情報セキュリティへの取り組み
最終更新日:2026年4月20日
🔐通信・データ保護
HTTPS / TLS による通信暗号化
サイト全体で HTTPS 通信を強制し、最新の TLS プロトコルで通信内容を暗号化しています。
- HTTP → HTTPS 自動リダイレクト
- HSTS(HTTP Strict Transport Security)を設定
- Let's Encrypt による SSL 証明書を利用
パスワードのセキュアな保管
パスワードは平文で保存せず、bcrypt ハッシュ関数(PHP password_hash)によりハッシュ化して保管します。
決済情報の非保持
プレミアム会員・模擬試験の決済は Stripe を経由して処理され、クレジットカード番号等の決済情報は当社サーバーに保存されません。
🛡️Web セキュリティヘッダー
セキュリティ HTTP ヘッダーの設定
クリックジャッキング・XSS・コンテンツスニッフィング等の攻撃を防ぐヘッダーを設定しています。
- X-Frame-Options: SAMEORIGIN(クリックジャッキング防止)
- X-Content-Type-Options: nosniff(MIME スニッフィング防止)
- X-XSS-Protection: 1; mode=block
- Referrer-Policy: strict-origin-when-cross-origin
⚡アクセス制御
機密ディレクトリへの直接アクセス遮断
config / data / sql / includes / api 等の非公開ディレクトリへの直接 HTTP アクセスを .htaccess で拒否しています。
- 設定ファイル(DB認証情報・API キー)の公開遮断
- データディレクトリ(JSON・SQL)への直接アクセス禁止
- 認証が必要なページは session 検証で保護
セッション管理の安全化
セッション Cookie に HttpOnly / Secure / SameSite=Lax 属性を付与し、CSRF・XSS 経由のセッション窃取を防ぎます。
CSRF 対策
すべての POST フォームに CSRF トークンを埋め込み、リクエストの正当性を検証しています。
🔍入力検証・脆弱性対策
SQL インジェクション対策
データベースへの問い合わせはすべて PDO のプリペアドステートメントで実行し、SQL インジェクションを根本的に防いでいます。
XSS 対策(出力エスケープ)
ユーザー入力を HTML 出力する際は、共通関数 h() で htmlspecialchars エスケープを徹底しています。
入力値のバリデーション
フォーム入力はサーバー側で長さ・形式を検証し、想定外のデータ混入を防ぎます。
- 名前:2〜50文字
- メール:形式チェック+重複チェック
- パスワード:最低 8 文字
👤アカウントセキュリティ
管理者権限の分離
管理画面(/admin)にアクセスできるのは役割 admin のユーザーのみで、すべての管理画面で requireAdmin() チェックを実施しています。
権限昇格の監査ログ
ユーザーへの管理権限付与・テストプレミアム付与等の操作は、act_admin_logs テーブルに記録し追跡可能としています。
📋運用・バックアップ
サーバーの自動バックアップ
ホスティングサーバー(エックスサーバー)の標準バックアップ機能により、データベース・ファイルの定期自動バックアップが行われています。
依存ライブラリの更新
Composer で管理している外部ライブラリ(Stripe SDK 等)は定期的にアップデートし、既知の脆弱性への対応を行っています。
セキュリティに関するご連絡
本サイトのセキュリティに関する脆弱性を発見された場合や、セキュリティに関するご質問・ご懸念がある場合は、 お問い合わせフォーム または info@iaer.online までご連絡ください。
なお、本サイトは一般向けの学習情報提供サービスです。金融機関・特定事業者向けの法的規制(FISC 安全対策基準等)の適用対象ではありません。 個人情報保護法・不正アクセス禁止法に基づき適切に運営しています。