SECURITY REPORT セキュリティレポート

1. 本文書の目的と対象範囲

本書は、2026年3月時点における AKCELI の情報セキュリティに関する取り組み、および情報セキュリティの観点からお客様にご留意いただきたい事項について説明することを目的としています。

本書は、AKCELI の導入を検討される企業の 情報システム部門、法務部門、監査部門 のご担当者様が、セキュリティ評価を行う際の参考資料として作成しています。

  • 対象サービス:AKCELI(生成AI活用 事業化・用途探索支援サービス)
  • 提供事業者:ナインシグマ・ホールディングス

2. AKCELI とは

AKCELI は、お客様が保有する技術・研究成果・商材情報を基に、生成AIを活用して 新規用途、市場機会、事業アイデアの探索および整理 を支援するクラウドサービスです。

入力された情報をもとに、事業仮説の整理、用途アイデアの構造化、関連市場・企業の示唆などを行い、事業検討の初期フェーズを効率化します。本サービスはセキュアなクラウド環境で運用され、導入後は専門チームによる活用支援も提供しています。

3. AKCELI のセキュリティへの取り組み

3.1 サービス概要と提供基盤

主要技術基盤
AKCELI は Amazon Web Services(AWS)の 東京リージョン を利用して提供しています。

3.2 物理的・ネットワークセキュリティ

データセンターセキュリティ
AWS が提供する世界最高水準の物理的・技術的セキュリティ対策に準拠しています。
24時間365日の物理監視、入退室管理、冗長化された電源・冷却設備などが実装されています。

ネットワークセキュリティ
利用者とサービス間の通信は HTTPS を採用し、TLS 1.3(AES-256)による暗号化通信を行っています。

また、以下の対策を実装しています。

  • IDS / IPS による不正侵入検知・防御
  • WAF による脆弱性攻撃対策
  • DoS / DDoS 攻撃対策(検知・遮断、冗長構成)

3.3 認証とアクセス制御

ユーザー認証
ID・パスワードによる認証を採用しています。
パスワードは以下の要件を満たす必要があります。

  • 8文字以上
  • 英大文字・英小文字・数字を各1文字以上含む

パスワードは bcryptによりハッシュ化して保存しています。
一定回数の認証失敗時にはアカウントロックを行い、パスワードリセット機能に対応しています。多要素認証(MFA)に対応しており、全ユーザーに対して有効化を推奨しています。管理者設定により、組織単位でのMFA必須化も可能です。

特権アカウント管理
運用担当者向けに特権アカウントを設け、アクセスログを取得・管理しています。特権アカウントについては、最小権限の原則に基づく権限付与を行い、定期的なアカウント棚卸しを実施しています。

3.4 データ管理と保護

データ管理
利用者が出力したデータは AWS 東京リージョン上のデータベースに保存されます。
第三者への提供は行いません。管理者設定により、同一法人内でのデータ共有が可能です。

バックアップ
AWS RDS のスナップショット機能を利用し、日次でバックアップを取得し、7世代分を保管しています。
バックアップデータは暗号化され、復元手順も整備しています。

データ保持・削除

  • 利用データの保持期間:5年間
  • アクセスログ・操作ログ:12か月間
  • •契約終了時のデータ削除:契約終了後60日以内に利用者データを削除します。

3.5 AI セキュリティ対策

利用AIモデル
(随時更新をして基本的に最新モデルを用いております)

  • OpenAI:GPT系モデル
  • Google:Gemini 系モデル
  • Perplexity 系モデル

AIプロバイダーとの契約形態(AIの再学習対策)

各AIプロバイダーとは Enterprise API 契約(またはビジネス向けAPI契約)を締結しており、利用者データがAIモデルの学習に使用されない契約条件を確保しています。

プロンプトインジェクション・ハルシネーション対策
最新モデルの利用、入出力制御、プロンプト設計の最適化によりリスク低減を図っています。

3.6 脆弱性管理とシステム運用

  • 定期的なアプリケーションアップデート
  • セキュリティパッチの適用
  • 年1回の第三者機関による脆弱性診断(予定)
  • 開発環境と本番環境の完全分離

3.7 インシデント対応体制

インシデント分類

  • データ漏洩
  • 不正侵入
  • サービス停止
  • マルウェア感染
  • 不正アクティビティ
  • 物理的侵入

対応目標

  • 障害通知:検知後 60 分以内
  • 目標復旧時間(RTO):24 時間以内
  • 目標復旧地点(RPO):24 時間以内(日次バックアップに準拠)

3.8 第三者認証の取得状況

  • JIS Q 27017(ISMSクラウド)、ISO/IEC 27018、CSA STAR 等の 第三者認証は現時点で取得していません
  • 将来的な取得は検討していますが、現時点で具体的な取得スケジュールは未定です。
  • なお、当社では社内規程・運用手順に基づき、組織的・人的・技術的な対策を講じています(以下参照)。

3.9 組織的・人的セキュリティ対策

  • 情報セキュリティに関する社内ポリシー/規程類を整備しています(例:情報セキュリティ規程)。
  • 管理者によるID管理、アクセス権限管理、バックアップ等の運用については、社内で定めた運用手順書に基づき実施しており、ログ取得および定期的な確認を行っています。
  • セキュリティインシデント発生時の対応体制・対応手順を定めています。
  • 教育については、運用担当者に限らず 全社向けに年2~3回程度のセキュリティ教育を実施しています。

3.10 個人情報保護への対応

当社は、個人情報の保護に関する法律(個人情報保護法)を遵守し、適切な個人情報の取り扱いを行っています。

  • プライバシーポリシーを策定・公表しています。
  • 個人情報の取得・利用・提供は、法令および社内規程に基づき適正に行っています。
  • AKCELI サービスにおいては、利用者の入力データに個人情報が含まれる場合、お客様の責任において匿名化・マスキング等の措置を講じていただくことを推奨しています。

4. 可用性・信頼性・性能

  • サービス稼働率:99% なお、本値はSLAとしての保証値ではなく、運用上の目標値です。
  • サービス提供時間:24時間365日
  • 計画停止通知:実施7日前までにメールで通知
  • 冗長化:データベースの日次バックアップおよび複数環境への分散
  • ログ取得:アクセスログ、操作ログ、エラーログを収集
  • 障害対応:モニタリングによる検知後、運用手順に基づき対応
  • 障害時の復旧目標:暫定復旧24時間以内(RTO準拠)、完全復旧3営業日以内

ナインシグマ・ホールディングス
本文書に関するお問い合わせ
akceli-info@ninesigma.com