セキュリティポリシー

最終更新日：2026年5月28日

実装済みのセキュリティ対策

• 実装済全通信 TLS 1.2/1.3 暗号化（Let's Encrypt / Caddy 自動更新）
• 実装済HSTS（Strict-Transport-Security: max-age=31536000; includeSubDomains; preload）
• 実装済CSRF 保護（Django CSRF ミドルウェア）
• 実装済XSS 対策（Content-Security-Policy ヘッダー）
• 実装済クリックジャッキング対策（X-Frame-Options: DENY）
• 実装済API レート制限（匿名: 60req/時, 認証済: 600req/時）
• 実装済JWT 認証（アクセストークン 60分、リフレッシュトークン 7日）
• 実装済エラー監視（Sentry 統合）
• 実装済SSH 鍵認証のみ（パスワード認証無効）
• 実装済Docker 非 root ユーザー実行

脆弱性報告

セキュリティ上の問題を発見された場合は、公開の場に投稿せず、お問い合わせフォームよりご連絡ください。報告していただいた内容は優先的に対応いたします。

対応方針

• 重大な脆弱性：報告受領後 24 時間以内に初期対応
• 中程度の脆弱性：7 日以内にパッチ適用
• 軽微な問題：次回定期リリース時に対応

定期的なセキュリティ管理

• 依存パッケージの週次脆弱性スキャン（pip-audit / npm audit）
• GitHub Actions による自動 Bandit スキャン
• 定期的なサーバー OS・パッケージアップデート
• PostgreSQL ダンプの日次バックアップ（7世代保持）

← トップに戻る