Security

守るべきものを、層で守る。

Bot ごとのデータは PostgreSQL の Row Level Security で完全に分離し、重要なデータは AES-256-GCM で暗号化。通信の暗号化から Cloudflare のエッジ防御まで、層を重ねて守ります。

Implemented Measures

実際に動いている、 8 つの対策。

通信からデータ層まで、必要な箇所に必要な仕組みを入れています。実際に動いている 8 つの対策をご紹介します。

  • 通信は TLS 1.3 で暗号化

  • Cloudflare の WAF と DDoS Protection

  • 重要データは AES-256-GCM で暗号化

  • Bot ごとのデータは RLS で完全分離

  • 管理操作はすべて監査ログに記録

実装済みセキュリティ対策

8 / 8

TLS 1.3 で通信を暗号化

Cloudflare DDoS Protection

Cloudflare WAF

SSL モード Full (Strict)

HMAC リクエスト署名の検証

重要データを AES-256-GCM で暗号化

PostgreSQL Row Level Security

管理操作の監査ログ記録

Defense in Depth

通信からデータベースまで、4 層で守る。

クライアント / エッジ / アプリケーション / データベースの各層に、役割の異なる対策を配置。どの層が破られても、次の層で食い止める多層防御を構成しています。

多層防御アーキテクチャ

クライアント

TLS 1.3

ブラウザ / API クライアントとの通信を暗号化します。

エッジ

Cloudflare

WAF、DDoS Protection、Edge 保護を有効化。SSL モードは Full (Strict) で運用しています。

アプリケーション

HMAC 署名

重要な API リクエストは HMAC で署名検証し、改ざんを検知します。

データベース

AES-256-GCM + RLS

重要データは AES-256-GCM で暗号化。さらに PostgreSQL の Row Level Security で Bot ごとに分離しています。

監査ログ

現在の保持期間: 7 日間

14:32:01

admin@botshade

bot.deploy

Bot 'WelcomeBot'

14:31:45

user_8f2k

variable.update

welcome_count = 3,421

14:30:22

user_7b1m

permission.denied

他の Bot のリソースへのアクセス試行

14:29:58

edge

request.blocked

Cloudflare WAF によるブロック

14:28:30

system

backup.complete

06:00 JST スナップショット

Audit

操作の履歴は、 残らず記録します。

誰がいつ、何をしたのか。管理操作とセキュリティ関連イベントを監査ログとして残しています。ログは ID 単位でエクスポートでき、インシデント調査や事後検証に利用できます。

  • 管理操作とセキュリティイベントを記録

  • ID 単位でのエクスポート対応

  • 現在の保持期間は 7 日間

How It Works

実装の中身を、隠さずに。

Cloudflare レイヤーで通信を保護

TLS 1.3 で暗号化された通信を Cloudflare 経由で配信しています。WAF と DDoS Protection、Edge 保護を有効化し、SSL モードは Full (Strict) で運用。証明書のオリジン側は Cloudflare のオリジン証明書で固定されています。

HMAC リクエスト署名

重要な API リクエストは HMAC で署名検証し、改ざんを検知できる構成にしています。

重要データは AES-256-GCM で暗号化

個人情報など重要なデータは AES-256-GCM で暗号化してから保存。復号鍵はクラウドのシークレットマネージャに分離保管しています。

監査ログ + Bot ごとのデータ分離

管理操作はすべて監査ログに記録し、ID 単位でエクスポートできます(現在の保持期間は 7 日間)。Bot ごとのデータは PostgreSQL の Row Level Security と複合プライマリーキーで完全に分離されています。

TLS 1.3

通信の暗号化

Cloudflare Full (Strict)

AES-256-GCM

重要データの暗号化

鍵は別保管

HMAC

リクエスト署名

改ざん検知

7 日間

監査ログ保持

ID 単位で export 可能

Responsible Disclosure

脆弱性を見つけたら、教えてください。

セキュリティ上の問題に気づいたら、悪用したり公開したりする前に、まず私たちにお知らせください。誠実にご報告いただいた調査には、こちらも誠実に対応します。

01

報告する

再現手順と影響範囲を添えて、下記の窓口までご連絡ください。

02

受領を確認

内容を確認し、折り返し受領のご連絡を差し上げます。

03

調査と修正

影響を評価し、優先度に応じて修正します。進捗は随時共有します。

04

公表と謝辞

修正後、必要に応じて内容を公表し、ご希望があればお名前を記載します。

テスト時は、他のユーザーのデータやサービスに影響を与えないようご配慮ください。誠実な調査として報告いただいた範囲について、私たちが法的措置を取ることはありません。

報告窓口: help@botshade.com