株式会社ルートチームは、情報セキュリティマネジメントシステムについて、第三者機関から下記の認証を取得しています。
認証登録範囲
SaaS事業
システム開発保守業務
ITコンサルティング事業
有効期限
2026年5月18日
伝送データおよび保存データは、すべて暗号化しています。(お客様でデータを暗号化する機能は提供しておりません)
お客様の端末とシステム間のインターネット通信に対してはGoogleによって確立される接続に応じてデフォルトの保護が適用されます。
たとえば、ユーザーと Google Front End(GFE)間の通信はTLSを使用して保護されます。詳細はこちらのリンクをご参照ください。
いずれの暗号化方式も総務省・経済産業省が公表した「CRYPTREC 暗号リスト」に準拠しています。
CRYPTREC 暗号リストhttps://www.cryptrec.go.jp/list.html
99.9%を目標に運用します。(定期メンテナンスを除きます)
リアルタイムの状況は下記をご覧ください
24時間365日提供します。(メンテナンスを除きます)
臨時メンテナンス
サービスの安定稼働のため、定期メンテナンス以外に臨時メンテナンスを実施する場合がございます。
臨時メンテナンスによってサービスのご利用に影響がある場合、OneStreamからのお知らせにて通知します。
全てのサーバー、ネットワーク、ストレージ、データについて冗長化を実施しています。
インシデントが発生した場合、利用者への連絡は以下の手順で行います。
メール
管理画面のお知らせ
リアルタイムの状況は下記をご覧ください
障害は原則として検知から1時間以内に告知いたします。
SLA/SLOやサービス内容の変更については、以下のいずれかの方法で通知します。
メール
ウェブサイト
管理画面のお知らせ
SLA/SLOやサービス内容の変更については、変更の30日前までに通知します。
サービス終了については、以下のいずれかの方法で通知します。
メール
ウェブサイト
管理画面のお知らせ
サービス終了については、終了の90日前までに通知します。
OneStreamは日本東京で運用しています。
お客様のデータは毎日無停止でバックアップを作成しています。
メインのデータベースとなる Firestore についてはCloud Storageにバックアップを取得しております。
(月間可用性99.99%以上、年間耐久性99.999999999%)
バックアップデータは30日間保持しています。
バックアップデータは暗号化されています。
画像ファイルについてはCloudStorageに保管しておりますが、特にバックアップを取得 しておりません。(年間耐久性99.999999999%のため)
動画ファイルについては、2以上の拠点で保管しております。
OneStreamのサービス契約終了翌日から30日後に、入力データ、ユーザー情報を消去します。
OneStreamチームでは脆弱性に対するルールが定められており、脆弱性の影響度などを鑑み、対応いたします。
Webアプリケーションについてはセキュリティに影響のある機能追加などのリリースごと、または年に1回以上の周期で脆弱性診断を行い、問題の検出および対応を行なっております。
原則的に脆弱性診断での結果は開示しておりません。
利用しているサービス群の基盤部分についてはGoogleにより適切な検査が行われています。
委託先サービスの選定についてはセキュリティやコンプライアンスなどを確認した上で契約締結・更新をしています。主に以下の外部サービスを適切な管理権限を整備し利用しております。
PaaS/IaaSとして: Google Cloud Platform
メール送信SaaSとして: SendGrid
課金機能として:Strpe
カスタマーサービスとして: Channel Talk
弊社内情報セキュリティポリシーで定めた管理体制に沿って、データにアクセスできる管理者を制限しております。OneStreamに関わるメンバーは、善良な管理者の注意をもってサービス運用するよう努めます。
OneStreamが稼働しているGoogle Cloud Platformにおける本番環境へのアクセスは、適切な手順で選定された限られた数名の管理者(弊社正社員)のみがアクセス可能になっており、操作は監査ログに記録されます。
管理者アカウントは必要な職務に応じて権限が分離されており、適切な手順での選定と、管理職以上の承認を経て、手順書に応じて権限の与奪が行われています。
【 月~金 】 午前10時~午後5時30分
(日本時間:年末年始・祝日除く)
電話:0368975928
Eメール:sales@one-stream.jp
チャット:https://onestream.channel.io/lounge
one-stream REST APIのセキュリティについて
認証方式
公開しているAPIは、業界標準のOAuth 2.0プロトコルに基づくBearer トークン認証を採用しています。すべてのAPIリクエストには、HTTPリクエストヘッダーに有効なアクセストークンを含める必要があります。
Authorization: Bearer {access_token}
Bearer トークン認証の利点
Bearer トークン方式は、現代のWeb APIセキュリティにおいて最も広く採用されている認証メカニズムの一つであり、以下の重要なセキュリティ上の利点を提供します。
1. 認証情報の分離
Bearer トークンは、ユーザーの実際の認証情報(ユーザー名やパスワード)とは完全に分離された一時的な認証トークンです。これにより、APIリクエストごとにユーザー名とパスワードを送信する必要がなくなり、認証情報の漏洩リスクが大幅に低減されます。万が一トークンが第三者に取得された場合でも、実際のパスワードは保護されたままであり、トークンの無効化によって即座にアクセスを遮断できます。
2. スコープベースのアクセス制御
各Bearer トークンには、特定のスコープ(権限範囲)が紐付けられています。これにより、アプリケーションは必要最小限の権限のみを付与される「最小権限の原則」を実現できます。例えば、会員情報の読み取りのみを行うアプリケーションには「会員: 読み取り」スコープのみを付与し、更新や削除の権限は付与しません。これにより、仮にトークンが漏洩した場合でも、攻撃者ができる操作は限定的なものにとどまります。
3. トークンの有効期限管理
Bearer トークンには有効期限が設定されており、一定時間が経過すると自動的に無効化されます。これにより、長期間にわたってトークンが悪用されるリスクを軽減します。有効期限が切れた場合は、リフレッシュトークンを使用して新しいアクセストークンを取得する仕組みにより、セキュリティと利便性の両立を実現しています。
4. トークンの取り消し機能
不正アクセスの疑いがある場合や、従業員の退職時などには、発行済みのBearer トークンを即座に無効化することができます。これにより、パスワード変更を強制することなく、特定のアクセス経路のみを遮断することが可能です。
5. 通信の暗号化(TLS/SSL)
すべてのAPI通信はTLS 1.2以上の暗号化プロトコルで保護されています。これにより、通信経路上でBearer トークンやその他の機密情報が傍受された場合でも、暗号化によって内容が保護されます。中間者攻撃(Man-in-the-Middle攻撃)に対する強固な防御を提供します。
6. クロスサイトリクエストフォージェリ(CSRF)への耐性
Bearer トークンは明示的にHTTPヘッダーに含める必要があるため、Cookieベースの認証で問題となるCSRF攻撃に対して本質的な耐性を持ちます。攻撃者が悪意のあるWebサイトから被害者のブラウザを通じてリクエストを送信しても、Bearer トークンを含めることができないため、認証は失敗します。
セキュリティのベストプラクティス
本APIを安全にご利用いただくために、以下のベストプラクティスを推奨します。
トークンの安全な保管: アクセストークンは、環境変数や専用のシークレット管理サービスを使用して保管し、ソースコードに直接記述しないでください。
HTTPS通信の必須化: すべてのAPI通信は必ずHTTPS経由で行ってください。HTTP通信は使用できません。
トークンの定期的な更新: 長期間同じトークンを使用し続けることを避け、定期的に新しいトークンを取得してください。
最小権限の原則: アプリケーションに必要な最小限のスコープのみを要求してください。
こちらにさらに詳しいホワイトペーパーを公開しております。
サービスの開発・運用・保守・運営において共有アカウントが利用禁止であることを明文化していますか。 | 利用禁止を明文化しています。 |
複雑なパスワードを設定できますか? | 半角英小文字大文字数字をそれぞれ1種類以上含む8文字以上です |
暗号化および鍵管理の方針やルールについて、文書で定めているものはありますか。 | はい。セキュリティ規定の中で明文化しています。 |
セキュアコーディングを実施していますか。 | 開発ガイドラインに基づき実施、定期的なコード診断も行っています。 |
セキュリティインシデントを検知するために行っていることを教えてください。 | 24時間監視・異常検知システム導入・定期的なセキュリティスキャン実施。 |
OS/ミドルウェアのパッチ適用状況 | OneStreamで採用しているサーバレス構成では、OS/ミドルウェアのパッチ適用はクラウドプロバイダー(GoogleとVercel)が自動的に管理しています。インフラレベルのパッチ管理は必要ありません。 Googleのセキュリティレギュレーション https://firebase.google.com/support/privacy?hl=ja#certifications Vercelのセキュリティレギュレーション https://vercel.com/security |
脆弱性診断の有無と、「有り」の場合は、診断の対象(アプリケーション、OS、ハードウェア等)と、対策の概要 | 脆弱性診断はアプリケーションを対象に実施しており、検出内容に応じてセキュリティ対応を適宜実施しています。OS・インフラはマネージドサービス(Firebase/Vercel)上で運用されています。 |
時刻同期への対応の有無と、「有り」の場合は時刻同期方法 | 時刻同期は対応済みであり、Google Cloud(Firebase)およびVercelのマネージド環境において、標準で提供される時刻同期機能(NTP)を利用しています。 |
不正パケット、非権限者による不正なサーバ侵入に対する検知等の有無と、「有り」の場合は対応方法 | Firebase・Vercelともに、マネージド環境上で動作しており、不正アクセスや異常パケットの検知・遮断機能が組み込まれています。FirebaseではSecurity Rules・App Check・IAMによるアクセス制御を行い、不正なサーバ侵入を防止しています。 |