Security

GDIOS のセキュリティ

最終更新日: 2026-05-18

GDIOS は、中堅企業や新規事業開発部門の意思決定インフラとして、お客様の事業データ・意思決定ログを取扱います。本ページでは、当社が GDIOS の運用において遵守しているセキュリティ方針と具体的な実装内容を、率直に開示します。第三者認証の取得状況についても、現状をありのままにお伝えします。

目次

  1. 基本方針
  2. データ保護
  3. インフラセキュリティ
  4. アクセス管理
  5. テナント分離
  6. 開発・運用のセキュリティ
  7. インシデント対応
  8. AIモデルとデータ
  9. 委託先・第三者リスク
  10. 認証取得状況
  11. 監査・透明性
  12. お問い合わせ

1. 基本方針

当社は、お客様の事業データと意思決定情報をお預かりする立場として、機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)の3原則を運用の基盤とします。セキュリティは「機能の上乗せ」ではなく「設計の前提」であるという考えに基づき、データの受領から削除まで一貫した管理体制を敷いています。

2. データ保護

通信の暗号化

クライアント/ブラウザと GDIOS の間の全通信は TLS 1.2 以上で暗号化されます。API 連携、データ取込、ファイルアップロードを含むすべての経路に適用されます。

保存データの暗号化

お客様データは、データベース・オブジェクトストレージとも保存時に AES-256 で暗号化されます。バックアップも同じ暗号化基準で保管されます。

データ保管リージョン

お客様データは原則として日本リージョンのクラウド基盤に保管します。海外リージョン保管が必要なケースは個別契約で明示的に合意します。

データの返却・削除

ご解約時には、標準フォーマット(Parquet / CSV)でのエクスポートに対応します。ご要請から合理的期間内(原則30日以内)にお客様データを返却し、当社環境から削除します。削除完了後、削除完了報告書を発行します。

3. インフラセキュリティ

クラウド基盤

GDIOS は ISO/IEC 27001、SOC 2 Type II、ISMAP 等の主要認証を取得済みの大手クラウド事業者のインフラ上で稼働しています。物理セキュリティ、ネットワーク、ハードウェアの保護はクラウド事業者の認証基盤に依拠します。

ネットワーク

VPC(仮想プライベートクラウド)でネットワークを分離し、最小限のポートのみ外部公開しています。WAF(Web Application Firewall)と DDoS 対策により、一般的な攻撃パターンを防御します。

監視・ログ

全インフラの稼働状況、アクセスログ、認証ログを継続的に記録し、異常検知を行います。ログは最低1年間保管し、フォレンジック対応に活用できる体制を維持します。

4. アクセス管理

認証

ユーザー認証はメールアドレス+パスワードに加え、エンタープライズ契約では SSO(SAML 2.0/OIDC)に対応します。当社運用メンバーは管理コンソールへのアクセスに多要素認証を必須とします。

認可(最小権限)

RBAC(ロールベースのアクセス制御)により、ユーザーごとに必要最小限の権限のみを付与します。当社運用メンバーがお客様データに直接アクセスする必要が生じた場合、お客様の事前許可を取得し、アクセスログを記録します。

特権アクセスの管理

本番環境への特権アクセスは、業務上必要な最小人数に限定し、すべての操作をログに残します。退職・配置転換時には即時に権限を剥奪します。

5. テナント分離

GDIOS はマルチテナント構成ですが、お客様データは論理的にテナント単位で分離されます。データベースのテナントIDによる強制フィルタ、オブジェクトストレージのパス分離、API レイヤーでの認可チェックを多重に実施しています。エンタープライズ契約では、シングルテナント(専用 VPC・専用データベース)構成にも対応します。

6. 開発・運用のセキュリティ

開発プロセス

本番リリース前のすべてのコード変更について、コードレビュー、自動テスト、依存ライブラリの脆弱性スキャン、静的解析(SAST)を実施します。本番環境への変更は管理されたデプロイパイプライン経由でのみ実行されます。

脆弱性管理

使用するライブラリ・ミドルウェアの脆弱性情報を継続的に収集し、Critical/High 相当の脆弱性は速やかにパッチ適用します。年1回以上の外部ペネトレーションテストを実施予定です。

秘密情報の管理

APIキー、認証情報、暗号化鍵は、コード内に埋め込まず、Secrets Manager で集中管理します。アクセス権限も最小限に限定します。

7. インシデント対応

セキュリティインシデント発生時は、検知から初動対応、原因究明、影響範囲特定、再発防止策の策定、お客様への通知を所定の手順で実施します。お客様データに影響が及ぶ可能性がある重大インシデントの場合、原則として検知から72時間以内に該当お客様に通知します。

8. AIモデルとデータ

お客様データは AI モデルの学習目的には使用しません。プロンプトおよびレスポンスはお客様のテナント環境内で処理され、当社あるいは AI モデル提供事業者によるモデル学習に再利用されることはありません。

使用する AI モデル(Anthropic Claude を含むマルチモデル構成)は、お客様のセキュリティポリシー・コスト要件に応じて選択・制限が可能です。モデル提供事業者の利用規約・データ取扱規約のうち本サービスに関連するものは、ご要請に応じてご提示します。

9. 委託先・第三者リスク

GDIOS の提供に必要な範囲で、クラウド基盤事業者、AIモデル提供事業者、決済代行事業者等を業務委託先として利用します。委託先の選定にあたっては、セキュリティ管理体制・第三者認証の取得状況・契約条件を確認し、適切なデータ取扱合意(DPA)を締結します。主要委託先のリストはご要請に応じて開示します。

10. 認証取得状況

当社は現時点で SOC 2 Type II、ISO/IEC 27001 等の第三者セキュリティ認証は取得していません。今後の取得に向けて準備を進めています。エンタープライズのお客様のセキュリティ要求事項については、個別契約の中で具体的にお応えする方針です。なお当社が利用するクラウド基盤事業者は、これらの主要認証を取得しています。

事実関係を率直に開示する観点から、未取得の認証を取得済みと表記することは行いません。最新の取得状況・ロードマップについては個別ご相談の中で具体的にご共有します。

11. 監査・透明性

エンタープライズ契約のお客様には、契約に基づくセキュリティ監査(書面アンケート、リモート/オンサイト監査)に対応します。サブプロセッサーの更新、重大なセキュリティポリシー変更については、お客様に事前通知します。

12. お問い合わせ

セキュリティに関するご質問、脆弱性報告、監査要請等は info@gdios.jp までご連絡ください。脆弱性報告については、責任ある開示にご協力いただける研究者の方を歓迎します。

以上