セキュリティへの取り組み
Tadashikuは、お客様の大切なビジネスデータを守るために、 多層的なセキュリティ対策を実施しています。
セキュリティ・バイ・デザイン
Tadashikuは設計段階からセキュリティを組み込む「セキュリティ・バイ・デザイン」の原則に基づき開発されています。 すべてのAPIルートに認証・認可チェックを実装し、データベースレベルでRow Level Securityを適用することで、 お客様のデータが確実に保護される仕組みを構築しています。
データ暗号化
- すべての通信はTLS 1.2以上で暗号化
- HTTPSによる安全なデータ転送を強制
- データベース内の機密データは暗号化して保存
- APIキーやシークレットは環境変数として安全に管理
認証・認可
- Supabase Authによる堅牢な認証基盤
- Row Level Security(RLS)によるデータアクセス制御
- 組織ベースのマルチテナント分離
- APIルートごとの認証・認可チェック
決済セキュリティ
- Stripe による PCI DSS Level 1 準拠の決済処理
- クレジットカード情報は当社サーバーに一切保存しません
- Webhook署名検証による不正リクエスト防止
- セキュアなトークンベースの決済フロー
セキュリティヘッダー
- HSTS(HTTP Strict Transport Security)の適用
- X-Frame-Options: DENY によるクリックジャッキング防止
- X-Content-Type-Options: nosniff の設定
- Referrer-Policy による情報漏洩防止
インフラストラクチャ
- Vercel のエンタープライズグレードインフラで運用
- エッジネットワークによるDDoS保護
- 自動スケーリングによる可用性の確保
- グローバルCDNによる高速かつ安全な配信
データバックアップ
- Supabase による自動日次バックアップ
- ポイントインタイムリカバリ(PITR)対応
- データの冗長化による耐障害性の確保
- 定期的なバックアップ整合性の検証
セキュリティ監査
- Sentry によるリアルタイムエラー監視
- APIアクセスログの記録・監視
- レート制限による不正アクセスの防止
- 定期的なセキュリティレビューの実施
入力データの検証
- ZodスキーマによるすべてのAPI入力の厳格な検証
- SQLインジェクション対策(パラメータ化クエリ)
- XSS対策(出力のサニタイゼーション)
- エラーレスポンスの安全な設計(内部情報の非公開)
脆弱性の報告
セキュリティに関する脆弱性を発見された場合は、お問い合わせフォームまたは メール(info@tadashiku.jp)にてご報告ください。 迅速に対応いたします。