セキュリティポリシー

本ドキュメントは、Wanderlust が三菱ケミカルエンジニアリング株式会社（以下「お客様」）向けに提供する 「VectorScope™ AI Agent」（以下「本サービス」）のセキュリティ仕様、データ保護方針、 および運用上の安全管理措置を説明するものです。

本サービスは検証・ブラッシュアップフェーズで運用されます。記載内容は現行構成を反映しており、 本番 SaaS 化に伴い更新される場合があります。

本ポリシーは、以下を対象とします。

• 本サービスの Web フロントエンド（Next.js）
• バックエンド API（FastAPI）および分析 Worker
• 本サービスが利用する AWS 上のインフラストラクチャ
• 外部 LLM API（OpenAI API）との連携部分

本サービスは Amazon Web Services（AWS）東京リージョン（ap-northeast-1）上で稼働します。

• ネットワーク: VPC 内に Public / Private サブネットを分離。アプリケーションおよび DB は Private サブネットに配置
• 入口: Application Load Balancer（ALB）経由で HTTPS（TLS）通信のみ受付
• コンピュート: Amazon ECS（Fargate）上のコンテナ（Frontend / API / Worker）
• データベース: Amazon RDS for PostgreSQL（Multi-AZ 構成を想定）
• ファイルストレージ: Amazon S3（アップロード CSV および分析中間ファイル）
• 非同期処理: Amazon SQS（Auto Analysis 等のジョブキュー）

4.1 ユーザー認証
本サービスへのアクセスは、発行されたアカウント（メールアドレス・パスワード）によるログイン認証を必要とします。 認証状態は HTTP-only Cookie により管理し、未認証ユーザーはアプリケーション画面へアクセスできません。

4.2 権限管理
検証フェーズでは、利用者アカウントを検証担当者に限定して発行します。 AWS リソースへのアクセスは IAM により最小権限の原則で制御します。

4.3 管理操作
インフラ変更、シークレット参照、本番データへの直接アクセスは、当社の限定された担当者のみが行います。

5.1 通信の暗号化
利用者と本サービス間の通信は TLS 1.2 以上（HTTPS）で暗号化します。 証明書は AWS Certificate Manager（ACM）により管理します。

5.2 保存時の暗号化
RDS および S3 に保存されるデータは、AWS 標準の保存時暗号化（AES-256 等）を利用します。

5.3 シークレット管理
データベース接続文字列、OpenAI API キー等の機密情報は AWS Secrets Manager に格納し、 アプリケーションコードやリポジトリへの平文保存を行いません。

セキュリティグループおよびサブネット設計により、以下を実施します。

• インターネットから DB への直接アクセスを遮断
• ALB からアプリケーションコンテナへのみ必要ポートを許可
• Worker / API から RDS、SQS、S3 への outbound を必要最小限に制限
• 外部 API（OpenAI 等）への outbound は NAT Gateway 経由に限定

7.1 保存データ
お客様がアップロードした CSV、分析結果メタデータ、チャット履歴、分析ログ等を保存します。 データはお客様の検証プロジェクト単位で論理的に分離して管理します。

7.2 外部 LLM API への送信
AI による説明生成・エージェント制御のため、必要最小限のデータ（分析パラメータ、統計サマリ、 チャットメッセージ等）を OpenAI API に送信します。生 CSV 全体を不必要に送信しない設計を基本とします。

7.3 学習利用の非該当
OpenAI API 利用において、API 経由で送信されたデータが OpenAI 社のモデル学習に利用されない 契約条件・設定で運用します。当社独自の AI モデル学習にも利用しません。

7.4 当社によるアクセス
当社がお客様データにアクセスする場合は、不具合調査・検証支援・セキュリティ対応等の正当な目的に限り、 お客様の許可のもと共同で利用・解析する検証フェーズのスタンスに従います。

本サービス上のデータは、お客様と当社間の秘密保持契約（NDA）およびクラウドサービス利用届出シートの 秘密保持条項の対象とします。当社担当者は必要最小限のメンバーに限定し、 個人端末への不必要なダウンロード・持ち出しを禁止します。

以下のログおよび監視を実施します。

• Amazon CloudWatch Logs: アプリケーションおよびコンテナログ
• CloudWatch Metrics / Alarms: リソース異常、エラー率等の監視
• ALB アクセスログ（設定時）: 不正アクセス検知の補助

ログには個人情報またはお客様の機密データを不必要に記録しないよう設計します。 ログの保持期間は運用要件に応じて設定し、期限経過後は削除または匿名化します。

当社は以下の措置を講じます。

• コンテナベースイメージおよび依存ライブラリの定期更新
• AWS および主要 OSS のセキュリティアドバイザリの確認
• 検証環境におけるアクセス経路の限定

重大な脆弱性が判明した場合、影響範囲を評価のうえ、パッチ適用または一時的なサービス停止等の対応を行い、 必要に応じてお客様へ報告します。

データ漏えい、不正アクセス、サービス妨害等のセキュリティインシデントが発生した場合、 当社は速やかに原因調査および影響範囲の特定を行い、NDA および関連契約に基づきお客様へ報告します。

初動対応の目安:

• 影響を受けるアカウント・データ範囲の特定
• 侵害経路の遮断（アクセス停止、キーローテーション等）
• 再発防止策の実施

検証データの保持期間および検証終了後の削除・返却方法は、お客様との合意および委託契約に従います。 お客様から削除依頼があった場合、合理的な期間内に S3 オブジェクト、DB レコード、関連バックアップを削除します （法令上保持が必要なログ等を除く）。

本ドキュメントは、クラウドサービス利用届出シートに記載の秘密保持、データ取扱い、 外部委託に関する確認事項を補足する公開可能なセキュリティ仕様です。 届出シート個別条項と本ポリシーが異なる場合、締結済み契約・届出内容が優先します。

インフラ構成の変更、検証から本番 SaaS への移行、法令対応等により、本ポリシーを更新することがあります。 重要な変更はページ上の「最終更新日」を更新し、可能な範囲でお客様へ通知します。

セキュリティに関する質問、データ取扱いの確認、インシデント報告は、 お客様プロジェクト担当者または当社 VectorScope™ プロジェクト窓口までご連絡ください。

当社: Wanderlust
連絡先: project@wander-lust.io