セキュリティ

​

概要

Wave Connectはセキュリティを真剣に考えています。データとチームの情報を保護するために、インフラ、アプリケーション開発、アクセス管理、および従業員の運用全体にわたって業界標準のセキュリティ慣行を実装しています。 詳細については、security.wavecnct.comをご覧ください。

---

​

コンプライアンスと認証

準拠しているセキュリティ標準（認証ではありませんが準拠しています）：

• OWASP Top 10
• CSA CAIQ
• CISベンチマーク
• NISTに準拠した慣行

---

​

インフラ

Waveのインフラはマネージドクラウドサービスをベースにしており、プロバイダーとの共有責任モデルで運用されています。 インフラは自動フェイルオーバーによる高可用性を実現するよう設計されています。すべてのプロバイダーは独自のセキュリティ認証（SOC 2、ISO 27001）を維持しています。

---

​

データレジデンシー

• 顧客アプリケーションデータは 米国 で保存・処理されます
• データは承認された地域でのみ処理されます
• エンタープライズ顧客はデータレジデンシーのオプションについてお問い合わせいただけます

サブプロセッサーの完全なリストはデータ処理契約にてご確認いただけます。

---

​

暗号化

転送中

• すべての接続にTLS 1.3
• すべてのエンドポイントでHTTPSを強制
• HSTSを有効化

保存時

• すべての保存データにAES-256暗号化
• Google Cloud KMSによるクラウド管理の暗号化キー
• Secret Managerによるキーのローテーションとアクセス制御の実施

---

​

ID＆アクセス管理

認証オプション

• SAML 2.0シングルサインオン
• OpenID Connect（OIDC）
• SCIM 2.0自動プロビジョニングとデプロビジョニング

多要素認証

• SAMLまたはOIDCが有効な場合、SSOプロバイダーを通じて強制

ロールベースのアクセス制御 最小権限の原則

• すべての内部アクセスは最小権限の原則に従います
• 内部で四半期ごとのアクセスレビューを実施
• ユーザー退職時のSCIMによる自動デプロビジョニング

---

​

パスワードセキュリティ

• 最小パスワード長と複雑さの要件を強制
• 繰り返しのログイン失敗後のアカウントロックアウト
• 確認済みメールによるセキュアなパスワードリセット
• 非アクティブ時のセッションタイムアウトを強制

---

​

アプリケーションセキュリティ

セキュアな開発ライフサイクル

• 機能設計の一部としての脅威モデリング
• マージ前の必須ピアコードレビューとプルリクエスト承認
• 各リリースでのセキュリティ要件レビュー
• 専用のリリース承認プロセス

静的解析とスキャン

• すべてのコード変更でのCodeQL静的解析
• 自動化された依存関係の脆弱性スキャン
• コードの認証情報漏洩を防止するためのシークレットスキャン

セキュアなコーディング慣行

• OWASP Top 10ガイドラインに準拠
• 入力バリデーションと出力エンコードを強制
• 定期的なスケジュールで依存関係を更新

---

​

脆弱性管理

スキャン

• 継続的な自動依存関係スキャン
• インフラの脆弱性スキャン

パッチ管理のタイムライン ペネトレーションテスト

• 年1回、独立したサードパーティによるペネトレーションテストを実施
• 調査結果は重大度タイムラインに従ってトリアージおよび修正

---

​

監視とログ

収集されるログ：

• 認証イベント（ログイン、ログアウト、失敗した試行）
• 管理者アクション（ユーザーの変更、設定の更新）
• APIアクティビティ
• セキュリティイベント

監視

• Google Cloud Monitoringによる24時間365日のクラウドインフラ監視
• 異常やセキュリティイベントの自動アラート
• 疑わしいログインの検出

---

​

インシデント対応

Waveは以下をカバーする正式なインシデント対応計画を維持しています：

• 重大度分類：緊急、高、中、低
• 調査プロセス：封じ込め、分析、証拠の保全
• 根本原因分析：重要なイベント後のインシデント後レビュー
• 顧客通知：規制要件に従って、影響を受けた顧客に速やかに通知
• 規制通知：該当する場合、GDPRの侵害通知を72時間以内に実施
• ポストモーテム：重大なインシデント後に文書化および内部レビュー

セキュリティの脆弱性を報告するには、security@wavecnct.comにお問い合わせください。

---

​

ビジネス継続性とバックアップ

回復目標

• RTO（目標復旧時間）：4時間
• RPO（目標復旧地点）：1時間

ビジネス継続計画

• 正式なBCPが整備され、半年ごとにテスト実施
• 定期的にディザスタリカバリ計画をテスト

バックアップ

• 毎日の自動バックアップ
• バックアップは保存時に暗号化
• 定期的にリストアテストを実施
• バックアップ保持期間はデータ分類ポリシーに合わせて設定

---

​

可用性

• 自動フェイルオーバーによる高可用性アーキテクチャ
• ステータスページ：status.wavecnct.com
• エンタープライズ顧客向けのSLAあり

---

​

ネットワークセキュリティ

• Google Cloud ファイアウォールとCloud Armor
• ネットワークおよびアプリケーション層でのDDoS軽減
• すべてのAPIエンドポイントでのレート制限
• OWASPに準拠した保護（インジェクション、XSS、CSRF）
• 侵入検知・防止システム（IDS/IPS）

---

​

エンドポイントセキュリティ

すべての従業員デバイスに以下を適用：

• フルディスク暗号化
• 会社管理のデバイスポリシー
• ウイルス対策とエンドポイント保護
• OSとセキュリティの自動更新
• スクリーンロックの強制
• リモートアクセスの最低デバイス要件

---

​

物理的セキュリティ

Waveはリモートファーストの会社です。オンプレミスのデータセンターはありません。物理インフラのセキュリティはGoogle Cloudが管理しており、そのデータセンターはISO 27001、SOC 2、その他の規格で独立して認定されています。 従業員はセキュアなホームオフィス要件に従い、デバイスは耐用年数終了時にセキュアに廃棄されます。

---

​

従業員セキュリティ

• すべての従業員のバックグラウンドチェック
• オンボーディング時のセキュリティ意識向上トレーニング
• 四半期ごとのセキュリティ・プライバシートレーニング
• 全従業員が署名した許容使用ポリシー
• 機密保持契約の締結

---

​

ベンダーセキュリティ

Waveはベンダーリスク管理プログラムを維持しています。サードパーティプロバイダーはオンボーディング前にレビューされ、セキュリティ態勢（SOC 2レポート、セキュリティアンケート、ベンダー評価）に基づいて評価されます。 主要なサブプロセッサー 完全なサブプロセッサーリストはデータ処理契約にてご確認いただけます。

---

​

AIセキュリティ

Waveは以下の機能でAIを使用しています：

• ユニバーサルバッジスキャナー：名刺やイベントバッジから連絡先情報を抽出するOCR
• コンタクトエンリッチメント：公開ソースから不足しているプロフィールフィールドを補完
• コンテンツモデレーション：プロフィール上のポリシー違反コンテンツの検出

主なポイント：

• 顧客データはAIモデルのトレーニングに 使用されません
• AIの機能は該当する場合に無効化できます
• AIプロバイダーはサブプロセッサーリストに開示されています

---

​

データ分類

---

​

データ保護

• 論理的なテナント分離：各組織のデータはアプリケーションとデータベースレベルで分離
• ロールベースのアクセス制御によりクロステナントのデータアクセスを防止
• すべての機密操作の監査ログ記録
• 収集時にデータの最小化原則を適用

---

​

エンタープライズセキュリティ機能