すべてのシークレットはエンドツーエンドで暗号化されます。AES-256-GCM(Advanced Encryption Standard - Galois/Counter Mode)を使用して、クライアント上でランダムなハッシュを生成してシークレットを暗号化します。暗号化鍵は保存されず、シークレットリンク自体に追加されます。完全なリンクがなければ、誰も(当社を含む)あなたのメッセージを復号できません。
パスワードが提供された場合、標準の暗号化に加えてそれを使ってシークレットを暗号化します。当社のインフラすべてにアクセスできても、攻撃者はあなたのメッセージを読めません。シークレットが閲覧された後、データベースから永久に削除します。バックアップはありません。
セキュリティ・バイ・デザイン
-
ゼロトラストアーキテクチャ – いかなる主体(内部・外部を問わず)も本質的に信頼できるとは想定しません。
-
エンドツーエンド暗号化 – すべての接続は HTTPS で保護されます。不正アクセスを防ぐため、データは転送中および保存時に暗号化されます。
-
最小限の攻撃対象領域 – システム内のサービス、エントリポイント、依存関係の数を制限することで、複雑さと露出を減らします。
-
定期的なアップデート – 脆弱性を緩和するため、依存関係を最新に保ちます。
-
完全な透明性 – すべてのコードは Github でオープンソースです。
-
自動セキュリティテスト – 自動ツールを使用して依存関係の脆弱性を検出します。
インフラ
信頼できるプレーヤー、少ない依存関係。 インフラのホスティングには業界のリーダーを選びました:
- Vercel: ウェブサイトと Postgres データベース
- Flow Swiss AG: オブジェクトストレージ(ファイル)
セキュリティレポート(ライブ)
セキュリティリスク評価
クリックしてサードパーティの監査をリアルタイムで確認する。
セキュリティ・バイ・デザイン
ゼロトラスト・アーキテクチャ
内部・外部を問わず、いかなるエンティティも本質的に信頼できるとは考えません。すべてのリクエストが検証されます。
エンドツーエンド暗号化
シークレットはAES-256-GCMを使用して、送信前にお使いのデバイスで暗号化されます。サーバーが平文を見ることはありません。
最小攻撃面
サービス、エントリーポイント、依存関係を制限してリスクを低減します。複雑さが少ないほど、脆弱性も少なくなります。
定期的なアップデート
依存関係は常に最新に保たれ、既知のCVEを監視して、悪用される前に脆弱性を修正します。
完全な透明性
すべてのコードはGitHubでオープンソース公開されています。誰でも実装を監査できます。
自動化されたセキュリティテスト
自動化ツールがプッシュのたびに依存関係の脆弱性をスキャンします。本番環境に到達する前に問題が検出されます。
インフラストラクチャ
信頼性が高く監査済みの少数のプロバイダーに依存しています — 不必要なサードパーティはありません。
| プロバイダー | 役割 | ISO 27001 | GDPR | SOC 2 Type II |
|---|---|---|---|---|
| Vercel Inc. | ウェブサイト & API ホスティング | |||
| Neon Inc. | Postgres データベース | |||
| Flow Swiss AG | オブジェクトストレージ(ファイル) |
FAQ
責任ある脆弱性開示
セキュリティは私たちの最優先事項です — 脆弱性を発見した場合は、ユーザーへの影響が出る前に修正できるよう、security@scrt.link への責任ある開示をお願いします。有用な報告には、問題とその潜在的な影響、再現手順、および概念実証コードやスクリーンショットを含めてください。