なぜ、当社のサイトは
セキュアに運用されるのか。

当社はWordPressをはじめとするCMSを使用しません。

WordPress関連の脆弱性（プラグインのゼロデイ・管理画面への不正アクセス・XMLRPCを悪用したブルートフォース攻撃など）は、WordPressが動作していることが前提です。CMSを使わない構成では、これらの脆弱性クラスは丸ごと存在しません。

世界のCMSハッキングの90%以上はWordPressを標的としたものです（Sucuri 2023レポート）。この数字が示すように、CMSを使わないことそのものが強力なセキュリティ施策になります。

全通信をHTTPS化します。HTTPのみのアクセスは自動的にHTTPSへリダイレクトされ、HTTP経由でのコンテンツ取得は不可能です。

SSL/TLS証明書はCloudflareが自動発行・自動更新を行います。証明書の期限切れによるリスクは発生しません。対応プロトコルはTLS 1.2・TLS 1.3で、旧来の脆弱なSSLv3・TLS 1.0・TLS 1.1は無効です。

Cloudflareのグローバルネットワーク（世界200拠点以上、帯域幅248Tbps超）が標準でDDoS防御を提供します。

L3/L4層（大容量パケット洪水）とL7層（アプリケーション層）の両方を自動検知・自動遮断します。Cloudflareが公表している実績では、過去最大規模のDDoS攻撃（3.8Tbps）を軽減しています。

インフラを提供するCloudflareは以下の認証・準拠を取得しています。

SOC 2 Type II ／ ISO 27001 ／ ISO 27701 ／ GDPR ／ PCI DSS Level 1 ／ FedRAMP認定

当社はこれらの認証済みインフラの上でサービスを提供します。認証書類のご提供が必要な場合はCloudflareの公式ページをご案内します。

サイトのHTMLファイル自体には個人情報は含まれません。

お問い合わせフォームからの送信データは、クラウドサーバー（Railway／AWS等）に送信・保管されます。このサーバーはインターネットに公開されておらず、正規の認証経路を持つシステムからのみアクセスが可能です。

セキュリティ要件が厳しいお客様には、Google FormやMicrosoft Formsなど既に貴社で承認済みのSaaSツールをフォームとして採用する構成も可能です。その場合、当社のサーバーには一切データが保存されません。

すべての変更はデプロイ単位でCloudflare Pagesに記録されます。デプロイ履歴は保持され続けるため、任意の時点の状態に復元できます。

また当社では、クライアントサイトへの変更作業を行う前に必ず手動スナップショットを取得しています。万一、変更後に問題が発生した場合も、変更前の断面への切り戻し（ロールバック）が可能です。

サイトへのすべての変更は、APIトークンで認証されたデプロイパイプラインを経由します。FTPによる直接ファイル編集・パスワード共有による共同作業は行いません。

変更の流れ：お客様からの依頼受付 → 内容確認 → 変更前スナップショット取得 → 変更作業 → テスト確認 → 本番デプロイ → 反映確認 → 完了報告。このフローをスキップして本番に変更を加えることはありません。

Cloudflare PagesはSLA 99.9%以上の稼働率を保証しています。世界200拠点以上のエッジから配信されるため、単一拠点の障害がサービス停止に直結することがありません。

当社の保守契約にはCloudflareのステータス監視が含まれており、大規模障害が発生した場合はお客様へ速やかにご連絡します。

Cloudflareが取得している各種認証（SOC 2 Type II報告書・ISO 27001証明書・GDPR準拠確認書など）は、Cloudflareの公式信頼センター（trust-hub）から入手できます。

社内の情報セキュリティ審査・ベンダー評価が必要な場合は、当社からCloudflareの公式リソースをご案内するとともに、当社の運用体制に関する説明資料を個別にご用意します。お気軽にご相談ください。