Xample LogoXample

セキュリティポリシー

最終更新日: 2026年2月16日

STUDENT株式会社(以下「当社」といいます)は、AIツールプラットフォーム「Xample」(以下「本サービス」といいます)をご利用いただくユーザーの情報を保護するため、以下のセキュリティ対策を実施しています。

1. クレジットカード情報の非保持

本サービスでは、クレジットカード情報を一切保持しません。すべての決済処理は、PCI DSS(Payment Card Industry Data Security Standard)に準拠した決済代行サービスであるStripe, Inc.を通じて行われます。ユーザーのカード情報はStripeのセキュアな環境で処理され、当社のサーバーを経由することはありません。

2. 通信の暗号化

本サービスのすべての通信はTLS(Transport Layer Security)により暗号化されています。ユーザーのブラウザと当社サーバー間のデータ通信はHTTPSプロトコルを使用し、第三者による盗聴や改ざんを防止しています。

3. 認証セキュリティ・不正ログイン対策

本サービスのユーザー認証には、Firebase Authentication(Google LLC提供)を使用しています。以下のセキュリティ対策を実施しています。

  • パスワードのハッシュ化(scrypt)による安全な保存
  • セッショントークンの安全な管理(有効期限1時間、自動更新)
  • Google認証によるOAuth 2.0ベースのセキュアなソーシャルログイン
  • ブルートフォース攻撃対策としてのログイン試行回数制限(Firebase Authenticationによる自動ブロック)
  • パスワード要件の厳格化(8文字以上、大文字・小文字・数字の必須化)
  • APIエンドポイントに対するレートリミットの適用(短時間の大量リクエストを自動遮断)
  • 認証トークンのサーバーサイド検証(Firebase Admin SDKによるトークン検証)

4. データ保護

本サービスのデータは、Google Cloud Platform(GCP)上で管理されています。GCPは以下のセキュリティ対策を提供しています。

  • 保存データの暗号化(AES-256)
  • データセンターの物理的セキュリティ
  • 冗長化されたデータバックアップ
  • SOC 2、ISO 27001等の国際的なセキュリティ認証の取得

5. アクセス制御・管理者セキュリティ

当社は、ユーザーデータおよび管理画面へのアクセスを以下の原則に基づき厳格に管理しています。

  • 管理コンソール(Firebase Console、Google Cloud Console)へのアクセスにはGoogleアカウントの二要素認証(2FA)を必須化
  • 最小権限の原則に基づくIAMロールの付与
  • 業務上必要な担当者のみがデータにアクセス可能
  • Cloud Auditログによるアクセスログの記録と定期的な監査
  • 退職者のアクセス権限の速やかな無効化
  • 機密情報(APIキー、シークレット)はGoogle Cloud Secret Managerで一元管理

6. Webアプリケーション脆弱性対策

本サービスでは、Webアプリケーションの脆弱性に対して以下の対策を実施しています。

  • セキュリティヘッダーの設定(X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security, Referrer-Policy, Permissions-Policy)
  • クロスサイトスクリプティング(XSS)対策: ReactのJSXによる自動エスケープ、Content-Type制御
  • クロスオリジンリクエスト(CORS)の制限(許可オリジンを本番ドメインに限定)
  • SQLインジェクション対策: データベース直接アクセスを行わず、Firebase/Stripe APIを介したデータ操作
  • 入力値の検証: クライアント側およびサーバー側での入力バリデーション
  • 依存ライブラリの脆弱性チェックと定期的な更新
  • Stripe Webhookの署名検証による改ざん防止

7. クレジットマスター・不正利用対策

クレジットカードの不正利用およびカード情報の有効性確認攻撃(クレジットマスター)に対して、以下の対策を実施しています。

  • Stripeによるカード有効性確認の自動回数制限
  • 決済エンドポイントに対するレートリミットの適用
  • Stripe Radarによる不正検知・リスク評価
  • エラー発生時にカード情報の詳細なエラー内容を非表示化(汎用エラーメッセージの返却)
  • 認証済みユーザーのみが決済処理にアクセス可能

8. セキュリティインシデント対応

万が一、セキュリティインシデントが発生した場合、当社は以下の対応を速やかに行います。

  1. インシデントの検知と影響範囲の特定
  2. 被害の拡大防止措置の実施
  3. 影響を受けるユーザーへの通知
  4. 関係機関への報告(法令に基づく場合)
  5. 原因の究明と再発防止策の策定

セキュリティに関する問題を発見された場合は、support@xample.jpまでご報告ください。

9. 定期的なセキュリティレビュー

当社は、本サービスのセキュリティを維持・向上させるため、以下の取り組みを定期的に実施しています。

  • セキュリティ設定および構成の定期的な見直し
  • 依存ライブラリの脆弱性チェックと更新
  • セキュリティに関する社内教育の実施
  • インフラストラクチャのセキュリティ監視

お問い合わせ先: support@xample.jp