セキュリティ
1. 通信の暗号化
すべてのクライアント-サーバー間通信は TLS(Transport Layer Security)で暗号化されます。公式URLは https://ozmate.app に統一し、HTTPSを前提に運用します。平文での通信は許可していません。
2. 認証・アクセス制御
- Firebase Authentication: メール/パスワード認証。パスワードはサーバーサイドで安全にハッシュ化されます。
- 二要素認証(2FA): TOTP認証アプリおよびSMSによる二段階認証をサポート。
- Firestore Security Rules: データベースアクセスはサーバーサイドのセキュリティルールにより、認証済みユーザーごとにリソース単位のアクセス制御が行われます。
- 管理者アクセス: ユーザーデータへの管理アクセスは、権限を付与された担当者に限定されます。
3. アプリの完全性検証
Firebase App Check を有効化し、サーバーへのリクエストが正規の OZmate アプリインスタンスから発信されたものであることを検証します。不正なクライアントからのリクエストを軽減します。
4. データ保護
- パスワードは暗号化ハッシュとして保存。平文保存は一切行いません。
- Firebase インフラストラクチャは保存時暗号化(encryption at rest)を提供します。
- データ保持期間はプライバシーポリシーに記載のとおり管理されます。
- アカウント削除時はプライバシーポリシーの規定に従ってデータを削除します。
5. リンクの安全性
Universal Link の Apple App Site Association(AASA)ファイルを継続的に検証し、許可された導線のみを公式リンクとして運用します。不正なディープリンク遷移を防止します。
6. インシデント対応
セキュリティインシデントが発生した場合、速やかに影響範囲を評価し、必要な対策を講じます。影響を受けるユーザーへは適用法令に従い通知します。
7. 脆弱性の報告
セキュリティ上の脆弱性や懸念を発見された場合は、再現手順を添えて以下までご連絡ください。
support@rootpilotai.com
報告を受領後、速やかに調査・対応いたします。責任ある開示にご協力いただいた方に感謝いたします。