ペネトレーションテスト:すべての検出事項を解決
JieGouのSOC 2ペネトレーションテストが完了し、テスト中に特定された10件の検出事項すべてが完全に解決されたことをお知らせいたします。これはSOC 2 Type I認証への重要なマイルストーンです。
ペネトレーションテストとは、独立したセキュリティ専門家によって実施される認可された模擬サイバー攻撃です。自動スキャンツールでは見逃される可能性のある脆弱性を検査し、認証メカニズム、APIセキュリティ、インフラストラクチャの強化、アプリケーション層の防御をテストします。
テスト範囲
ペネトレーションテストはJieGouの完全な攻撃対象領域をカバーしました:
- インフラストラクチャセキュリティ — VPC構成、ネットワーク分離、TLS強制、クラウドリソースアクセス制御
- アプリケーションセキュリティ — APIエンドポイント認可、入力検証、セッション管理、クロスサイトスクリプティング防止
- 認証とアクセス制御 — Firebase Auth統合、RBAC強制、セッションCookie処理、権限昇格テスト
- データ保護 — BYOK暗号化実装、APIキーストレージ、PII処理、データレジデンシー制御
- 依存関係のセキュリティ — サードパーティライブラリの脆弱性、サプライチェーンの完全性、コンテナイメージスキャン
企業のお客様にとっての意味
完了したペネトレーションテストは、JieGouのセキュリティ制御が実世界の攻撃シナリオに耐えることを独立して検証します。既存のセキュリティインフラストラクチャと合わせて、企業のお客様は以下の点に自信を持つことができます:
- 毎晩実行される24,000以上の自動テスト、カバレッジ率99.18%
- RBAC、監査ログ、承認ゲートを含む10層ガバナンスフレームワーク
- すべてのLLM APIキーのBYOK暗号化(AES-256-GCM)
- Vantaによる継続的モニタリング、412のポリシーと17のコンプライアンスドメインをカバー
- データセンシティブなワークロード向けのVPCデプロイメントオプション
今後の道のり
ペネトレーションテストの完了に伴い、SOC 2のタイムラインは以下の通りです:
| マイルストーン | ステータス |
|---|---|
| Vanta継続的モニタリング | 稼働中 |
| ペネトレーションテスト | 完了 — すべての検出事項を解決 |
| SOC 2 Type Iレポート | 進行中 |
| SOC 2 Type II観察 | Type I後(6〜12ヶ月) |
SOC 2 Type Iは、セキュリティ制御が適切に設計されていることを検証します。Type IIは、6〜12ヶ月の観察期間を経て、それらの制御が長期間にわたって効果的に運用されていることを検証します。
初日からエンタープライズグレードのセキュリティ
セキュリティは後から追加する機能ではなく、JieGouのアーキテクチャの初日からの基盤です。暗号化キーストレージ、部門スコープのアクセス制御から、改ざん不可能な監査証跡、コンプライアンスフレームワークプリセット(HIPAA、SOX、GDPR、PCI-DSS、FedRAMP)まで、すべてのレイヤーは規制産業の要件を満たすように設計されています。
組織向けにAIエージェントプラットフォームを評価されている場合は、セキュリティアーキテクチャの詳細についてお気軽にご相談ください。お問い合わせからセキュリティレビューをスケジュールいただけます。