セキュリティ・脆弱性対応方針

基本方針

BankcodeJP APIは、クラウド上で運用するマルチテナント型のAPIサービスです。

当サービスが管理するアプリケーション、ミドルウェア、ランタイム、依存ライブラリ、クラウド設定、ネットワーク設定等について、必要に応じて脆弱性情報を確認し、影響度に応じてアップデート、設定変更、パッチ適用、緩和策の実施を行います。

脆弱性対応では、CVSSスコアだけでなく、外部からの攻撃可能性、悪用実績、PoCの有無、アクセス制御前に攻撃可能かどうか、データ漏えい・権限昇格・サービス停止への影響、BankcodeJP APIの構成上の影響有無などを踏まえて優先順位を判断します。

利用者様側でのパッチ適用要否

BankcodeJP APIのサービス基盤に関するパッチ適用や脆弱性対応は、当サービスの運用範囲として実施します。

そのため、利用者様がBankcodeJP APIのサーバー、ミドルウェア、API提供環境に対して個別にパッチ適用を行う必要はありません。

一方で、利用者様側のシステム、連携アプリケーション、APIキーの管理、接続元環境、ネットワーク制御、BankcodeJP APIを呼び出す実装部分については、利用者様側の管理範囲となります。

緊急対応とSLA/SLO

重大な脆弱性やサービス継続に影響するリスクが確認された場合は、影響度・緊急度を踏まえ、時間帯を問わず対応判断を行います。

ただし、標準の利用契約において、夜間・休日を含む24時間365日の個別対応保証や、個別SLAとしての対応時間保証は定めていません。

また、標準の利用契約では、パッチ適用に関する個別SLA/SLOは設定していません。BankcodeJP APIは共通基盤として一元的に運用しているため、特定の利用者様ごとに個別パッチ作業を行う形ではなく、サービス基盤全体に対して脆弱性対応・パッチ適用を実施します。

重大な障害やサービス影響が発生する場合は、必要に応じて登録メールアドレス、サポート窓口、またはサービスステータスページ等を通じてご案内します。

優先順位の判断基準

脆弱性対応の優先順位は、以下の観点を踏まえて判断します。

• 外部から攻撃可能な経路に該当するか
• 実際の悪用事例、PoC、攻撃コードの有無
• アクセス制御前に攻撃可能か
• データ漏えい、権限昇格、サービス停止につながる可能性
• BankcodeJP APIの構成上、該当コンポーネントが実際に影響を受けるか
• 代替策や緩和策の有無
• サービス停止リスクとパッチ未適用リスクの比較

CVSSスコアのみで一律に判断するのではなく、実際の攻撃可能性やサービスへの影響を踏まえて対応します。

パッチ適用前の確認

通常時は、サービス影響、APIレスポンス互換性、APIキー検証、主要機能、監視項目等を確認したうえでアップデートやパッチ適用を実施します。

重大な脆弱性への緊急対応時には、パッチ未適用リスクとテスト不足リスクを比較し、テスト範囲を合理的に絞ったうえで早期適用を優先する場合があります。

その場合も、主要API機能、APIキー検証、レスポンス互換性、ヘルスチェック、監視項目、ロールバック可否等を重点的に確認します。

パッチ適用が直ちに困難な場合の代替策

パッチ適用が直ちに困難な場合は、影響範囲に応じて以下のような代替策を検討・実施します。

• APIゲートウェイ、WAF、クラウド側セキュリティ機能等による緩和
• 不審なアクセスの制限
• レート制限、アクセス制御の強化
• 影響機能の一時停止
• ネットワーク経路・公開面の制限
• 監視強化、ログ確認、異常検知

なお、利用者様環境へのEDR導入、社内ネットワーク分離、端末管理、接続元システムの防御等は、利用者様側の管理範囲となります。

EOL製品・サポート切れコンポーネントへの対応

BankcodeJP APIの本番サービスでは、サポート対象のクラウドサービス、ミドルウェア、ランタイム、ライブラリを利用する方針で運用しています。

サポート終了が近いコンポーネントや、更新が必要な構成要素がある場合は、サービス影響を確認したうえで順次更新を行います。

ネットワーク公開面と権限管理

BankcodeJP APIでは、外部公開面をAPI提供に必要な通信に限定し、クラウド基盤上のファイアウォール、APIゲートウェイ、アクセス制御、APIキー検証、ログ監視等を組み合わせて運用しています。

また、管理権限は必要最小限とし、APIキーやシークレット情報については、クラウドのシークレット管理機能等を利用して保護します。

サービス停止を伴う緊急対応

BankcodeJP API側で重大な脆弱性、サイバー攻撃、情報漏えいリスク、サービス全体への影響が確認された場合、影響拡大を防止するため、当サービスの判断により一部機能またはサービスを一時停止する可能性があります。

原則として、可能な限り事前または速やかに利用者様へ通知しますが、緊急性が高い場合は、被害拡大防止を優先して即時対応を行う場合があります。

緊急時の連絡方法

利用者様からの緊急連絡は、通常のサポート窓口またはお問い合わせフォームよりご連絡ください。

当サービスから利用者様へご連絡が必要な場合は、登録メールアドレス宛に連絡します。また、障害やサービス影響に関する情報は、必要に応じてサービスステータスページでもご案内します。

管理画面に登録されているメールアドレスは、常に受信可能な状態にしていただくことを推奨します。

第三者提供ソフトウェア・クラウドサービスへの対応

第三者提供ソフトウェア、クラウドサービス、ライブラリ等で深刻な脆弱性が発見された場合は、以下の流れで対応します。

• BankcodeJP APIへの影響有無を確認
• 影響がある場合、攻撃可能性・影響度・代替策を評価
• パッチ適用、設定変更、アクセス制限、機能停止等の対応を実施
• サービス影響がある場合は、必要に応じて利用者様へ通知
• 復旧後、必要に応じて再発防止策を検討

責任分界

BankcodeJP APIのサービス基盤、API提供環境、アプリケーション、ミドルウェア、クラウド設定等は当サービスの管理範囲です。

一方で、以下は利用者様側の管理範囲です。

• APIキーの管理
• APIキーの漏えい防止
• 接続元システムのセキュリティ
• BankcodeJP APIを呼び出すアプリケーションの実装
• 接続元IP制限等の利用者側ネットワーク制御
• 利用者様側のログ管理、監視、業務継続判断
• エンドユーザー向け告知や代替運用

詳細な構成情報・運用手順の開示

詳細な内部構成情報、セキュリティ設定、運用手順、監視ルール等については、セキュリティ上の理由から公開範囲を限定しています。

個別の確認が必要な場合は、確認内容をご提示いただければ、開示可能な範囲で回答します。