YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.
顧客データの保護、プラットフォームの可用性維持、およびEU GMP Annex 11、21 CFR Part 11、GDPRへの準拠について。
YARDtwinはMicrosoft Azure上で稼働し、コンピューティングはノルウェー東部、データ・レジストリ・シークレットはスウェーデン中部を使用しています。すべての顧客データはEU/EEA域内に保管され、GDPR第44条〜第49条に準拠しています。
| 管理項目 | 実装内容 | ステータス |
|---|---|---|
| TLS | Azure経由のTLS 1.3(AES-256-GCM) | 確認済み |
| WAF | Azure Front Door WAF(防御モード) | 有効 |
| HSTS | max-age 2年(preload付き) | 確認済み |
| HTTPSのみ | App Serviceにて強制適用 | 確認済み |
| DBファイアウォール | Azure限定 + 管理者IPホワイトリスト | 確認済み |
| 管理項目 | 実装内容 | ステータス |
|---|---|---|
| パスワードポリシー | 8文字以上、大文字・小文字・数字・特殊文字を含む | 適用中 |
| 漏洩チェック | サインアップ・変更時にHIBP k匿名性ルックアップを実施 | 有効 |
| MFA | TOTP(Google/Microsoft Authenticator) | 利用可能 |
| SSO/SAML | SAML 2.0(Azure AD、Okta、Google Workspace) | 有効 |
| ブルートフォース対策 | 5回試行で15分ロックアウト(429) | 有効 |
| JWT tokens | アクセストークン1時間、リフレッシュトークン7日間 | 有効 |
| RBAC | 8ロール、ルートレベルでの強制適用 | 有効 |
| テナント分離 | 全クエリをtenant_idでフィルタリング | 確認済み |
| 管理項目 | 実装内容 | ステータス |
|---|---|---|
| 保存時の暗号化 | Azure PostgreSQL AES-256 | 有効 |
| 転送時の暗号化 | TLS 1.3 | 有効 |
| パスワードハッシュ化 | bcrypt(12ラウンド) | 有効 |
| パラメータ化SQL | 154クエリ、文字列連結 0件 | 確認済み |
| シークレット | Azure Key Vault | 有効 |
| 監査証跡 | 追記専用、ALCOA+準拠 | 有効 |
リクエストごとのノンスを使用したスクリプトの厳格なCSP( unsafe-inlineは不使用)。すべてのレスポンスに完全なセキュリティヘッダーを付与:HSTS、X-Content-Type-Options、X-Frame-Options、Referrer-Policy、Permissions-Policy、Cross-Origin-Opener-Policy、Cross-Origin-Resource-Policy。
2026年4月17〜18日に独立機関によるペネトレーションテスト実施(OWASPカテゴリ10項目、ペイロード36件): 脆弱性 0件.2026年4月11日に機能セキュリティテスト実施(270件のアポイントメントにわたる1,890件以上のAPI呼び出し): 失敗 0件.年次サードパーティペンテストを予定、SOC 2 Type II監査を進行中。
セキュリティ研究者からの報告を歓迎します。発見内容と再現手順を記載の上、 admin@yardtwin.comまでメールでご連絡ください。受領後2営業日以内に確認の返信を行い、重大な問題は7日以内のパッチ適用を目標としています。修正対応の機会を設けるまで、脆弱性の公開はお控えください。
最終更新:2026年4月 · yardtwin.com