セキュリティ情報
最終更新日: 2025年1月
編成工房(henseikobo)は、ユーザーのデータとプライバシーを保護するため、 複数のセキュリティ対策を実施しています。
1. データの暗号化と保護
HTTPS通信
すべての通信はHTTPS(TLS 1.2以上)で暗号化されています。 これにより、データの盗聴や改ざんを防ぎます。
データベースのアクセス制御
Firestore Security Rulesにより、ユーザーIDごとにデータを分離しています(RLS: Row Level Security)。 他のユーザーのデータにアクセスすることはできません。
2. セキュリティヘッダー
当サービスは、以下のセキュリティヘッダーを設定しています:
Content-Security-Policy (CSP)
XSS(クロスサイトスクリプティング)攻撃を防ぐため、許可されたリソースのみを読み込むよう制限しています。
X-Frame-Options: DENY
クリックジャッキング攻撃を防ぐため、ページの埋め込みを禁止しています。
X-Content-Type-Options: nosniff
MIMEタイプスニッフィング攻撃を防ぐため、ブラウザによるコンテンツタイプの推測を禁止しています。
Referrer-Policy
リファラー情報の漏洩を防ぐため、適切なポリシーを設定しています。
Permissions-Policy
不要なブラウザ機能へのアクセスを制限しています。
3. API セキュリティ
レート制限
APIへの過剰なリクエストを防ぐため、IPアドレスとユーザーIDの両方でレート制限を実施しています。
認証トークンの検証
すべてのAPIリクエストは、Firebase AuthenticationのIDトークンで認証されます。 無効なトークンによるアクセスは拒否されます。
失敗ログインの段階的遅延
ブルートフォース攻撃を防ぐため、ログイン失敗回数に応じて段階的に遅延を適用します。
- • 1回目の失敗: 0秒
- • 2回目の失敗: 2秒
- • 3回目の失敗: 4秒
- • 4回目以降: 8秒
4. プライバシー保護
最小限のデータ収集
当サービスは、サービス提供に必要な最小限の情報のみを収集します。 詳細については、プライバシーポリシーをご覧ください。
PII(個人識別情報)の保護
エラーログや分析データには、個人を特定できる情報(PII)を含めません。
データの削除権
ユーザーは、いつでも自分のデータを削除できます。マイページから実行できます。
5. セキュリティの監視
当サービスは、セキュリティイベントを監視し、異常を検出した場合は適切に対応します。 エラートラッキングにはSentryを使用していますが、個人情報は含めません。
6. セキュリティに関するお問い合わせ
セキュリティに関するご質問や、セキュリティ上の問題を発見された場合は、フィードバックページからお問い合わせください。