セキュリティ運用ワークフロー

SEC-OPS-001準拠 / ポルト社診断レポート形式対応 / 個人情報取扱プロジェクト向け

A. 日常開発フロー

1コード変更

認証・DB・API等を修正

2git commit

変更内容・理由を記載

3/security-diff

差分を解析しリスク評価

4報告書自動生成

docs/security-diff/ に保存

5蓄積

監査証跡として保持

B. 外部診断依頼フロー

1/security-request

プロジェクト情報を自動収集

2自己診断実行

OWASP Top 10 + npm audit

3依頼書生成

docs/security-request/ に保存

4専門業者に提出

差分報告書 + 依頼書を提供

5改修 + 再診断

修正期限に従い対応

リスクレベル定義（ポルト社準拠）

レベル	基準	修正期限
Critical	任意コード実行、管理権限取得、金銭窃取につながる脆弱性	24時間
High	重要データ・大量個人データの漏洩・改ざんにつながる脆弱性	7日
Medium	受動的攻撃や制御不能な前提条件を要する脆弱性	30日
Low	単独では重大事に至らない軽微な情報露出	次回診断
Info	リスクではないが確認が必要な情報	-

総合ステータス定義

ステータス	概要
Blue	セキュアな状態
Green	将来的な改修を推奨する状態
Yellow	改修が推奨される状態
Red	改修が必要な状態
Black	早急な改修が必要な状態

対象プロジェクト（個人情報取扱）

endai-system（演題管理システム）

Next.js + Supabase Stripe決済 Vercel 演者氏名・所属演題・連絡先決済情報

RLS全テーブル有効 / CSP・HSTS設定済み
Rate limiting（in-memory）→ Redis推奨
Cronエンドポイントの認証要確認
tsconfig strict: false → true推奨

drawing-cognitive-test（認知機能テスト）

React + Firebase Firestore PWA 認知機能スコア描画データ（生体情報）施設PIN

Firestoreルールでアクセス制御（PIN分離）
localStorage暗号化なし→暗号化推奨
PIN総当たり対策なし→Rate limiting必要
CSP/CORSヘッダ未設定

使用コマンド

日常開発時（コミットごと）

/security-diff

直前のコミット差分を解析し、リスクレベル付きの報告書を自動生成

外部診断依頼時（本番公開前 / 定期）

/security-request

プロジェクト情報 + OWASP自己診断 + 依頼書テンプレートを一括生成

診断基準（ポルト社採用基準）

OWASP ASVS (Application Security Verification Standard)
OWASP Top 10 (2021)
IPA「ウェブ健康診断仕様」
OWASP Security Testing Guideline
OWASP 脆弱性診断士スキルマップ「脆弱性診断ガイドライン」
デジタル庁「政府情報システムにおける脆弱性診断導入ガイドライン」
NIST SP800-115
PTES (Penetration Testing Execution Standard)

フォルダ構成

docs/
├── security-diff/
│   ├── README.md ← 報告書インデックス
│   ├── 2026-04-01_add-submission-api.md
│   └── ...
└── security-request/
    ├── README.md ← 依頼書インデックス
    ├── 2026-04-01_endai-system.md
    └── 2026-04-01_drawing-cognitive-test.md

運用ルール

1	報告書は削除しない（監査証跡として保持）
2	外部診断前に前回診断以降の全差分報告書を提供
3	年1回、棚卸しして運用規程の見直しに活用
4	AI利用時は入力に個人情報を含まなかったことを明記
5	Critical/High は修正後に再度 /security-diff で対策済みを記録
6	修正後は専門業者による無料再診断を活用