SOAPless
無料で始める

セキュリティ

あらゆるレイヤーでお客様のデータと認証情報を保護します。

セキュリティは SOAPless の根幹です。お客様の SOAP サービスの認証情報を扱うプロキシとして、データ保護の重要性を十分に認識しています。本ページでは、お客様の情報を安全に保つために実施している技術的対策について説明します。 これは認証取得や SLA を示すものではなく、現在の運用実務の説明です。

保存時の暗号化

SOAP 認証情報 — AES-256-GCM

すべての SOAP サービス認証情報(ユーザー名、パスワード、WS-Security トークン)は、データベースに保存する前に AES-256-GCM で暗号化されます。各認証情報レコードは一意の初期化ベクトル(IV)を使用し、機密性と完全性の両方を保証する認証タグを生成します。

暗号化キーはデータベースとは別に管理され、アプリケーション側の暗号化と復号のためにのみ使用されます。認証情報は上流の SOAP サービスへのリクエストをプロキシする瞬間にのみ復号され、平文でログや一時ストレージに書き込まれることはありません。

API キー — SHA-256 ハッシュ

API キーは保存前に SHA-256 でハッシュ化されます。完全な API キーの値は作成時に一度だけ表示されます。API リクエスト時には、提供されたキーをハッシュ化し、保存されているハッシュと比較します。これにより、データベースが侵害された場合でも、API キーを復元することはできません。

データベースセキュリティ

行レベルセキュリティ(RLS)

すべてのデータベーステーブルで Supabase の行レベルセキュリティポリシーを使用しています。すべてのクエリは認証されたユーザーのデータに自動的にスコープされます。これにより、アプリケーションレベルのバグが発生した場合でも、データベースレイヤーが他のユーザーのデータへのアクセスを防止します。

RLS ポリシーは宣言的に定義され、スキーマ変更のたびにレビューされます。サービスロールアクセスはサーバーサイドの操作のみに制限され、クライアントサイドのコードには公開されません。

通信セキュリティ

HTTPS / TLS の全面適用

SOAPless のクライアント向け画面と API は HTTPS で提供されます。上流の SOAP サービスとの通信については、登録された endpoint に依存します。上流が HTTPS の場合、その区間は TLS により保護されます。

上流の SOAP endpoint が HTTP のみで提供されている場合、proxy 層が独自にその区間へ暗号化を追加することはありません。本番利用ではその upstream 側のリスクも確認してください。

SOAP ボディのログ記録なし

SOAPless は、プロキシを通過する SOAP リクエストまたはレスポンスボディの内容をログ記録、保存、検査しません。分析およびデバッグのために記録されるのは、以下のメタデータのみです。

  • リクエストのタイムスタンプ
  • SOAP オペレーション名
  • 返却された HTTP ステータスコード
  • レスポンスレイテンシ(ミリ秒)
  • サービス識別子
  • エラー種別の分類(該当する場合)
  • 切り詰め・サニタイズされたエラーメッセージ(該当する場合)

SOAP Fault のエラーメッセージは 200 文字に切り詰められ、保存前に個人データの含まれる可能性を排除するためにサニタイズされます。リクエストおよびレスポンスボディは一切ログに記録されません。

依存関係のセキュリティ

当サービスは npm audit などを用いた依存関係レビューを定期的に実施しています。重要度や回避策の有無に応じて、合理的な優先順位で脆弱性対応を進めます。攻撃対象領域を縮小するために、依存関係はできるだけ絞っています。

インフラストラクチャセキュリティ

  • アプリケーションのホスティングと配信は、Vercel のマネージドな基盤機能に依存しています。
  • データベースと認証は、Supabase のマネージドな基盤機能に依存しています。
  • 環境変数およびシークレットは暗号化されたボールトに保存され、バージョン管理にコミットされることはありません。
  • 本番変更はデプロイフロー上でレビューを経て反映します。

責任ある脆弱性開示

当サービスはセキュリティ研究者の活動を尊重し、脆弱性の責任ある開示を推奨しています。セキュリティ上の問題を発見された場合は、以下までご報告ください。

Email: hello@soapless.miravy.com

以下の情報をお含めください。

  • 脆弱性の説明とその潜在的な影響
  • 問題の再現手順
  • 裏付けとなる証拠(スクリーンショット、ログ、概念実証)

誠意を持った報告は確認のうえ対応を進めます。ユーザーへの被害を避け、本手順に沿って行動する研究者に対して、法的措置を取る意図はありません。

コンプライアンスと基準

  • GDPR の原則に基づいたデータ処理設計。エンタープライズのお客様にはリクエストに応じてデータ処理契約を提供します。
  • 個人情報の販売は行いません。カリフォルニア州の居住者は、CCPA の権利を行使するために SOAPless にご連絡いただけます。
  • npm audit による定期的な依存関係の脆弱性スキャン。