プライバシーポリシー — セキュリティ対策
最終更新日: 2026年4月8日
基本方針
運営は、収集した情報を不正アクセス・漏洩・改ざん・破壊から保護するために、技術的・組織的なセキュリティ措置を講じています。
技術的セキュリティ対策
通信の暗号化
| 対策 | 内容 |
|---|---|
| HTTPS/TLS | すべてのWeb通信はTLSで暗号化 |
| Cloudflare CDN | DDoS防御・WAF(Webアプリケーションファイアウォール) |
認証・アクセス制御
| 対策 | 内容 |
|---|---|
| パスワードのハッシュ化 | パスワードは不可逆なハッシュ関数で変換して保存。平文保存は行いません |
| JWT(JSON Web Token) | セッション・認証トークンはRS256/HS256署名のJWTを使用 |
| 多要素認証(TOTP/MFA) | TOTP方式のMFAをサポート。有効化を推奨 |
| TOTPシークレットの暗号化 | MFAシークレットは専用の暗号化鍵で暗号化して保存 |
| セッション管理 | 各セッションはデバイス情報・IPアドレスと紐づけて管理 |
ストレージセキュリティ
| 対策 | 内容 |
|---|---|
| 金庫のエンドツーエンド暗号化 | 金庫機能で保存されたファイルはクライアント側で暗号化され、サーバー側・Backblaze B2上では暗号化状態で保存。運営も内容を閲覧できません |
| 使い捨てURL | ファイルへの直リンクを防ぐため、有効期限5分の署名付きURLを使用 |
| B2アクセス制御 | CloudflareWorkers上でRS256 JWTを検証し、認可されたリクエストのみB2にアクセス |
不正アクセス検知
| 対策 | 内容 |
|---|---|
| 新規デバイス検知 | 未知のデバイス・IPからのログインを検知し、登録メールに通知 |
| VPN/Proxy/Tor検知 | VPN・プロキシ・Torノードからのアクセスを検知・記録 |
| サブアカウント検知エンジン | デバイスフィンガープリント・行動パターンを分析し、複数アカウントの不正保持を検知 |
| Bot検知(Cloudflare Turnstile) | 自動登録・フォームスパムを防ぐためにTurnstileを利用 |
| レート制限 | ログイン・API等へのブルートフォース攻撃を防ぐレート制限を実装 |
組織的セキュリティ対策
- アクセス権限の最小化: サービス運営に必要な最小限の権限のみを使用
- ログの監査: 重要な操作のログを記録・定期的に確認
- 依存ライブラリの管理: 既知の脆弱性を含むライブラリを定期的に更新
セキュリティインシデントへの対応
個人情報の漏洩・不正アクセス等のセキュリティインシデントが発生した場合、以下の対応を行います。
- 影響範囲の確認・遮断: 速やかに被害の拡大を防ぐ措置を講じます。
- ユーザーへの通知: 影響を受けたユーザーへ、可能な限り速やかに通知します。
- 原因の調査・再発防止: 原因を調査し、再発防止策を講じます。
- 法的報告: 必要に応じて監督機関への報告を行います。
セキュリティの限界
運営は最大限の対策を講じますが、インターネット上のすべての通信・ストレージについて完全なセキュリティを保証することはできません。ユーザー自身もパスワードの使い回しを避け、MFAを有効化するなど、適切なセキュリティ対策を取ることを強く推奨します。