設定
  • 予約CSVダウンロード通知・履歴記録
• クレジットカード関連
  • 情報非保持
  • 情報非通過
  • 3Dセキュア対応

その他

• クラウド保険加入
• お客様への啓発・注意喚起

よくある質問

ちいプラはどのクラウドを利用していますか？

AWS（Amazon Web Services）を利用しています。

どのようなOS、ミドルウェア、フレームワーク、ライブラリを利用していますか？

サーバーOSはすべてLinuxサーバーです。ミドルウェアはオープンソースのものを中心に利用しています。これ以上の詳細は「攻撃者に手がかりを与える」ため公表できませんのでご了承ください。

過去に攻撃をうけて情報漏洩やシステム停止したことはありますか？

ありません。ただし攻撃ではなく、アプリケーションの修正ミスにより情報漏洩事故（１０９名）を発生させてしまったことがあります。詳しくは以下の記事を参照してください。
【情報漏洩事案】お客様情報の誤表示に関するお詫びとご案内/2025年6月2日 | ちいプラ | 地域OTA基盤 | Don't be evil