お客様のデータ保護は 私たちの最優先事項です
STLUR はセキュリティファーストのアーキテクチャで構築されています。セキュリティプラクティス、コンプライアンスロードマップ、サブプロセッサ一覧を公開し、導入前に信頼性を評価いただけるようにしています。
SOC 2
Type I 準備中
TLS 1.2+
全通信暗号化
AES-256
保存データ暗号化
GDPR
DPA 対応
お客様のデータをどう保護しているか
通信暗号化
全通信を TLS 1.2 以上で暗号化。HTTP は自動的に HTTPS へリダイレクト。HSTS ヘッダーを強制適用。
保存データの暗号化
全ての保存データを AES-256 で暗号化。データベースバックアップとオブジェクトストレージ(R2)はプロバイダー管理の暗号化キーを使用。
アクセス制御(RLS)
行レベルセキュリティによりデータベース層でテナント分離を実現。各顧客は自社データのみにアクセス可能。管理エンドポイントは MFA 保護。
認証情報の保護
Enterprise 認証スキャンでは AES-GCM 256bit のクライアントサイド暗号化と HKDF ベースの二層鍵アーキテクチャを使用。平文の認証情報はスキャン実行時のみメモリ上に存在し、完了後に即時破棄。
隔離スキャン環境
セキュリティスキャナーは一時的なコンテナ(AWS Lambda + Fargate)で実行され、各スキャン後に破棄。スキャン間で永続的な状態は保持しません。
継続的モニタリング
インフラ稼働状況、スキャンパイプラインのステータス、エラー率を 24/7 モニタリングし、異常を自動アラート。
STLUR は自社プロダクトで毎月、自社を監査しています
STLUR は、顧客に提供しているものとまったく同じ自動セキュリティスキャンを自社の本番インフラに対して実行しています。毎月、本番ドメイン(stlur.app)に対して Nuclei + ZAP の脆弱性スキャンを実施し、顧客と同じ構造化レポートにまとめています。
つまり STLUR は監査する側でもあり、監査される側でもあります。自社プロダクトを自ら使い、品質を証明しています。重大な所見は 30 日以内に修正。スキャンエンジンが正確で実用的な結果を出し続けていることの継続的な保証となります。
SOC 2 Type I 進行中 — Type II は 2026年 Q4 を目標
STLUR のレポートは顧客の SOC 2 Trust Services Criteria のエビデンス収集を支援します。あくまで補助証跡であり、意見書ではありません。以下は STLUR 自体の SOC 2 認証ロードマップです。
社内セキュリティコントロールを確立
STLUR による月次セルフ監査を自動化
SOC 2 Type I 監査 — 進行中
SOC 2 Type I レポート公開
SOC 2 Type II 認証取得目標
定義された SLA に基づく体系的な対応プロセス
検知 & トリアージ
自動監視により異常を検知。オンコールエンジニアが重大度を評価。
封じ込め
影響を受けたシステムを隔離。侵害された認証情報を失効。フォレンジック証拠を保全。
顧客通知
影響を受けた顧客に影響範囲と推奨アクションを通知。
修復 & ポストモーテム
根本原因分析、恒久的な修正のデプロイ、インシデント後レビューの公開。
明確な保持期間と削除権
スキャン結果
13 ヶ月
前年同期比較とトレンド分析のため
PDF レポート
13 ヶ月
監査証跡アーカイブ。R2 に AES-256 で暗号化保存
データベースバックアップ
7 日間 PITR
災害時のポイントインタイムリカバリ
一時スキャンペイロード
0 — 即時破棄
永続化なし。コンテナは実行後に終了
アカウント削除時のデータ
30 日
猶予期間。その後全システムから完全消去
監査ログ
12 ヶ月
セキュリティ調査・コンプライアンス要件
データを処理する第三者プロバイダー
サブプロセッサの数を最小限に抑え、統合前に各プロバイダーのセキュリティポスチャーを慎重に評価しています。このリストはサブプロセッサの追加・削除時に更新されます。
| プロバイダー | 用途 | 処理データ | 所在地 |
|---|---|---|---|
| Supabase | データベース・認証・行レベルセキュリティ | アカウント情報・スキャンメタデータ・RLS保護行 | US (AWS us-east-1) |
| Cloudflare | CDN・エッジコンピュート・R2オブジェクトストレージ・DNS・DDoS防御 | PDFレポート(AES-256暗号化)・スキャン結果・エッジキャッシュ | Global |
| Vercel | フロントエンドホスティング・サーバーレスAPI・ISR | 永続的な顧客データなし。リクエスト処理のみ | Global (Edge) |
| AWS (ap-northeast-1) | 隔離コンテナでのセキュリティスキャナー実行(Lambda + Fargate) | 一時的なスキャンペイロード。実行完了後に破棄 | Asia-Pacific (Tokyo) |
| Stripe | 決済処理・サブスクリプション課金・請求書発行 | 決済トークンのみ。STLURはカード番号を保存しません | US / EU |
| Anthropic (Claude) | AIレポート生成(テキスト分析のみ。顧客PIIは送信しません) | 匿名化されたスキャン結果 → 構造化レポートテキスト | US |
| Resend | トランザクションメール配信(月次レポート・アラート) | 受信者メールアドレス・配信メタデータ | US |
責任ある開示ポリシー(VDP)
STLUR のサービスにおける脆弱性の報告を歓迎します。報告の受領を 3 営業日以内に確認し、10 営業日以内に初期評価を提供し、確認された脆弱性を 90 日以内に修正することをお約束します。
対象範囲
対象
stlur.app, app.stlur.app, API endpoints
応答 SLA
受領確認 < 3 日、評価 < 10 日
修正 SLA
重大 < 30 日、高 < 60 日、その他 < 90 日
セーフハーバー
善意のリサーチャーに対して法的措置は取りません
GDPR / CCPA / APPI 対応 DPA を提供
ご要望に応じてデータ処理契約(DPA)を提供しています。当社の DPA は GDPR、CCPA、APPI の要件をカバーしています。会社名、担当者名、適用管轄、利用目的を security@stlur.app までご連絡ください。通常 2 営業日以内にご対応いたします。