STLUR がデータをどのように取り扱い、保護しているかについての情報を公開します。
全ての通信は TLS 1.2 以上で暗号化します。HTTP は HTTPS にリダイレクトされます。
データベースおよびオブジェクトストレージは AES-256 によるプロバイダーレベルの暗号化を使用しています。
Enterprise 認証スキャン機能では、ブラウザ拡張機能がクライアントサイドで AES-GCM 256bit の暗号化を行い、セッション Cookie を暗号化してから STLUR サーバーへ送信します。 暗号化キーはインストールトークンと HKDF を組み合わせた二層構造で保護されており、 ストレージ単体への侵害では復号できない設計です。 平文の認証情報はスキャン実行時のみメモリ上に存在し、完了後は即時破棄されます。
行レベルセキュリティ(RLS)により、各ユーザーは自社データのみにアクセスできます。 管理者インターフェースは MFA 保護された非公開エンドポイントです。
STLUR は自社インフラに対して月次 ZAP/Nuclei スキャンを自動実行し、重大所見を 30 日以内に修正します。
現在 SOC 2 Type I の準備段階です。STLUR が生成するレポートは SOC 2 Trust Services Criteria の証拠収集を支援しますが、 STLUR 自体の SOC 2 意見書ではありません。取得後に公開します。
STLUR が生成するレポートは以下の TSC 項目に対応した証跡収集を自動化します。 STLUR 自体が SOC 2 意見書を発行するものではありません。
| TSC | 基準 | 状況 |
|---|---|---|
| CC6.1 | 論理アクセス制御 | 対応済み |
| CC6.6 | 脆弱性管理 | 対応済み |
| CC6.7 | 通信セキュリティ | 対応済み |
| CC4.1 | 継続的モニタリング | 一部対応 |
| A1.2 | 可用性・稼働監視 | 一部対応 |
| CC1–CC9 | 全 COSO 基準(Type II) | 計画中 |
顧客データは主に米国(データベース・認証)およびアジア太平洋リージョン(セキュリティスキャン実行)で処理・保存されます。 エッジキャッシュはグローバルネットワーク上に一時的に保持されます。 スキャン結果(脆弱性データ)はオブジェクトストレージに AES-256 で暗号化して保存します。
STLUR がデータ処理に利用する第三者サービスプロバイダーの一覧です。
| プロバイダー種別 | 用途 | データ所在 |
|---|---|---|
| データベース・認証プロバイダー | 顧客データの保存・ユーザー認証 | US |
| エッジネットワーク・ストレージプロバイダー | CDN・エッジ処理・オブジェクトストレージ・DNS | Global |
| フロントエンドホスティングプロバイダー | Web アプリケーションのホスティング・配信 | Global |
| クラウドコンピューティングプロバイダー | セキュリティスキャナー実行環境(隔離コンテナ) | Asia-Pacific |
| 決済処理プロバイダー | 決済処理・請求管理 | US / EU |
| AI 処理プロバイダー | レポート要約生成(テキストのみ・顧客 PII 不使用) | US |
| メール配信プロバイダー | トランザクションメール配信 | US |
データベースは毎日自動バックアップを実行し、最大 7 日間の PITR(任意時点復元)をサポートします。
スキャン結果は最低 13 ヶ月間保存します(前年同期比の差分計算に使用)。
現在、公開ステータスページを準備中です。準備でき次第こちらに追加します。
GDPR・CCPA・APPI に対応した DPA(データ処理契約)をご要望に応じて提供しています。 申請フォームよりお申し込みいただくか、直接 security@stlur.app までご連絡ください。 通常 2 営業日以内にご対応いたします。
STLUR のサービスに脆弱性を発見した場合は、security@stlur.com までご報告ください。責任ある開示(Responsible Disclosure)に従い、受領から 90 日以内に対応します。
最終更新: 2026-04-22