セキュリティ対策

Forward Email では、セキュリティを最優先に考えています。当社は、お客様の電子メール通信と個人データを保護するために、包括的なセキュリティ対策を実施しています。このドキュメントでは、当社のセキュリティ対策と、お客様の電子メールの機密性、整合性、可用性を確保するために当社が講じている手順について説明します。

安全なデータセンター

当社のインフラストラクチャは、SOC 2 準拠のデータ センターでホストされており、次の特徴を備えています。

• 24時間365日の物理的なセキュリティと監視
• 生体認証アクセス制御
• 冗長電源システム
• 高度な火災検知と消火
• 環境モニタリング

ネットワークセキュリティ

当社では、複数層のネットワーク セキュリティを実装しています。

• 厳格なアクセス制御リストを備えたエンタープライズグレードのファイアウォール
• DDoS 防御と緩和
• 定期的なネットワーク脆弱性スキャン
• 侵入検知および防止システム
• すべてのサービスエンドポイント間のトラフィック暗号化
• 疑わしいアクティビティを自動的にブロックするポートスキャン保護

[!重要] 転送中のすべてのデータは、最新の暗号スイートを使用した TLS 1.2+ を使用して暗号化されます。

暗号化

• トランスポート層セキュリティ (TLS): すべてのメールトラフィックは、TLS 1.2以上を使用して転送中に暗号化されます
• エンドツーエンドの暗号化: OpenPGP/MIMEおよびS/MIME標準のサポート
• ストレージ暗号化: 保存されているすべてのメールは、SQLite ファイル内の ChaCha20-Poly1305 暗号化を使用して暗号化されます。
• フルディスク暗号化: ディスク全体のLUKS v2暗号化
• 包括的な保護: 保存時の暗号化、メモリ内の暗号化、転送中の暗号化を実装しています

[!NOTE] 当社は、量子耐性があり個別に暗号化された SQLite メールボックスを使用する世界初かつ唯一のメール サービスです。

認証と承認

• DKIM署名: 送信メールはすべてDKIMで署名されています
• SPF と DMARC: メールのなりすましを防ぐための SPF と DMARC の完全サポート
• MTA-STS: TLS暗号化を強制するMTA-STSのサポート
• 多要素認証: すべてのアカウントアクセスで利用可能

不正使用防止対策

• スパムフィルタリング: 機械学習による多層スパム検出
• ウイルススキャン: すべての添付ファイルをリアルタイムでスキャン
• レート制限: ブルートフォース攻撃と列挙攻撃に対する保護
• IPレピュテーション: 送信IPレピュテーションの監視
• コンテンツフィルタリング: 悪意のあるURLとフィッシング攻撃の検出

データの最小化

当社はデータ最小化の原則に従います。

• 当社はサービスを提供するために必要なデータのみを収集します
• 電子メールの内容はメモリ内で処理され、IMAP/POP3 配信に必要な場合を除き永続的に保存されません。
• ログは匿名化され、必要な期間のみ保持されます

バックアップとリカバリ

• 暗号化による毎日の自動バックアップ
• 地理的に分散されたバックアップストレージ
• 定期的なバックアップ復元テスト
• RPO と RTO が定義された災害復旧手順

当社は、サービス プロバイダーを慎重に選定し、高いセキュリティ基準を満たしていることを確認しています。以下は、国際データ転送に使用するプロバイダーと、その GDPR 準拠状況です。

当社は、国際的なデータ保護規制に準拠しながら、信頼性が高く安全なサービスの提供を保証するために、これらのプロバイダーを利用しています。すべてのデータ転送は、お客様の個人情報を保護するために適切な安全対策を講じて行われます。

定期的なセキュリティ評価

当社のチームは、コードベース、サーバー、インフラストラクチャ、プラクティスを定期的に監視、レビュー、評価しています。当社は、以下を含む包括的なセキュリティ プログラムを実施しています。

• SSHキーの定期的なローテーション
• アクセスログの継続的な監視
• 自動セキュリティスキャン
• 積極的な脆弱性管理
• チームメンバー全員に対する定期的なセキュリティトレーニング

コンプライアンス

• GDPR 準拠したデータ処理方法
• データ処理契約（DPA） 法人のお客様にもご利用いただけます
• CCPA準拠のプライバシー管理
• SOC 2 タイプ II 監査プロセス

当社のセキュリティ インシデント対応計画には以下が含まれます。

1. 検出: 自動監視および警告システム
2. 封じ込め: 影響を受けたシステムの即時隔離
3. 根絶: 脅威の除去と根本原因の分析
4. 回復: サービスの安全な復旧
5. 通知: 影響を受けるユーザーとのタイムリーなコミュニケーション
6. 事後分析: 包括的な見直しと改善

[!警告] セキュリティ上の脆弱性を発見した場合は、直ちに security@forwardemail.net.

flowchart LR
    A[Requirements] --> B[Design]
    B --> C[Implementation]
    C --> D[Verification]
    D --> E[Release]
    E --> F[Maintenance]
    F --> A
    B -.-> G[Threat Modeling]
    C -.-> H[Static Analysis]
    D -.-> I[Security Testing]
    E -.-> J[Final Security Review]
    F -.-> K[Vulnerability Management]

すべてのコードは以下を経ます:

• セキュリティ要件の収集
• 設計中の脅威モデリング
• 安全なコーディングの実践
• 静的および動的アプリケーションセキュリティテスト
• セキュリティを重視したコードレビュー
• 依存関係の脆弱性スキャン

私たちの Ansible の設定 多数のサーバー強化対策を実施します。

• USBアクセスが無効: usb-storageカーネルモジュールをブラックリストに登録することで物理ポートが無効になります
• ファイアウォールルール: 必要な接続のみを許可する厳格なiptablesルール
• SSH 強化: キーベースの認証のみ、パスワードログインなし、ルートログイン無効
• サービスの分離: 各サービスは最小限の権限で実行されます
• 自動更新: セキュリティパッチは自動的に適用されます
• セキュアブート: 改ざんを防止するための検証済みブートプロセス
• カーネルの強化: カーネルパラメータとsysctl設定をセキュアにする
• ファイルシステムの制限: 適切な場合は noexec、nosuid、nodev マウント オプション
• コアダンプが無効: セキュリティ上の理由からコアダンプを防止するように構成されたシステム
• スワップ無効: データ漏洩を防ぐためスワップメモリを無効にしました
• ポートスキャン保護: ポートスキャン試行の自動検出とブロック
• 透過的な巨大ページが無効: パフォーマンスとセキュリティの向上のため、THP は無効になっています
• システムサービスの強化: Apportなどの必須ではないサービスは無効になっています
• ユーザー管理: デプロイとDevOpsユーザーを分けた最小権限の原則
• ファイル記述子の制限: パフォーマンスとセキュリティを向上させるために制限を引き上げました

当社は、高いレベルのサービス可用性と信頼性を維持しています。当社のインフラストラクチャは冗長性と耐障害性を考慮して設計されており、お客様の電子メール サービスの運用が確実に継続されます。当社は正式な SLA 文書を公開していませんが、次のことに取り組んでいます。

• すべてのサービスで99.9%以上の稼働率
• サービス中断への迅速な対応
• インシデント発生時の透明なコミュニケーション
• 交通量の少ない時間帯の定期メンテナンス

として オープンソースサービス、当社のセキュリティは次のメリットを受けています:

• 誰でも監査できる透明なコード
• コミュニティ主導のセキュリティ改善
• 脆弱性の迅速な特定と修正
• 隠蔽によるセキュリティの欠如

• 全従業員の身元調査
• セキュリティ意識向上トレーニング
• 最小権限アクセスの原則
• 定期的なセキュリティ教育

当社は以下の方法でセキュリティ体制を継続的に改善しています。

• セキュリティの傾向と新たな脅威の監視
• セキュリティポリシーの定期的なレビューと更新
• セキュリティ研究者とユーザーからのフィードバック
• セキュリティコミュニティへの参加

当社のセキュリティ対策に関する詳細情報やセキュリティ上の懸念事項を報告する場合は、 security@forwardemail.net.

• 個人情報保護方針
• 利用規約
• GDPRコンプライアンス
• データ処理契約（DPA）
• 不正行為を報告する
• セキュリティポリシー
• Security.txt
• GitHub リポジトリ
• FAQ