Loading…
サイト診断はあなたのウェブサイトの『公開情報』のみを対象とします。それでも、私たちは多層的なセキュリティで顧客データを保護します。
最終更新:2026年5月
スキャン対象のURLは Celery キューに投入される前に同期的に検証されます。スキームのホワイトリスト(http/https のみ)、プライベートIP帯(RFC1918・ループバック・リンクローカル、AWS EC2 メタデータ 169.254.169.254 を含む)の完全ブロック、Playwright ロード時の DNS 再解決による TOCTOU 攻撃対策を実装しています。
ユーザー所有データは PostgreSQL の Row-Level Security(RLS)ポリシーにより DB レイヤで分離されています。さらに、API ハンドラ層でも所有権チェックを実施。仮にアプリケーションコードに欠陥があっても、RLS が最終防衛線として機能します。
パスワードは bcrypt(コスト係数 12 以上)でハッシュ化。アクセストークン JWT は 15分の短命、リフレッシュトークンは 30 日・1回使い切りローテーション。盗難検知時はトークンファミリ全体を即時無効化します。プラットフォーム管理者は TOTP MFA 必須、エンタープライズは SAML 2.0 SSO。
転送中は TLS 1.2 以上で暗号化。保存中は AWS RDS の透過暗号化(TDE)と S3 のサーバーサイド暗号化(AES-256)。API シークレットは AWS Secrets Manager で管理し、コードベースには一切ハードコードしません。
Playwright スキャナは ECS Fargate 上で 1スキャン 1マイクロVM の隔離環境で実行。スキャン完了後に環境を破棄するため、悪性サイトからの永続化攻撃を防止します。リソース制限(CPU・メモリ・ネットワーク帯域)も適用済み。
全てのリクエストは構造化 JSON ログ(scan_id, user_id ハッシュ, pillar, duration, cache_hit, error_code 等)として記録。プラットフォーム管理者の操作は変更不可の監査テーブルに記録されます。エラーは Sentry、トレースは AWS X-Ray で監視。
日本 個人情報保護法(改正版・2022 年施行)に基づくデータ取扱い。
EU 一般データ保護規則。EU 居住者からのアクセスに対応。
自社UI は WCAG 2.2 AA 準拠。axe-core を CI ゲートとして導入。
脅威モデルは OWASP Top 10(2021)をベースラインに評価。