本ドキュメントは、お客様のCISOおよびCSOの皆様がOKAXIを評価される際にお寄せいただく深い技術的質問をまとめたものです。回答は国際基準を直接参照し、現行の本番運用実践を反映しています。
At-restデータはFIPS 197標準のAES-256で暗号化されます。暗号化は3層で適用されます。第一層はクラウドプロバイダーのネイティブディスク暗号化 (LUKSまたはAWS EBS暗号化) 。第二層はPostgreSQLおよびMongoDB上のデータベースTDE (Transparent Data Encryption) 。第三層はパスワードハッシュ、PII、契約金額などの機密データ向けエンベロープキーによるフィールドレベル暗号化です。
クライアントからパブリックエンドポイントへのすべての接続は、デフォルトでForward Secrecy対応のTLS 1.3で行われます。TLS 1.2は特定のレガシークライアントのみ受け入れ、TLS 1.0または1.1は決して受け入れません。Cipher suiteホワイトリストはAES-256-GCMおよびChaCha20-Poly1305を含みます。内部service-to-serviceトラフィックは、サービスメッシュ (IstioまたはLinkerd) 経由でmTLSを使用し、証明書は24時間ごとに自動ローテーションされます。
OKAXIは環境ごとに専用KMSを使用します (production、staging、development) 。マスターキーはHSM (AWS CloudHSM、Azure Key Vault Premium、またはオンプレミスThales Luna) 内に存在します。データ暗号化キー (DEK) はランタイムで生成され、マスターキーでラップされ、プロセスメモリ内でのみアンラップされます。キーローテーションは90日ごとに自動実行されます。旧キーはdecrypt-only操作のため1年間保持されます。
はい。エンタープライズのお客様は独自のHSM (Thales、Entrust、またはAWS CloudHSMクラスター) を持ち込み、セキュアチャネル経由でマスターキーを提供します。OKAXIはKMS API経由のwrap/unwrap操作のみ呼び出し、raw key materialには決して触れません。お客様はいつでもキーを失効可能です。失効後、OKAXIはデータを復号できなくなります。本ポリシーは厳格なデータ主権要件を持つお客様に適合します。
OKAXIは検索が必要なフィールド (email、tax_id) にdeterministic暗号化を、読み書きのみのフィールド (salary、contract_value) にrandomized暗号化を適用します。Deterministic暗号化は同じplaintextから同じciphertextを生成し、ciphertext上でのequality検索を可能にします。Randomized暗号化は毎回異なるciphertextを生成し、より強力な保護を提供しますが検索はできません。パターン選定は脅威モデルレビュー後に判断します。
OKAXIは顧客契約に応じて3つの分離パターンを提供します。Pattern A はlogical isolation: 共有インフラ、共有データベース、各テナントは全行にtenant_idを持ち、row-level securityポリシーで分離します。Pattern B はdatabase-per-tenant: 共有コンピュート、分離データベース。コストは増加しますが分離強度も増加します。Pattern C はdedicated infrastructure: 契約ごとに専用VPC、専用Kubernetesクラスター、専用ハードウェア。Pattern Cは銀行、医療、政府機関のお客様に適合します。
4層の防御を適用します。第一に、データベースクエリ層がtenant_idフィルタを必須化します。ライブラリがすべてのクエリに自動injectし、bypassには監査ログ付きの明示的overrideが必要です。第二に、API gatewayがJWTからtenant_idを抽出し、不一致リクエストを拒否します。第三に、キャッシュキーはtenant_idでプレフィックス化され、キャッシュスロットは決して共有されません。第四に、バックグラウンドジョブはmessage metadataにtenant_idをタグ付けし、コンシューマーはクロステナントジョブを拒否します。
OKAXIはPattern Cテナントごとに専用VPCを使用します。各VPCはサブネットをpublic (ロードバランサー) 、private app (ワークロード) 、private data (データベース、キャッシュ) に分割します。Security groupでサブネット間のトラフィックを明示的にホワイトリスト化します。Private subnetにpublic IPは存在しません。EgressはFQDNホワイトリスト付きNAT gateway経由で行います。VPC間トラフィックはVPC peeringで明示的ルートのみ許可し、default route bridgingは行いません。
OKAXIは本番インスタンスへの直接SSHを許可しません。すべてのアクセスはbastion host経由で行い、2つの要素を要求します: HashiCorp Vaultが発行する短期SSHキー (4時間) およびOTP (2FA) 。セッションはasciinemaで完全に記録され、SIEMへストリームされます。Sudo昇格は、別エンジニアからのchat-opsボット承認が必要です。本番アクセスログは7年間監査ストレージに保管されます。
OKAXIは3層でゼロトラストを適用します。Identity層: すべてのサービスはSPIFFE IDを持つmTLSで認証し、IPベースの信頼を排除します。Authorisation層: すべてのリクエスト判断は中央ポリシーエンジン (OPA) を通過し、信頼されたネットワークを前提としません。Data層: VPC内であっても通過ネットワークを信頼せず、サービス間のエンドツーエンド暗号化を行います。週次の監査ログレビューで継続的検証を実施します。
OKAXIはエッジでマネージドWAF (AWS WAFまたはCloudflare WAF) 、Ingress層でインラインWAF (ModSecurityおよびOWASP CRS) を併用します。ルールセットはOWASP Top 10対応 (SQLインジェクション、XSS、RCE) 、IP単位のレートリミット、国別ジオブロック、ビジネスロジック乱用向けカスタムルールを含みます。お客様はadminコンソール経由で環境ごとにルールを有効化または無効化可能です。本番トラフィックでの偽陽性率は0.1パーセント未満を維持しています。
OKAXIは3層のDDoS対策を運用します。第一層はDNSレベル、CloudflareまたはAWS Shield Advancedで毎秒テラバイト規模のalways-on吸収容量を提供します。第二層はエッジレベルのIP単位およびASN単位レートリミット。第三層はアプリケーションレベルのサーキットブレーカーで、エラーレートバースト時に自動遮断します。Anycast IPルーティングがトラフィックをグローバルに吸収します。
OKAXIは定常的に4層のスキャンを実行します。SAST (Snyk、SonarQube) はすべてのpull requestおよびcommitで実行。コンテナスキャンはTrivyまたはAquaで全イメージビルド時に実行。DAST (OWASP ZAP、Burp Suite) はステージング環境で毎晩実行。Infrastructureスキャン (TenableまたはQualys) は本番で毎週実行。Critical CVEは24時間以内、High CVEは7日以内、Mediumは30日以内にパッチを適用します。
OKAXIはCVEフィード (NVD、ベンダーアドバイザリ) を24時間365日監視するon-callセキュリティチームを保有します。ゼロデイ公開時、チームは2時間以内に影響評価を行います。影響がある場合、ホットパッチまたはワークアラウンド (一時WAFルール、コンポーネント無効化のfeature flag) を8時間以内にデプロイします。ベンダーパッチはテスト後24から48時間以内に適用します。影響を受けるお客様への連絡はメールおよびin-appバナー経由で行います。
OKAXIはNIST SP 800-61に準拠したインシデント対応プレイブックを保有します。6フェーズ: prepare、identify、contain、eradicate、recover、post-mortem。Severity 1 (データ侵害確認) は15分以内にエスカレーション、war room起動、専用コミュニケーションチャネルを開設します。顧客通知はGDPRの72時間以内ルールに従います。社内post-mortemは14日以内に完了し、root cause分析およびアクションアイテムを生成します。Lessons learnedはトレーニングおよびプレイブック更新へ反映されます。
OKAXIは3層バックアップ戦略を運用します。Tier 1 (データベース) : 継続WAL streaming、point-in-time recovery、RPO 1分、RTO 30分。Tier 2 (アプリケーション状態) : 日次snapshot、クロスリージョンレプリケーション、RPO 24時間、RTO 4時間。Tier 3 (Cold archive) : 月次snapshotをGlacierまたはColdlineに保管、RPO 30日、RTO 24時間。バックアップは本番VPCを離れる前にAES-256で暗号化されます。
OKAXIはエンタープライズのお客様にマルチリージョンactive-standbyを展開します。Primaryリージョン (シンガポール) からDRリージョン (東京) へ、データベースレプリケーションおよびKafkaクロスクラスタミラーリングでデータをレプリケートします。FailoverはRTO 1時間、ホットデータのRPO 5分。Failoverは、primaryリージョンが複数回連続でヘルスチェック失敗時に自動runbookで起動されます。年次DR演習で全トラフィックをDRリージョンへ切替し、手順を検証します。
はい。OKAXIは3レベルのリストアドリルを実行します。Daily: ランダムなデータベースに対する自動PIT recoveryテスト、整合性検証、人手不要。Monthly: 隔離環境への完全バックアップリストア、アプリケーションスタックを正常起動、smoke testを通過。Quarterly: クロスリージョンDRドリル、トラフィック切替、本番相当負荷を2時間実行後切戻し。すべてのドリル結果はコンプライアンスレポートに記載されます。
OKAXIはGDPR第33-34条に準じた72時間以内通知をコミットします。侵害確認時、3つのワークストリームが並行進行します。第一に、社内封じ込めおよび調査。第二に、影響および通知要件の法務およびコンプライアンスレビュー (顧客リージョンに応じてGDPR、ベトナムPDPA、CCPA) 。第三に、指定担当者経由でお客様へ通知し、影響評価範囲、修復ステップ、証拠保全を伝達します。公開開示は重大度および規制要件次第です。
