1. 基本方針
取り扱う情報と権限を必要最小限にし、秘密情報を公開クライアントへ置かず、外部サービスの設定とアクセス権を定期的に確認する方針です。OWASP Top 10等の一般的なWebセキュリティ観点を参考に、入力検証、XSS/CSRF/Injection対策、秘密情報非公開、依存関係監査、HTTPS、エラー情報の秘匿、セキュリティヘッダーを確認します。
完全な安全性を保証するものではなく、公開環境、外部サービス、運用の変化に応じて継続的に見直します。
2. Webサイトで実装している対策
- 同一オリジンのHTML・CSS・JavaScript・画像を基本とする静的構成
- Content Security PolicyとHTTPレスポンスヘッダーによる、スクリプト・スタイル・埋め込み先等の制限
- 外部リンクへのnoopener、noreferrer、referrer policyの付与
- 外部入力をページ内へ動的に描画しない構成
- APIキー、認証情報、個人情報をフロントエンドへ配置しない方針
- HSTS、X-Content-Type-Options、X-Frame-Options、Permissions-Policy等の公開環境での確認
一部のセキュリティ設定は公開先のHTTPレスポンスヘッダーに依存するため、公開環境での実測確認を行います。
3. 情報・アカウント・外部サービス
個人情報、決済、認証、予約管理は、原則として自前実装せず、Google Forms、Gmail、Google Drive、BOOTH、Stripe、予約管理SaaS等の外部専門サービスを利用します。利用時は、共有範囲、権限、公開リンク、二要素認証、不要アカウントの削除等を確認します。個別案件の資料は、業務上必要な範囲でアクセスを限定します。
外部サービスの障害、仕様変更、設定ミス等のリスクを完全に排除することはできません。重要資料のバックアップ、共有リンクの棚卸し、権限変更時の確認手順を運用として整備します。
4. セキュリティ上の問題の報告
本サイトまたは関連サービスに関する脆弱性、誤公開、不審な挙動を発見した場合は、再現手順、対象URL、確認日時、影響範囲を可能な範囲で記載し、hello@akinai-space-lab.com へ連絡してください。
確認前の情報公開、第三者データへのアクセス拡大、サービス停止につながる検証は避けてください。受付・対応時間や報奨制度は現時点で保証していません。
5. 利用者へのお願い
- フォームやメールへ、相談に不要な個人情報・機密情報を送信しない
- 外部サービスのURL・ドメインを確認し、不審な画面へ認証情報を入力しない
- 購入ファイルや共有資料を第三者へ無断共有しない
- 不審なメール、リンク、ファイルを受信した場合は連絡する
6. 継続的な確認
- 公開先でHTTPS、HSTS、X-Content-Type-Options、frame-ancestors、Permissions-Policy等を設定・確認する
- CSP違反、JavaScriptエラー、外部リンク、フォーム送信先を公開環境で確認する
- Google、BOOTH、note等の管理者アカウントで二要素認証と共有権限を確認する
- 公開ファイルにAPIキー、認証情報、個人情報、内部URLが含まれないことを確認する
- 公開前に、lint、build、依存関係監査、静的チェック、セキュリティレビューを実施する
- バックアップ、インシデント連絡、権限変更、公開停止の手順を整備する