AskMate Chat

データ保護・監査ログ・脆弱性対応

セキュリティ概要

暗号化済みデータ、バックアップ、DR、監査ログ、脆弱性報告窓口をまとめています。

Trust情報Status

データ保存と暗号化

Supabase (東京リージョン) を中心にデータを管理し、Vercel + Supabase の組み合わせで運用しています。

  • 会話・メトリクス: Supabase PostgreSQL(保存時に暗号化)に保存し、RLS によって tenant_id 単位でアクセスを制限しています。
  • 埋め込み / チャット API: Vercel 上で動作し、Upstash Redis でレート制限を実施。`DATABASE_URL` 等の機密情報は Vercel の暗号化された環境変数で管理しています。
  • ログイン: Supabase Auth + パスワード認証 + 2 段階認証 (Growth プラン以降)。セッション cookie には HttpOnly / Secure を設定しています。

バックアップ・DR

Supabase 標準のバックアップ機構をベースに、障害時の復旧計画を整備しています。

  • Supabase 標準のデイリーバックアップ(過去 7 日間)を活用。重大インシデント時はサポート経由で復旧。
  • 目標: RTO 数時間 / RPO 24 時間。実態に応じて継続改善します。
  • 障害時は本サイトの `/status` ページで状況をお知らせします。

脆弱性報告と監査

第三者からの報告を歓迎し、対応スピードを確保します。

  • 報告窓口: ashikari@new-beginnings.co.jp へ詳細を送信(内容: 再現手順・影響範囲)。
  • 脆弱性検証: 再現性優先。重大な問題は 72 時間以内に暫定対応、7 日以内を目安に公開報告を行います。
  • 監査ログ: 設定変更・認証イベントを記録し、管理画面から参照できます。

第三者サービス

利用開始時点で連携しているサービスと責任分担。

  • Supabase (PostgreSQL / Auth / Storage)・Vercel (Edge / API)・Stripe (決済)
  • OpenAI (GPT-4o)・LINE / Slack(通知)・Webhook(外部連携)
  • Upstash Redis(レート制限)・Resend(メール送信)