メインコンテンツへスキップ

Omiseのセキュリティ

Omiseは、業界をリードするセキュリティプラクティス、コンプライアンス認証、継続的なセキュリティ監視により、機密性の高い顧客情報を保護することに取り組んでいます。

概要

決済インフラストラクチャプロバイダーとして、セキュリティは私たちのすべての活動の基盤です。トランザクションライフサイクル全体を通じてお客様の決済データを安全に保つために、複数の保護層を実装しています。

主なセキュリティハイライト:

  • PCI DSS レベル1認証(最高レベル)
  • NISTサイバーセキュリティフレームワーク準拠
  • 保存データのAES-256暗号化
  • 転送中データのTLS 1.2+
  • 24時間365日のセキュリティ監視
  • 定期的なサードパーティペネトレーションテスト

コンプライアンスと標準

PCI DSS レベル1

OmiseはPCI DSS レベル1認証を維持しています。これは決済カード業界コンプライアンスの最高レベルです。この認証には以下が必要です:

  • 認定セキュリティ評価者(QSA)による年次オンサイト評価
  • 認定スキャニングベンダー(ASV)による四半期ごとのネットワークスキャン
  • すべてのシステムにわたる包括的なセキュリティコントロール
  • 定期的なペネトレーションテストと脆弱性評価

認証を確認:

これがあなたにとって意味すること

Omiseを使用すると、カードデータはサーバーに触れることがありません。これにより、PCIコンプライアンスの範囲が大幅に縮小され、通常はSAQ A(最も簡単な自己評価質問票)になります。

NISTサイバーセキュリティフレームワーク

米国国立標準技術研究所(NIST)サイバーセキュリティフレームワークに準拠しています:

  • 識別 - 資産管理とリスク評価
  • 保護 - アクセス制御とデータセキュリティ
  • 検出 - 継続的な監視と異常検出
  • 対応 - インシデント対応手順
  • 復旧 - 事業継続計画

データ保護規制

Omiseは地域のデータ保護法に準拠しています:

地域規制要件
タイPDPA個人データ保護法準拠
シンガポールPDPA個人データ保護法準拠
日本APPI個人情報保護法
EU/EEAGDPR一般データ保護規則(該当する場合)

当社のデータ保護プラクティス:

  • データ最小化 - 必要なものだけを収集
  • 目的制限 - 記載された目的にのみデータを使用
  • 保持ポリシー - 必要期間後の自動削除
  • 消去権 - データ削除リクエストのサポート
  • 違反通知 - インシデント発生時の迅速な通知

製品セキュリティ

多要素認証(MFA)

すべてのダッシュボードアカウントはMFAをサポートしています:

  • TOTPアプリ - Google Authenticator、Authyなど
  • SMSコード - バックアップ検証方法
  • ハードウェアキー - YubiKeyおよび類似デバイス(エンタープライズ)
MFAを有効にする

ダッシュボードアクセスを持つすべてのチームメンバーにMFAを有効にすることを強くお勧めします。設定 > セキュリティ > 二要素認証に移動してください。

ロールベースのアクセス制御(RBAC)

細かい権限でチームアクセスを制御:

ロール機能
オーナーフルアクセス、チーム管理、請求、APIキー
管理者設定管理、すべてのデータを表示、返金処理
開発者APIキーへのアクセス、テストトランザクションを表示
サポートトランザクションを表示、限定的な返金機能
財務レポート、決済を表示、APIアクセスなし
読み取り専用ダッシュボードへの表示のみのアクセス

監査ログ

すべてのアカウントアクティビティが記録されます:

  • ログイン試行(成功と失敗)
  • APIキーの作成と削除
  • 設定変更
  • 返金とキャンセル操作
  • チームメンバーの変更
  • 権限の変更

ダッシュボード > 設定 > アクティビティログで監査ログにアクセスできます。

セッションセキュリティ

  • 非アクティブ後の自動セッションタイムアウト
  • 同時セッション制限
  • セッション取り消し機能
  • IPベースのセッション検証(オプション)
  • セキュアなCookie処理(HttpOnly、Secure、SameSite)

データセキュリティ

暗号化

保存データ:

  • すべての保存カードデータのAES-256暗号化
  • 暗号化されたデータベースバックアップ
  • キー管理用のハードウェアセキュリティモジュール(HSM)
  • キーローテーションポリシー

転送中データ:

  • TLS 1.2最小(TLS 1.3サポート)
  • Perfect Forward Secrecy(PFS)
  • 強力な暗号スイートのみ
  • HSTS強制

サポートされているTLS暗号スイート:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

トークン化

カード番号はランダムに生成されたトークンに置き換えられます:

カード番号: 4242 4242 4242 4242
     ↓ トークン化
トークン: tokn_test_5xuy4w91xqz7d1w9u0t

トークンの特性:

  • デフォルトで1回限りの使用
  • マーチャント固有(他で使用不可)
  • 時間制限付きの有効性
  • カード番号への可逆的な関係なし
  • カードデータとは別に保存

カードデータの分離

分離措置:

  • カードデータ用の別のネットワークセグメント
  • 制限されたアクセス(知る必要のある人のみ)
  • 直接データベースアクセスなし
  • すべてのアクセスはAPI経由
  • 包括的なログ記録

インフラストラクチャセキュリティ

ネットワークセキュリティ

  • ファイアウォール - 多層ファイアウォール保護
  • DDoS保護 - 自動攻撃緩和
  • WAF - API保護用Webアプリケーションファイアウォール
  • IDS/IPS - 侵入検知と防止
  • ネットワークセグメンテーション - 分離された本番環境

サーバーセキュリティ

  • 定期的なOSセキュリティパッチ
  • 強化されたサーバー構成
  • 最小限のインストールパッケージ
  • 不要なサービスの無効化
  • 定期的な脆弱性スキャン

相互TLS(mTLS)

サーバー間通信では相互TLSを使用:

  • クライアントとサーバーの両方が証明書を提示
  • 中間者攻撃を防止
  • 追加の認証層
  • 内部サービス通信に使用

開発プラクティス

セキュア開発ライフサイクル(SDL)

セキュリティは開発プロセス全体に統合されています:

  1. 設計 - アーキテクチャのセキュリティレビュー
  2. 開発 - セキュアコーディング標準
  3. コードレビュー - 複数者によるレビューが必要
  4. テスト - 自動セキュリティテスト
  5. デプロイ - セキュアなデプロイパイプライン
  6. 監視 - ランタイムセキュリティ監視

コードセキュリティ

  • 静的解析 - 自動コードスキャン(SAST)
  • 動的テスト - ランタイム脆弱性テスト(DAST)
  • 依存関係スキャン - サードパーティライブラリチェック
  • コンテナスキャン - Dockerイメージセキュリティ
  • シークレット検出 - 認証情報漏洩を防止

バグバウンティプログラム

責任あるセキュリティ研究のためにHackerOneと提携しています:

対象範囲:

  • api.omise.co
  • vault.omise.co
  • dashboard.omise.co
  • cdn.omise.co
  • OmiseモバイルSDK

報酬:

  • 重大な脆弱性:最大$5,000
  • 高重要度:最大$2,000
  • 中重要度:最大$500
  • 低重要度:最大$100

脆弱性の報告: security@omise.coまたはHackerOne経由

責任ある開示

脆弱性に対処する時間を確保するまで、公開しないでください。24時間以内に対応し、重大な問題は7日以内に解決することを目指しています。

企業セキュリティ

従業員セキュリティ

  • すべての従業員のバックグラウンドチェック
  • オンボーディング中のセキュリティトレーニング
  • 月次セキュリティ意識向上セッション
  • シミュレートされたフィッシングキャンペーン
  • クリアデスクとスクリーンポリシー

アクセス管理

  • すべてのシステムへのSSO(シングルサインオン)
  • 従業員用のハードウェアベースの2FA
  • 最小権限の原則
  • 定期的なアクセスレビュー
  • 退職時の即時取り消し

インシデント対応

対応プロセス

  1. 検出 - 自動監視とアラート
  2. トリアージ - 重要度と影響を評価
  3. 封じ込め - 被害を制限し、拡散を防止
  4. 根絶 - システムから脅威を除去
  5. 復旧 - 通常運用を回復
  6. 事後対応 - 分析と改善

連絡

お客様のデータに影響を与えるセキュリティインシデントが発生した場合:

  • 72時間以内に通知(または法律で要求される場合)
  • 発生したことの明確な説明
  • 対処のために取っている手順
  • お客様の対応に関する推奨事項
  • 解決までの継続的な更新

セキュリティチーム: security@omise.co

マーチャント向けセキュリティベストプラクティス

APIキーを保護

# 推奨:環境変数を使用
export OMISE_SECRET_KEY="skey_live_..."

# 非推奨:ソースコードにハードコード
const secretKey = "skey_live_..." // これは絶対にしないでください

すべてのセキュリティ機能を有効に

  1. MFAを有効に - すべてのチームメンバー用
  2. ロールベースのアクセスを使用 - 必要最小限の権限
  3. 監査ログをレビュー - 定期的に異常をチェック
  4. Webhookを実装 - トランザクションイベントを監視
  5. 3Dセキュアを有効に - カード取引用

統合をセキュアに

  • どこでもHTTPSを使用(TLS 1.2+)
  • Webhook署名を検証
  • CSRF保護を実装
  • コンテンツセキュリティポリシーを使用
  • ライブラリを最新の状態に保つ
  • 機密データをログに記録しない

FAQ

OmiseはPCI準拠ですか?

はい、OmiseはPCI DSS レベル1認証を取得しています。これはPCIコンプライアンスの最高レベルです。これは認定セキュリティ評価者(QSA)によって毎年検証されます。

Omiseを使用するためにPCI認証が必要ですか?

Omise.jsまたはモバイルSDKを使用すると、カードデータはサーバーに触れることがありません。これにより通常、PCIの範囲がSAQ A(最も簡単な自己評価)に縮小されます。お客様の特定の状況についてはQSAにご相談ください。

カードデータはどのように保護されていますか?

カードデータはAES-256で暗号化され、分離された環境に保存され、複数のセキュリティ層で保護されています。カード番号はトークン化されているため、お客様のシステムは実際のカード番号を見ることはありません。

セキュリティ侵害が発生した場合はどうなりますか?

包括的なインシデント対応手順を持っています。影響を受ける当事者には、インシデントと推奨される措置の詳細とともに72時間以内に通知されます。

セキュリティ脆弱性を報告するにはどうすればよいですか?

security@omise.coにメールするか、HackerOneプログラムを通じて送信してください。公開前に問題に対処する時間を与えてください。

MFAは必須ですか?

MFAは強く推奨されますが、デフォルトでは必須ではありません。組織はダッシュボード設定を通じてすべてのチームメンバーにMFAを強制できます。

関連リソース

セキュリティに関する質問がありますか? security@omise.coにお問い合わせいただくか、アカウントマネージャーにお問い合わせください。