セキュリティ方針

# セキュリティ方針 Straty（ストラティ。旧称シナリオビルダー。以下「本サービス」）では、利用者データと運用のセキュリティを確保するため、以下の方針に基づいて対策を実施しています。 --- ## 1. 認証・アクセス制御 - **認証**: Supabase Auth により、メール/パスワードおよび Google OAuth によるログインを提供しています。 - **認可**: データベースの Row Level Security（RLS）により、利用者が作成したシナリオおよび共有されたシナリオのみアクセス可能です。 - **パスワード**: 新規登録・パスワードリセット時には、8 文字以上・英数字・記号を含む等のポリシーを推奨し、アプリ側でも検証しています。 - **多要素認証（MFA）**: チームプラン等では MFA の利用をサポートする設計です（実装状況は機能一覧を参照）。 --- ## 2. 監査・ログ - **監査ログ**: ログイン、シナリオの作成・更新・削除・複製、共有の追加・解除等を記録しています。 - **保管期間**: 監査ログは **1 年間** を目安に保管し、法令・契約で別途定めがある場合を除き、その後は削除または匿名化します。 - **開示**: 利用者本人は自身の監査ログを参照できます。管理者による全件参照は、運用・契約で定めた手続に基づいて行います。 --- ## 3. 通信・データ保護 - **HTTPS**: 本サービスは HTTPS で提供され、通信の暗号化を行っています。 - **セキュリティヘッダー**: Content-Security-Policy、X-Frame-Options、X-Content-Type-Options 等の HTTP ヘッダーを設定し、クリックジャッキング・MIME スニッフィング等の軽減を図っています。 - **資格情報**: Marketo の API キー等はマスクして保存し、表示時も秘匿します。 --- ## 4. インフラ・データの配置 - **利用サービス**: 本サービスは Vercel（ホスティング）、Supabase（認証・データベース）、および必要に応じて Stripe（課金）等を利用しています。 - **データの所在地**: 利用しているクラウドリージョンおよびデータの物理的配置については、「データ所在地・供給者・SLA」の開示ページで案内しています。 --- ## 5. 脆弱性・インシデント - **脆弱性対策**: 依存関係の更新および既知の脆弱性へのパッチ適用を継続的に行います。 - **インシデント報告**: セキュリティインシデントの疑いがある場合は、アプリ内「ヘルプ」または「お問い合わせ」に記載の報告窓口までご連絡ください。事態に応じて調査・対応・事後報告を行います。 --- ## 6. 見直し 本方針は、運用状況や脅威の変化に応じて定期的に見直し、必要に応じて更新します。 --- 最終更新: 2026 年 3 月