【イベント参加レポート】GENESIS SIerパートナー会2025
AI TECHNOLOGY
AIテクノロジー
セキュリティホワイトペーパー
TMe Products のセキュリティに関する技術的・組織的な取り組み
多層防御 — 認証・認可・暗号化・分離・監視 の5層で防御
1はじめに
本書は、TMe Products のセキュリティに関する技術的・組織的な取り組みをまとめたホワイトペーパーです。お客様が導入を検討する際のセキュリティ評価資料としてご活用ください。
TMe Products は、製造業向けに OEE(設備総合効率)可視化、AI 分析、財務管理の機能を統合的に提供するクラウドサービスです。AWS 上にサーバーレスアーキテクチャで構築されており、マルチテナント設計により複数のお客様のデータを安全に分離して管理しています。
セキュリティアーキテクチャ概要
認証
Cognito + MFA
API認可
JWT検証
データ分離
RLS強制
暗号化
AES-256 + TLS 1.2+
ネットワーク
VPC + SG
監視
CloudTrail 7年
2利用者との責任分界点
TMe Products はクラウドサービス(SaaS)として提供されます。セキュリティに関する責任はサービス提供者とお客様の間で以下のように分担されます。
株式会社TECHNOMORe の責任
| 領域 | 内容 |
|---|---|
| インフラストラクチャ | AWS基盤の運用・監視・障害対応 |
| アプリケーション | 脆弱性対策、パッチ適用、機能アップデート |
| データ保護 | 暗号化、バックアップ、テナント分離 |
| 認証基盤 | Cognito運用、MFA提供、ブルートフォース対策 |
| 監視・ログ | CloudTrail、CloudWatch、不正アクセス検知 |
| インシデント対応 | セキュリティインシデントの検知・対応・通知 |
お客様の責任
| 領域 | 内容 |
|---|---|
| アカウント管理 | ユーザーの追加・削除、権限設定の適切な運用 |
| 認証情報の管理 | パスワードの安全な管理、MFAの設定推奨 |
| 利用端末 | お客様端末のセキュリティ対策(OS更新、マルウェア対策等) |
| ネットワーク | お客様社内ネットワークのセキュリティ |
| データ入力 | 入力するデータの正確性と適切性 |
参考: この責任分界モデルは AWS責任共有モデル に基づいています。
3データ保管場所
お客様のデータはすべて AWS 東京リージョン(ap-northeast-1) 内に保存・処理されます。
| データ種別 | 保存先 | リージョン |
|---|---|---|
| ユーザーアカウント | Amazon Cognito User Pool | 東京 |
| 業務データ(OEE指標等) | Amazon Aurora PostgreSQL | 東京 |
| 設備リアルタイムデータ | AWS IoT SiteWise | 東京 |
| アップロードファイル | Amazon S3 | 東京 |
| AI推論処理 | Amazon Bedrock | 東京 |
| ログ・監査記録 | Amazon CloudWatch / S3 | 東京 |
データが日本国外に保存・処理されることはありません。
AI分析機能で利用する Amazon Bedrock は東京リージョン内で推論処理を行います。お客様のデータはモデルのトレーニングに使用されません。
AI分析機能で利用する Amazon Bedrock は東京リージョン内で推論処理を行います。お客様のデータはモデルのトレーニングに使用されません。
4通信経路とネットワーク
お客様から頻繁にいただくご質問「通信はインターネット経由ですか?閉域網ですか?」について、経路ごとに説明します。
通信経路の全体像
| 通信経路 | 方式 | 暗号化 | 補足 |
|---|---|---|---|
| ブラウザ → CloudFront | インターネット(HTTPS) | TLS 1.2+ | HSTS強制。CSPで接続先を限定 |
| CloudFront → API Gateway | AWS内部ネットワーク | HTTPS | 同一ドメイン統合でCORS不要 |
| API Gateway → Lambda | AWS内部ネットワーク | HTTPS | — |
| Lambda → Aurora DB | VPC内閉域通信 | SSL強制 | プライベートサブネット。インターネット経由しない |
| Lambda → Bedrock(AI) | NAT Gateway経由 | HTTPS | 東京リージョン完結 |
| Lambda → SiteWise | NAT Gateway経由 | HTTPS | 東京リージョン完結 |
| ブラウザ → SiteWise API (リアルタイム表示) |
インターネット(HTTPS) | TLS 1.2+ | Cognito一時認証情報 + Read-Only権限 |
サーバー側通信(閉域)
お客様のデータを処理するサーバー側の通信は、VPC内の閉域ネットワークで完結します。
API Gateway
→
Lambda(VPC内)
→
Aurora DB(プライベートサブネット)
- データベースはインターネットから直接アクセス不可
- Lambda → DB 間はセキュリティグループで特定ポートのみ許可
- 複数のアベイラビリティゾーンに分散配置
ブラウザからの通信(インターネット経由 + 多層防御)
ブラウザからの通信はインターネット経由ですが、以下の多層防御により安全性を確保しています。
通信暗号化
TLS 1.2+
認証
一時認証情報
権限
Read-Only
未認証
全拒否
監査
CloudTrail記録
工場からクラウドへのデータ収集
工場の設備データがクラウドに届くまでの流れを、わかりやすく説明します。
回線方式の比較
ゲートウェイからクラウドへの回線は、お客様の工場環境に合わせて選択できます。
| 回線方式 | 特徴 | 向いているケース | セキュリティ |
|---|---|---|---|
| 有線(光回線等) | 安定・高速・低コスト | 社内LANにインターネット回線がある工場 | MQTT over TLS で暗号化 |
| SIM / LTE | 工事不要・場所を選ばない | インターネット回線がない工場、仮設ライン | MQTT over TLS で暗号化 + 閉域SIM(SORACOM等)も選択可 |
| Wi-Fi | 配線不要 | 有線が引けない場所 | MQTT over TLS で暗号化 + WPA3推奨 |
| AWS Direct Connect | 専用線による閉域接続 | 社内規定で閉域網が必須のお客様 | インターネットを経由しない |
どの回線でも、データは暗号化されています。
ゲートウェイ → クラウド間の通信はMQTT over TLS(銀行のネットバンキングと同等の暗号化方式)で保護されます。回線方式によらず、盗聴や改竄のリスクはありません。
ゲートウェイ → クラウド間の通信はMQTT over TLS(銀行のネットバンキングと同等の暗号化方式)で保護されます。回線方式によらず、盗聴や改竄のリスクはありません。
なぜ安全と言えるのか — 3つのポイント
ポイント 1
ゲートウェイは
工場内に設置
工場内に設置
設備データの収集は工場内で完結。外部から工場LANに入ることはありません
ポイント 2
通信はすべて
暗号化
暗号化
クラウドへの送信はTLS暗号化。銀行のネットバンキングと同じ仕組みです
ポイント 3
データは
読み取り専用
読み取り専用
クラウドからPLCへの逆方向アクセスはありません。設備が外部から操作されることはありません
よくあるご質問
| ご質問 | 回答 |
|---|---|
| インターネット経由で大丈夫ですか? | データはすべて暗号化(TLS 1.2+)されています。銀行のネットバンキングと同じ仕組みです。万が一通信を傍受されても、中身を読むことはできません。 |
| 閉域網じゃないと社内規定が通りません | AWS Direct Connect による閉域接続に対応可能です。また、SORACOM等の閉域SIMを使えば、インターネットを経由せずにAWSに接続できます。 |
| SIMでも使えますか? | はい。産業用SIM(SORACOM等)での接続に対応しています。インターネット回線の工事が不要なため、導入がスムーズです。 |
| PLCがハッキングされませんか? | ゲートウェイはPLCからデータを「読み取る」だけで、PLCへの書き込みは行いません。また、クラウドからPLCへの逆方向アクセスは構造上できません。 |
| データは海外に出ますか? | 出ません。すべてAWS東京リージョン(日本国内のデータセンター)で保存・処理されます。 |
| ブラウザで見るときのセキュリティは? | ログインした方だけが、自社のデータだけを閲覧できます。他社のデータは仕組み上、見ることができません(テナント分離)。 |
| ゲートウェイが壊れたらデータは消えますか? | ゲートウェイにはローカルで最大30日分のデータを保持しています。クラウドに送信済みのデータはAWS上で自動バックアップ(35日間保持)されており、消えることはありません。 |
5データの削除
ユーザー操作による削除
お客様がアプリケーション内でデータを削除した場合、データベースから即座に削除されます。S3に保存されたファイルも削除リクエストに応じて削除されます。
契約終了時のデータ削除
| ステップ | 期間 | 内容 |
|---|---|---|
| 猶予期間 | 契約終了日から30日間 | データエクスポートの依頼が可能 |
| データ削除 | 猶予期間終了後 | テナントデータを完全に削除 |
| バックアップ消去 | 削除後35日 | 自動バックアップからも除去 |
| ログ | 14〜90日後 | アプリログ自動削除(監査ログは7年保持) |
お客様のご要望に応じて、データ削除完了の確認書を発行いたします。
6利用者登録および削除
TMe Products は招待制を採用しています。ユーザーの自己登録はできません。
- 登録方法: 管理者がメールアドレスを指定してユーザーを招待
- 招待フロー: 招待メール → 初回パスワード設定 → MFA設定(推奨)→ 利用開始
- テナント紐付け: 招待時に所属テナントが自動設定され、変更不可
- 削除: 管理者が管理画面から削除。即座にログイン不可
7アクセス権の管理
役割ベースアクセス制御(RBAC)
| 役割 | 権限 | 説明 |
|---|---|---|
| admin | 全機能 + ユーザー管理 | お客様の管理責任者 |
| operator | 通常操作 | 一般ユーザー |
AI SQL実行の制御
- SELECT文のみ許可(データの変更・削除は不可)
- テナントIDによるデータスコープ制限が必須
- 結果行数の上限: 1,000行 / 実行タイムアウト: 30秒
- 専用の読み取り専用データベースロールで実行
8ログイン方法と認証
| 項目 | 内容 |
|---|---|
| 認証方式 | メールアドレス + パスワード |
| MFA | TOTP(認証アプリ)+ Email OTP の2方式対応 |
| SSO | 現時点では未対応(将来的にSAML/OIDC対応を検討) |
| パスワード要件 | 最低8文字、大文字・小文字・数字・記号すべて必須 |
セッション管理
| トークン種別 | 有効期限 |
|---|---|
| アクセストークン | 1時間 |
| リフレッシュトークン | 30日 |
アクセストークンはブラウザのメモリ内で管理され、定期的に自動更新されます。
9マルチテナントデータ分離
テナント間のデータ分離は、PostgreSQL の行レベルセキュリティ(RLS)により強制されます。
| 仕組み | 内容 |
|---|---|
| テナントID | 認証トークンに埋め込まれたUUID(改竄不可) |
| RLS強制 | 全テーブルに行レベルセキュリティを強制適用 |
| フェイルセーフ | テナントID未設定時は 0行 返却(全行漏洩しない) |
自動検証: テナント横断アクセスが発生しないことを、自動テストで全テーブルに対して検証しています。RLSバイパスの試行は即座にアラートが発報されます。
10暗号化
保存データの暗号化(Encryption at Rest)
| 対象 | 暗号化方式 |
|---|---|
| データベース | AES-256(Aurora透過暗号化) |
| オブジェクトストレージ | AES-256(全バケットにSSE-S3を明示設定) |
| バックアップ | 暗号化設定を自動継承 |
| 監査ログ | AES-256(サーバーサイド暗号化) |
通信の暗号化(Encryption in Transit)
| 経路 | 暗号化方式 |
|---|---|
| ブラウザ ↔ サーバー | TLS 1.2+、HSTS有効 |
| サーバー ↔ データベース | SSL強制接続 |
| サーバー ↔ AWSサービス間 | HTTPS |
| IoTデバイス ↔ クラウド | MQTT over TLS |
すべての通信経路で暗号化が強制されており、平文通信は許可されていません。
11アプリケーションセキュリティ
| 脅威 | 対策 |
|---|---|
| SQLインジェクション | パラメタライズドクエリの徹底 |
| XSS | フレームワーク標準の自動エスケープ |
| CSRF | JWT Bearer認証(Cookie非依存)で構造的に防御 |
| クリックジャッキング | X-Frame-Options: DENY + CSP frame-ancestors |
| MIMEスニッフィング | X-Content-Type-Options: nosniff |
12インフラストラクチャセキュリティ
- VPC: 専用VPC内にDB・アプリケーション実行基盤を配置
- プライベートサブネット: DBはインターネットから直接アクセス不可。マルチAZ分散
- セキュリティグループ: DB接続はアプリケーションからの特定ポートのみ
- S3: 全バケットでパブリックアクセス完全遮断。CDN経由のみ
- IaC: 全リソースをTerraformで管理。手動作成禁止。コードレビュー必須
- CI/CD: 短期認証(OIDC)使用。長期認証情報を保持しない
13秘密情報の管理
| 秘密情報 | 管理方法 |
|---|---|
| データベース認証情報 | AWS Secrets Manager(暗号化保存) |
| 外部APIキー | AWS Secrets Manager + テナント別管理 |
| CI/CD認証 | OIDC連携(長期キー不使用) |
ブラウザに到達するAPIキー・シークレットはゼロ。外部API連携はサーバーサイドプロキシ経由のみです。
14バックアップ
| 対象 | 方式 | 保持期間 |
|---|---|---|
| データベース | 自動バックアップ(日次) | 35日間 |
| オブジェクトストレージ | バージョニング有効 | ライフサイクル準拠 |
| 監査ログ | 自動アーカイブ(90日後にGlacier移行) | 7年間 |
復旧目標
| 指標 | 目標値 | 根拠 |
|---|---|---|
| RPO(目標復旧時点) | 5分 | Aurora継続バックアップ |
| RTO(目標復旧時間) | 4時間(営業時間内) | ポイントインタイムリカバリ |
15ログ・監視・監査
| ログ種別 | 保持期間 | 内容 |
|---|---|---|
| API アクセスログ | 14日 | リクエストID、IP、メソッド、ステータス |
| アプリケーションログ | 14日 | 実行ログ |
| AWS 操作監査 | 7年 | 全AWS API呼び出し |
| DB 性能監視 | 7日 | スロークエリ等 |
ログ記録時に認証トークンおよびCookieを自動的にマスクし、機密情報がログに記録されることを防止しています。
自動検知・アラーム
| 検知対象 | 通知 |
|---|---|
| 認証失敗の連続発生(ブルートフォース) | 管理者へ自動通報 |
| 不正アクセス試行 | 管理者へ自動通報 |
| RLSバイパス試行 | 即時アラート |
16脆弱性管理
- AWSマネージドサービス: DBエンジン等はAWSが自動パッチ適用
- 依存パッケージ: 定期的に最新バージョンへ更新
- 自動スキャン: 依存パッケージの脆弱性自動検出
- 第三者診断: 年1回の外部セキュリティ診断を計画
17開発におけるセキュリティ
- すべてのコード変更は Pull Request を通じたレビューが必須
- 自動テスト・静的解析をCI/CDパイプラインで実行(マージ条件)
- ソースコードへの認証情報・シークレットの混入を禁止
18変更管理
リリースプロセス: 機能開発 → コードレビュー → 自動テスト → テスト環境検証 → 本番デプロイ
| 通知種別 | 内容 |
|---|---|
| 計画メンテナンス | 原則72時間前までに通知。ダウンタイムなしのデプロイを推進 |
| 機能追加・仕様変更 | リリースノートの公開 |
| 緊急メンテナンス | 完了後の事後報告 |
19インシデント発生時の対応
| ステップ | 内容 |
|---|---|
| 1. 検知 | 監視アラーム、監査ログ、またはお客様からのご報告 |
| 2. 初動対応 | 影響範囲の特定と被害拡大の防止 |
| 3. 初回通知 | 翌営業日以内を目標 |
| 4. 状況更新 | 対応状況に応じて適宜ご報告 |
| 5. 事後報告 | 収束後に原因と再発防止策をご報告 |
20お客様データの保護及び第三者提供
- お客様のデータにアクセスできるのは、運用上必要な最小限の担当者のみ
- アクセスはすべて個人の認証情報で行われ、監査ログに記録
- お客様のデータを第三者に提供することはありません(法令の場合を除く)
AI機能におけるデータの取扱い
Amazon Bedrock はお客様のデータをモデルのトレーニングに使用しません。推論リクエスト・レスポンスは処理後に保持されません。テナントデータのスコープはRLSにより強制されます。
21適用法令
本サービスの利用に関する契約は日本法に準拠します。
22認証・第三者評価
現時点で第三者認証(ISO 27001、SOC 2等)は未取得です。ただし、インフラ設計および運用プロセスはこれらの認証要件に準拠した水準で構築されています。
| 認証要件 | 対応状況 |
|---|---|
| アクセス制御 | 認証基盤 + RBAC + RLS |
| 暗号化(保存・通信) | AES-256 + TLS 1.2+ |
| 監査証跡 | AWS操作監査ログ(7年保持) |
| バックアップ | 自動バックアップ(35日保持) |
| インシデント対応 | 検知アラーム + 対応フロー定義 |
| 変更管理 | CI/CD + コードレビュー必須 |
23外部クラウドサービスの利用
AWSサービス
| サービス | 用途 | データ所在地 |
|---|---|---|
| Amazon Aurora PostgreSQL | メインデータベース | 東京 |
| Amazon S3 | ファイルストレージ | 東京 |
| Amazon Cognito | ユーザー認証 | 東京 |
| AWS Lambda | アプリケーション実行 | 東京 |
| Amazon API Gateway | API管理・認証 | 東京 |
| Amazon CloudFront | CDN・セキュリティヘッダー | エッジ(永続保存なし) |
| Amazon Bedrock | AI推論 | 東京 |
| AWS IoT SiteWise | 産業IoTデータ収集 | 東京 |
| AWS Secrets Manager | 秘密情報管理 | 東京 |
| Amazon CloudWatch | ログ・監視 | 東京 |
| AWS CloudTrail | AWS操作監査 | 東京 |
| Amazon SES | メール送信 | 東京 |
| Amazon SQS | メッセージキュー | 東京 |
| Amazon SNS | 通知 | 東京 |
外部サービス(AWS以外)
| サービス | 提供元 | 用途 | データ所在地 |
|---|---|---|---|
| EmocoAI バイタルセンサーAPI | 三菱電機株式会社 | 職場環境センサーデータ取得 | 日本 |
| GitHub Actions | GitHub, Inc. | CI/CDパイプライン | 米国(お客様データなし) |
セキュリティに関するよくある質問
データは日本国内に保存されますか?
はい。すべてのデータはAWS東京リージョン(日本国内のデータセンター)に保存・処理されます。海外にデータが出ることはありません。
他社のデータが見えてしまうことはありますか?
ありません。データベースの行レベルセキュリティ(RLS)により、お客様は自社のデータのみアクセスできる仕組みです。
解約後のデータはどうなりますか?
契約終了後30日間はデータエクスポートが可能です。その後、テナントデータを完全に削除し、バックアップからも35日以内に除去されます。
改訂履歴
| バージョン | 日付 | 変更内容 |
|---|---|---|
| 1.0 | 2026-03-09 | 初版発行 |
| 1.1 | 2026-03-12 | 発行元正式名称化、S3暗号化・CORS統一・CSP修正の反映 |
| 1.2 | 2026-03-16 | HTML版公開。通信経路・IoTデータ収集・回線方式比較・FAQ追加 |