SECURITY

セキュリティへの取り組み

自治体・消防団の皆さまに安心してご利用いただくため、REGISでは技術的な対策と継続的な検証を組み合わせています。

基本方針

REGIS（公式サイト、管理コンソール、API 等を含む Web 面）は、行政・準公共性の高い領域で利用されるサービスとして、機密性・完全性・可用性の確保を最優先事項に位置づけています。

実施したセキュリティ診断

クラウド型ツール VAddy により、テスト環境の Web サーバへ実際の HTTP リクエストを送り、応答から脆弱性の有無を判定する DAST を実施しています。

診断結果：脆弱性なし（実施項目すべてクリア）

VAddy の検査項目に沿って Web 脆弱性診断（DAST）を実施した結果、実施したすべての検査項目において脆弱性は検出されず、項目をクリアしていることを確認しています。IPA「安全なウェブサイトの作り方（チェックリスト）」に準拠した検査項目も、この診断の範囲で含めています。

実施・確認した主な検査項目

SQL インジェクション（ブラインド含む）

クロスサイトスクリプティング（XSS）

コマンドインジェクション

リモートファイルインクルージョン

ディレクトリトラバーサル

HTTP ヘッダインジェクション

XXE（XML 外部実体攻撃）

安全でないデシリアライゼーション

SSRF

非公開ファイル検査（.env 等）

CSRF

メールヘッダインジェクション

クリックジャッキング

バッファオーバフロー

セッション管理の不備

アクセス・認可制御の不備

Eval インジェクション

項目名・CWE 番号・表の並びは VAddy 公式の検査項目表をご参照ください。

アプリケーションおよび関連データは国内リージョンのクラウド上で管理し、データの所在を明確にしています。通信経路の暗号化（HTTPS）を前提とし、運用面でもアクセス権限を必要最小限に抑えます。

自治体管理者・分団・団員など、役割に応じた権限モデルを採用し、閲覧・操作できる情報を分離しています。不要な権限の付与を避け、組織内の運用ルールとあわせて安全にご利用いただけるよう設計しています。