Security & Encryption
Whitepaper
OnRaven のセキュリティアーキテクチャ、暗号化、監査ログ、および主要なセキュリティ・プライバシーの枠組みとの整合に関する技術ドキュメントです。最終更新: 2026年3月。
1. Security Overview
OnRaven is built with security at its core. Our platform implements enterprise-grade security measures to protect your customer conversations and business data at every layer of our infrastructure.
Core Security Principles
- Defense in Depth: Multiple layers of security controls throughout the stack
- Encryption at Rest & in Transit: All data encrypted using industry-standard algorithms
- Comprehensive Audit Logging: Every data access is logged for security monitoring
- Zero Trust Architecture: Strict access controls and verification at every layer
- フレームワーク整合: GDPR、CCPA、PIPEDA、SOC 2 などにマッピングしたコントロールテーマに対し、技術・運用面の準備状況を追跡します。正式な認証やお客様独自の評価の代替にはなりません。
2. Encryption Architecture
2.1 Message Encryption at Rest
All conversation messages are encrypted at the database level using AES-256-GCM (Advanced Encryption Standard with Galois/Counter Mode), providing both confidentiality and authenticity.
Encryption Specifications
- Algorithm: AES-256-GCM
- Key Length: 256 bits (32 bytes)
- IV Length: 128 bits (16 bytes, randomly generated per encryption)
- Authentication Tag: 128 bits (16 bytes)
- Key Derivation: PBKDF2 with SHA-256 (100,000 iterations)
2.2 Encryption Process Flow
Step 1: Key Derivation
Master encryption key is derived from a secure secret using PBKDF2 with 100,000 iterations and a fixed salt.
Step 2: Message Encryption
Each message array is serialized to JSON and encrypted using AES-256-GCM with a randomly generated IV.
Step 3: Storage Format
Encrypted data is stored as Base64-encoded string containing: [IV + AuthTag + Ciphertext]
Step 4: Retrieval & Decryption
Upon retrieval, the service automatically decrypts messages before returning them to the application layer.
2.3 Transport Layer Security
All data in transit is protected using TLS 1.3 with strong cipher suites:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- Perfect Forward Secrecy (PFS) enabled
- HSTS (HTTP Strict Transport Security) enforced
2.4 Key Management
Encryption keys are managed securely:
- Master keys stored in environment variables (not in code or database)
- Keys are never logged or exposed in API responses
- Future roadmap includes AWS KMS integration for enhanced key rotation
- Per-tenant encryption keys available for enterprise customers
3. Data Protection
3.1 Database Security
- Encrypted Connections: All database connections use SSL/TLS encryption
- Network Isolation: Database servers run in private VPC subnets with no public access
- Automated Backups: Daily encrypted backups with 30-day retention
- Point-in-Time Recovery: PITR enabled for disaster recovery
3.2 Data Classification
🔴 Highly Sensitive
Customer messages, PII, payment data
Protection: Encrypted at rest + transit, strict access controls, comprehensive audit logs
🟠 Sensitive
API keys, authentication tokens, campaign data
Protection: Encrypted at rest, hashed when possible, limited access
🟡 Internal
User preferences, settings, non-PII metadata
Protection: Role-based access, tenant isolation
🟢 Public
Documentation, marketing materials
Protection: Standard web security practices
3.3 Data Retention & Deletion
We implement strict data retention policies to comply with privacy regulations:
- Active Data: Retained while account is active and customer has valid subscription
- Closed Conversations: Retained per customer settings (default: 2 years)
- Account Deletion: All data permanently deleted within 30 days of account closure
- Backup Retention: Encrypted backups retained for 30 days, then permanently deleted
- Right to Deletion: GDPR Article 17 "Right to be Forgotten" fully supported
4. Comprehensive Audit Logging
Every access to sensitive data is logged for security monitoring, compliance, and incident investigation.
4.1 What We Log
Authentication Events
Sign-in attempts (success & failure), Password changes, MFA events, Session creation/termination
Data Access
Message viewing/retrieval, Conversation access, Customer data exports, Admin panel access
Administrative Actions
User role changes, Settings modifications, Integration changes, API key generation/revocation
Data Modifications
Conversation deletions, Account closures, Data exports, GDPR deletion requests
4.2 Audit Log Structure
Each audit log entry contains:
{
"timestamp": "2026-02-05T10:30:00Z",
"userId": "uuid",
"domainId": "tenant-uuid",
"activityType": "message.access",
"ipAddress": "192.168.1.1",
"userAgent": "Mozilla/5.0...",
"customFields": {
"conversationId": "conv-uuid",
"messageCount": 25,
"action": "view"
}
}4.3 Audit Log Retention & Access
- Audit logs retained for minimum 2 years (configurable per customer requirements)
- Logs stored in immutable format to prevent tampering
- Available for customer review via admin dashboard
- Exportable for external SIEM integration (enterprise customers)
- Real-time alerting for suspicious activity patterns
5. Access Control & Authentication
5.1 Role-Based Access Control (RBAC)
OnRaven implements granular RBAC with hierarchical permission levels ensuring team members only access what they need. Our system includes platform-level and tenant-level permissions with fine-grained control over features like user management, campaigns, integrations, and customer data access.
5.2 Authentication Mechanisms
- JWT-based Authentication: Stateless tokens with 24-hour expiration
- Magic Link Login: Passwordless authentication with single-use tokens (15-minute expiry)
- Password Security: Bcrypt hashing with proper salt rounds
- MFA Support: Multi-factor authentication available for enterprise customers
- API Key Authentication: Encrypted API keys with usage tracking and revocation
5.3 Multi-Tenancy & Data Isolation
Every query includes domain/tenant filtering to ensure complete data isolation:
- Database queries automatically filtered by domain_id
- Row-level security prevents cross-tenant data access
- Separate encryption keys available per tenant (enterprise)
- Network-level isolation via VPC peering for large customers
6. コンプライアンス、準備状況、フレームワーク
コード、クラウド、デリバリーパイプラインを主要なセキュリティおよびプライバシーの枠組みに対して継続的に監視しています(Aikido Security を含む)。
6.1 監視対象のフレームワーク
PCI DSS レベル 1
Stripe 経由カード会員データは Stripe が処理します。安全な決済態勢を支えるプラットフォームおよびインフラのコントロールも監視しています。
GDPR
準備完了暗号化、アクセス管理、ログ、処理の保護措置を GDPR に沿ったテーマで監視しています。準備完了は技術・運用面の話であり、規制当局の承認ではありません。
CCPA
準備完了データアクセス、削除、処理のセキュリティはプロダクト方針で扱い、インフラおよびアプリのコントロールで監視しています。
PIPEDA
準備完了カナダ企業として、公正な情報取り扱いとセーフガードの期待を、監視下の技術コントロールと整合させています。
SOC 2
準備完了Trust Services の基準(セキュリティ、可用性、機密性)をクラウド、変更管理、アクセス、脆弱性 SLA 全体で追跡しています。SOC 2 Type II レポートは別途の正式な鑑定です。
HIPAA
準備完了暗号化、アクセス制御、監査ログ、バックアップなどの技術的保護措置を HIPAA に沿ったチェックリストで監視しています。BAA が必要なエンタープライズ顧客はお問い合わせください。
ISO 27001:2022
準備完了付録 A 型の領域(アクセス、暗号、ログ、バックアップ、脆弱性管理、セキュア開発)を継続監視に含めています。ISO 27001 認証には認定審査が必要です。
OWASP Top 10
準備完了アプリとクラウドのチェックで、不適切なアクセス制御、インジェクション、暗号の失敗、SSRF、ログなど OWASP Top 10 のリスクをカバーしています。
NIST SP 800-53
準備完了SaaS 構成に関連するセキュリティおよびプライバシーのコントロールファミリーを該当範囲で監視しています。FedRAMP パッケージや政府の ATO ではありません。
CIS Controls & AWS Benchmark
準備完了CIS Controls v8.1 と CIS AWS Foundations Benchmark の期待事項に基づき、構成と衛生状態を継続的に評価しています。
NIS2(EU)
準備完了ICT リスク管理、インシデント対応、サプライチェーン、レジリエンスを NIS2 に沿った要件で監視しています。
DORA(EU)
準備完了検知、対応、バックアップ、ガバナンスなどの運用レジリエンスを、DORA に沿った ICT リスクのテーマで監視しています。
UK Cyber Essentials
準備完了境界保護、安全な構成、アクセス、マルウェア対策、パッチ適用などの中核コントロールを Cyber Essentials 型の基準で監視しています。
HITRUST CSF
準備完了医療データに関するコントロールテーマをセキュリティプログラムで高いカバレッジで監視しています。HITRUST 認証ではありません。
6.2 正式な鑑定と運用上の準備
以下は通常、マッピングされたコントロールの監視とは別に、別プログラム、契約、または第三者検証が必要になります。
- SOC 2 Type II: 一定期間にわたる独立監査人の報告書であり、継続的なコントロール監視とは別物です。
- ISO 27001: 正式な認証には認定審査機関による監査が必要です。
- HIPAA の対象となる取扱い: BAA が必要なエンタープライズ顧客は要件の整理のためお問い合わせください。
- お客様向けのペネトレーションテストや正式レポートは、状況に応じて NDA のもとで提供できる場合があります。
6.3 GDPR に基づくデータ主体の権利
We fully support all GDPR data subject rights:
- Right to Access (Article 15): Export all personal data via settings panel
- Right to Rectification (Article 16): Update profile and data through dashboard
- Right to Erasure (Article 17): Delete account and all associated data
- Right to Data Portability (Article 20): Export data in machine-readable format
- Right to Object (Article 21): Opt out of data processing activities
Questions About Our Security?
Our security team is available to answer technical questions, provide additional documentation, or discuss custom security requirements for enterprise deployments.