ChinaSiteReady ChinaSiteReady
無料チェック
ホーム · セキュリティ

セキュリティとコンプライアンス

お客様データの保護、実施している管理策、コンプライアンス状況。

本書は参考用の翻訳です。翻訳と英語版に齟齬がある場合、英語版が優先します。英語版を見る →

最終確認 : 2026-05-26 · バージョン 1.0

要約 : ChinaSiteReady は小規模で専念型のエンジニアリングチームです。現時点で SOC 2 や ISO 27001 認証を取得していると装うことはせず、その点について以下で正直に説明します。当社が提供するのは、明確なデータフロー、少数の有名な事業者、堅実なデフォルト、そしてセキュリティ質問票への書面回答に応じる姿勢です。

当社が保持するデータ

本サービスは、貴社サイトの静的情報ページをミラーリングして運営します。当社が保持するもの :

  • お客様素材 — ミラーリングを依頼されたページ・画像・フォント・テキストの複製、および提供されたブランド・ドメインの許諾や会社書類。
  • 運用ログ — リクエスト URL、IP アドレス、タイムスタンプ、レスポンスコード、エラートレース。監視、デバッグ、中国法令への対応に使用します。通常 30〜90 日保持します。
  • コミュニケーション — メール、お問い合わせフォーム送信内容、プロジェクトメモ。

本サービスは静的な情報・マーケティングコンテンツを対象としています。別途データ処理契約 (DPA をご参照) を締結しない限り、自然人の個人データ、決済データ、健康データ、金融データ、生体データを本サービス経由で送信することはお受けしません。

データの保存場所

本サービスは AWS インフラ上で提供します。本番ホスティングは以下のいずれかになります :

  • AWS Global — 貴社の既存グローバルサイト用 (当社は手を入れません)。
  • AWS 中国リージョン (Sinnet / NWCD 運営) — 中国本土の訪問者に配信する中国ミラーサイト用。
  • プロジェクトで使用する具体的なリージョンはプロジェクト計画書に記載し、選択された ICP 経路によって決まります。

本マーケティングサイト (このサイト) の分析データは、米国リージョンの PostHog Cloud に送信されます。

暗号化

  • 転送中 : お客様向けのすべてのトラフィックは TLS 1.2 以上の HTTPS で配信します。TLS 1.0/1.1、RC4、既知の脆弱な暗号スイートは無効化します。お客様のドメイン管理権限が許す場合は HSTS を有効化します。
  • 保存時 : ストレージは既定で AWS S3 のサーバーサイド暗号化 (SSE-S3) を使用し、お客様素材は暗号化ボリュームに格納されます。バックアップは AWS 管理鍵で暗号化します。
  • シークレット : デプロイ用シークレットと API トークンは AWS Secrets Manager (AWS 中国リージョンでは同等のシークレットストア) に保存し、ソースコード管理には置きません。アクセスはログに記録します。

アクセス制御

  • 本番環境へのアクセスは、貴社プロジェクトに参加するエンジニアに限定し、最小権限の原則に基づいて付与します。
  • 本番環境へのすべてのアクセスは多要素認証を必須とします。
  • AWS ルートアカウントへのアクセスは制限され、MFA で保護され、監査されます。
  • お客様側の認証情報 (DNS 事業者のトークン、CMS の認証情報など) は安全な経路でのみ受領し、当社のシークレットストアに保管します。明示的に必要とされる場合を除き、契約期間後は保持しません。

ネットワーク

  • オリジンのコンピュートはプライベート VPC サブネットで稼働し、セキュリティグループのアウトバウンド制御を行います。
  • 公開トラフィックは AWS CloudFront (中国では同等のサービス) でフロントし、OWASP Top 10 を対象とした WAF ルールを有効化します。
  • 管理用エンドポイントは公開しません。

監視とインシデント対応

  • 運用しているすべての本番プロパティについて、稼働状況と合成ページ監視を行います。オンコール通知はメールで当番エンジニアに送り、重大インシデントはページャーで通知します。
  • 本番環境へのアクセスの監査ログを保持します。
  • お客様素材に影響するセキュリティインシデントを認識した場合、(a) 調査を行い、(b) 封じ込め措置を取り、(c) 不当な遅延なく書面で通知します。重大インシデントの確認後 72 時間以内に初回通知を行い、その後より詳細なインシデント後レポートをお送りすることを目指します。

バックアップと事業継続

  • ミラーサイトのアセットはソースコード管理でバージョン管理され、いつでもソースから再構築できます。
  • 運用ログと分析データは、耐久性の高い AWS ストレージ階層にバックアップします。
  • 長期契約のお客様については、復旧目標をプロジェクト計画書に記載し、実際のコンテンツ更新頻度に合わせて調整します。

脆弱性管理

  • OS イメージは定められたサイクルで更新し、セキュリティパッチを追跡します。
  • アプリケーション依存関係はバージョンを固定し、アップグレード前にレビューします。
  • 現時点では公開バグバウンティプログラムは実施していません。協調的開示の場合は、件名「Security disclosure」で chinasiteready@autoinfra.cn までメールをお送りください。5 営業日以内に書面で受領を確認します。

コンプライアンス状況 (率直版)

  • 当社は 現時点で SOC 2 / ISO 27001 認証を取得していません。独立した第三者認証は中期的なロードマップにありますが、確実に合格できると確信できた段階で実施するため、固い期限は設定しません。
  • 中国リージョンへの配置については、必要に応じて中国法令に基づく ICP 申請を行います。経路と当社の役割は サービスの流れ の「ICP 準拠の公開」セクションをご覧ください。
  • セキュリティ質問票 (SIG / CAIQ などの標準フォーマットを含む) には誠実に対応します。契約中の顧客に対しては追加料金なしです。
  • より詳しいデューデリジェンス会議の前に、相互 NDA を締結できます。

ペネトレーションテスト

現時点では、固定の周期で外部のペネトレーションテスト事業者を起用してはいません。大規模な契約においては、お客様ご指定の第三者テスト事業者と連携することが可能です (費用はお客様負担、対象は当社が運用する中国ミラーサイト)。標準的なスキャナーによる内部テストは定期的に実施しています。

利用するサービス事業者

外部サービス事業者のリストは少数かつ著名なものに保つよう努めています。現時点では : AWS (Global および AWS 中国 — ホスティングと CDN)、PostHog (当社のマーケティングサイト専用の分析)、標準的な運用ツール。署名前のデューデリジェンスとして、最新の一覧と所在地をご請求いただけます。

データ処理契約 (DPA)

署名前に DPA が必要なお客様には、DPA に当社の標準 DPA を掲載しています。お客様が希望される DPA テンプレートも、個別に判断の上で受け入れる場合があります。

お問い合わせ

セキュリティ・コンプライアンスに関するお問い合わせ : chinasiteready@autoinfra.cn。通常 5 営業日以内にご返信します。

URL をお送りください。

中国アクセス無料チェック。5 営業日以内。トラッキングフォームなし。

お問い合わせ サービスの流れを見る