セキュリティ

ZillaSoftのセキュリティ

アカウント、データ、製品を支えるインフラストラクチャを保護する方法。

私たちが行っている保護対策

これらのプラクティスは今日から有効です。将来の計画ではありません。

常時HTTPS

すべてのトラフィックはHTTPSのみで提供されます。HTTPリクエストは拒否されます。プロトコルダウングレード攻撃を防ぐため、HSTSはmax-age1年で適用されています。

セキュリティヘッダー

すべてのレスポンスにX-Content-Type-Options、X-Frame-Options（DENY）、Referrer-Policy（strict-origin-when-cross-origin）、CDNレイヤーで適用される厳格なContent Security Policyが含まれます。XSS保護は非推奨のX-XSS-Protectionヘッダーではなく、script-src 'self'ポリシーを持つCSPによって処理されます。

Auth0による認証

すべてのユーザー認証はPKCEフローを通じてAuth0が管理します。ZillaSoftはパスワードを保存しません。セッショントークンはメモリに保持され、localStorageには決して保存されません。

保存データの暗号化

すべてのSnipzillaスニペットデータはAES-256-GCMでローカルに暗号化されます。暗号化キーはデバイスのOSキーリングに保存され、データと一緒にディスクに書き込まれることはありません。スニペットファイルは保存中は読み取り不能であり、基礎ストレージへの直接アクセスがあっても同様です。

CDNによるグローバル配信

ZillaSoftウェブサイトはグローバルに分散されたCDNであるAWS CloudFront経由で提供されます。静的アセットは各訪問者の近くのエッジロケーションから提供され、オリジンサーバーは公共のインターネットに露出しません。

メール認証

zillasoft.ioからのすべての送信メールはDKIM署名とDMARCポリシー適用により保護されています。これによりメールなりすましが防止され、トランザクションおよび通知メッセージのメール整合性が確保されます。

ボット・スパム対策

すべての公開フォームはCloudflare Turnstileを使用して、侵襲的なトラッキングなしに人間による送信を確認します。二次ハニーポット層が、リクエストがバックエンドに届く前に自動ボットをサイレントにフィルタリングします。

APIレート制限

Snipzilla APIはエンドポイントごとのレート制限を適用し、不正使用やブルートフォース攻撃を防ぎます。しきい値を超えたリクエストはアプリケーションロジックに到達する前に拒否されます。

スニペットはデバイスに保存

Standardプランユーザーのスニペットデータはローカルのマシンにのみ保存され、ZillaSoftのサーバーに送信されることはありません。クラウド同期はPremiumおよびEnterpriseプランに含まれており、デフォルトで有効です。同期されたデータはデバイスを離れる前にエンドツーエンドで暗号化されます。

アカウントの完全削除

ユーザーはいつでもダッシュボードから直接アカウントを完全に削除できます。削除はすべてのシステムに連鎖します：サブスクリプションがキャンセルされ、保存されたすべてのデータがデータベースから削除され、認証プロバイダーからIDレコードが削除されます。何も残りません。

サードパーティトラッキングなし

ZillaSoftウェブサイトはアナリティクス、広告、フィンガープリンティングスクリプトを一切読み込みません。フォントはセルフホストされているため、Google Fontsや類似サービスへのリクエストは発生しません。このサイトにスコープされた唯一の外部リソースはCloudflare Turnstileで、フォームのボット対策専用に使用されています。

キーロギングは一切なし

Snipzillaは入力中に設定されたトリガー文字を検出するためにグローバルキーボードフックを必要とします。このメカニズムはキーロガーが使用するものと同じであるため、明確にお伝えします：Snipzillaはトリガーとなるキーのみをウォッチします。キーストロークは記録、保存、送信、共有されません。フックは展開トリガーを検出する目的のみに存在し、それ以外には使用されません。

エンドツーエンド暗号化同期

クラウド同期されたスニペットデータはAES-256-GCMを使用してエンドツーエンドで暗号化されます。暗号化と復号化はすべてデバイス上で行われます。サーバーは読み取れない暗号文のみを保存します。最初の同期時にリカバリーコードが生成されます。新しいデバイスでアクセスを復元するために保存してください。すべてのデータはHTTPSによって転送中も保護されています。

責任ある開示

セキュリティ上の問題を発見しましたか？お知らせください。公開開示の前に、プライベートで脆弱性を報告してください。

セキュリティ研究者向けの標準フォーマットで連絡先情報を掲載した security.txt ファイルが /.well-known/security.txt で参照できます。

報告方法

セキュアお問い合わせフォーム（件名に「セキュリティ」を選択）でレポートを送信してください。レポートはプライベートチャンネルに転送され、公開されることはありません。
2営業日以内にレポートの受領を確認し、深刻度に応じて30日以内に修正または緩和策を提供することをお約束します。
公開開示の前に問題を解決する時間をください。責任ある開示の実践に従う研究者は、適切にクレジットされます。

メールをご希望の場合は[email protected]に直接ご連絡いただくこともできます。どちらのチャンネルも同じプライベートセキュリティメールボックスに届きます。

今後の計画

SOC 2 タイプII監査

初期製品リリース後に予定しています。監査期間は、プロセスとコストを正当化する安定したユーザーベースが確立された後に開始されます。

サードパーティセキュリティ検証

独立したセキュリティ評価はエンタープライズ対応ロードマップの一環としてスケジュールされます。

macOSサポート

SnipzillaはWindowsとLinuxをサポートしています。macOSサポートはロードマップに含まれており、コード署名とプラットフォーム認証の要件が整った後にリリースされます。

サードパーティによるアクセシビリティ監査

ZillaSoftの全製品およびウェブプロパティにおけるアクセシビリティへの取り組みを正式に検証するため、WCAG 2.1レベルAAに準拠した独立した監査が計画されています。

Stashzilla クリップボードマネージャー

Windows および Linux 向けのプライバシー重視のデスクトップクリップボードマネージャーで、現在開発中です。グローバル検索オーバーレイ、AI によるクリップタグ付け、Snipzilla との深い統合機能を備えています。

このページの変更

セキュリティプラクティスは時間の経過とともに更新される場合があります。

変更の種類通知

軽微（誤字修正、明確化、法律上の要求）「最終更新日」を更新、即時有効

重要（新しいプラクティス、データ処理、サードパーティ）発効日の少なくとも14日前にメール