データ管理
ログ・解析データは 90 日間 保持します。契約終了後は 30 日以内に削除します。保持期間はご要望に応じて短縮可能です。
契約終了後 30 日以内 に全データを安全削除します。ご要望に応じて削除証明書(Data Deletion Certificate)を発行します。
コードは AI 処理時のみ一時的にメモリ上で利用します。永続保存はしません。インフラは AWS(us-east-1 / ap-northeast-1)で稼働します。
使用しません。 Anthropic Claude API を利用しており、API 経由のデータはモデルのトレーニングに使用されません(Anthropic API 利用規約準拠)。
データベースは 日次スナップショット(35 日保持) を取得します。AWS Aurora の Point-in-Time Recovery(PITR)にも対応しています。
セキュリティ技術
全通信は TLS 1.2 以上 で暗号化します。HTTP は HTTPS へ自動リダイレクト。証明書は AWS Certificate Manager で管理します。
DB(AWS Aurora)・S3 ともに AES-256 で暗号化しています。暗号鍵は AWS KMS で管理します。
OAuth 2.0 / OIDC 対応。GitHub・Google SSO をサポート。TOTP ベースの MFA も利用可能です。
RBAC(ロールベースアクセス制御) を採用。オーナー・管理者・メンバーの 3 段階。テナントは組織単位で完全分離されています。
GitHub App 方式 を採用しており、個人アクセストークン(PAT)は保存しません。必要最小限のスコープのみ要求します。シークレットは AWS Secrets Manager で管理します。
全 API リクエストを AWS CloudWatch に 90 日間 記録します。誰がいつ何を操作したか追跡可能です。
運用・インシデント
セキュリティインシデント発生時は 72 時間以内 にメールで通知します。影響範囲・対応状況・再発防止策を報告します。
管理者が 即時アクセス無効化 可能です。SSO 連携時は IdP 側での無効化で Codens のセッションも自動失効します。
RTO 4 時間・RPO 1 時間 を目標とします。AWS マルチ AZ 構成で自動フェイルオーバーに対応しています。
AWS Shield Standard を常時適用。CloudFront および AWS WAF で追加保護を実施しています。
CVSS 9.0 以上は 24 時間以内、7.0 以上は 7 日以内 に対応します。依存パッケージは Dependabot で定期更新します。
コンプライアンス
主要サブプロセッサ: AWS(インフラ)、Anthropic(AI 処理)、GitHub(コード連携)。最新リストは別途提供します。
年 1 回以上 の外部ペネトレーションテストを実施します。結果は NDA 締結のもとで共有可能です。
SOC2 Type II を 2026 年内取得予定、ISO 27001 を 2027 年を目標に準備中です。
GDPR・個人情報保護法 に対応した DPA を提供できます。
security@codens.ai までご連絡ください。
サイバーセキュリティ保険に加入済みです。証書の詳細は NDA 締結後にお示しします。
営業メール用 プレーンテキスト版
=== Codens セキュリティ FAQ (2026-04-20) ===
【データ管理】
Q1. データ保持期間は?
A. ログ・解析データは90日間保持。契約終了後30日以内に削除。
Q2. 契約終了時にデータは削除されるか?
A. 30日以内に全データを安全削除。ご要望で削除証明書を発行。
Q3. ソースコードはどこに保存されるか?
A. 処理時のみ一時利用。永続保存なし。AWS(us-east-1 / ap-northeast-1)稼働。
Q4. AIモデルの学習にデータは使われるか?
A. 使用しない。Anthropic API経由のデータはモデル学習に使用されない。
Q5. バックアップは?
A. 日次スナップショット(35日保持)。Point-in-Time Recovery対応。
【セキュリティ技術】
Q6. 通信は暗号化されているか?(転送中)
A. 全通信をTLS 1.2以上で暗号化。HTTP→HTTPS自動リダイレクト。
Q7. 保存データは暗号化されているか?(保管中)
A. DB・S3ともにAES-256で暗号化。鍵はAWS KMSで管理。
Q8. 認証方式は?
A. OAuth 2.0 / OIDC対応。GitHub・Google SSO、TOTP-MFA利用可能。
Q9. 権限モデルは?
A. RBAC(オーナー・管理者・メンバーの3段階)。テナントは組織単位で完全分離。
Q10. GitHubトークン管理は?
A. GitHub App方式でPATを保存しない。最小権限スコープのみ要求。
Q11. アクセスログは取得されるか?
A. 全APIリクエストをCloudWatchに90日間記録。誰が何を操作したか追跡可能。
【運用・インシデント】
Q12. インシデント発生時の通知は?
A. セキュリティインシデント発生時は72時間以内にメールで通知。
Q13. 退職者のアクセスはすぐ削除できるか?
A. 管理者が即時無効化可能。SSO連携時はIdP側失効でセッションも自動失効。
Q14. DRの目標値は?
A. RTO 4時間・RPO 1時間。AWSマルチAZ構成で自動フェイルオーバー対応。
Q15. DDoS対策は?
A. AWS Shield Standard常時適用。CloudFront・WAFで追加保護。
Q16. 脆弱性発見時の対応は?
A. CVSS 9.0以上は24時間以内、7.0以上は7日以内に対応。
【コンプライアンス】
Q17. サブプロセッサは?
A. AWS(インフラ)、Anthropic(AI処理)、GitHub(コード連携)。リストは別途提供。
Q18. ペネトレーションテストは?
A. 年1回以上の外部ペネトレテストを実施。結果はNDA下で共有可能。
Q19. SOC2 / ISO 27001の取得計画は?
A. SOC2 Type IIを2026年内取得予定。ISO 27001は2027年目標。
Q20. DPAを締結できるか?
A. GDPR・個人情報保護法対応のDPAを提供可能。security@codens.aiまで。
Q21. サイバー保険に加入しているか?
A. 加入済み。証書の詳細はNDA締結後に提示。
---
詳細な Security Whitepaper(フル版)は 2026年7月 公開予定。
ご質問は security@codens.ai まで。