セキュリティ対策について

「育つ見積」（以下「本サービス」）では、利用者のデータとサービスの安全性を守るため、技術的・運用的なセキュリティ対策を継続的に強化しています。本ページでは、開示可能な範囲で主な取り組みをご案内します。

1. 認証・アクセス制御

• ユーザー認証はクラウド認証基盤を利用し、正当なユーザーのみが操作できる設計です。
• データはユーザー単位でアクセス制御を行い、所有者以外の読み書きを制限しています。
• Storage上のPDF等の読み取りも、所有者のみ許可する制御を行っています。

2. 通信の保護

• 本サービスはHTTPS通信を前提とし、通信経路の盗聴・改ざん対策を行っています。
• セキュリティヘッダー（`X-Content-Type-Options` など）を付与し、ブラウザ側の防御を補強しています。
• CSPは影響を最小化するため、まず `Report-Only` で運用しています。

3. アプリケーション安全対策

• 入力値の検証・サニタイズを行い、不正入力やインジェクションのリスクを低減しています。
• URL取得機能には、内部ネットワーク向けアクセスを遮断する制限を設けています。
• ファイルアップロードは、拡張子・サイズ・保存パスを制限し、危険な内容の混入を防止しています。
• PDF生成のHTML入力は内部利用に限定し、不正な任意HTMLの投入を抑止しています。

4. インフラ防御（WAF / レート制限）

• Cloudflareのマネージドルールセットを有効化し、一般的な攻撃パターンへの防御を行っています。
• APIエンドポイントに対してレート制限を設け、過剰なリクエストを抑止しています。
• 自動的なHTTPSリダイレクトを有効化しています。

5. 監視・ログ

• 運用ログやエラー情報を基に、異常の早期検知と改善に取り組んでいます。
• 必要に応じてアラートや監視設定を調整しています。

6. 脆弱性対応・運用

• 依存ライブラリや外部サービスの更新を継続的に確認しています。
• 高リスクな変更は影響評価のうえ、段階的に反映します。

7. お客様にお願いしていること

• パスワードの使い回しを避け、強固なパスワードをご利用ください。
• 不審な挙動や疑わしい通知があった場合は、速やかにご連絡ください。

8. お問い合わせ

セキュリティに関するご質問・ご報告は、以下の窓口までご連絡ください。

育つ見積 カスタマーサポート
メール：customer@sodatsu-mitsumori.net

最終更新日：2026年2月16日