---

最終更新日: 2025年7月16日

この翻訳は便宜上提供されているものです。この文書の英語版が法的拘束力のある契約書となります。

Blueは、お客様の重要なプロセスに対してエンタープライズグレードのセキュリティとシームレスな拡張性を提供いたします。高可用性を念頭に設計され、120以上の国の15,000以上のチームに信頼されているBlueは、お客様のグローバルオペレーションを安心してサポートいたします。

当プラットフォームは、コアからセキュリティと拡張性の両方を優先する堅牢なアーキテクチャ上に構築されています。お客様のビジネスが成長するにつれて、プロジェクト管理のニーズも進化することを理解しており、Blueはお客様と共に成長するよう設計されています。小規模チームでも大企業でも、当システムはお客様のワークロードを効率的かつ安全に処理することができます。

セキュアで拡張可能なプラットフォーム

Blueは、お客様のプロジェクト管理ニーズに対して最高レベルのセキュリティと拡張性を確保いたします。当社のエンタープライズグレードの対策は、お客様のデータを保護し、制限なく成長できる環境を提供いたします。

複数の保護層を持つ多層防御セキュリティアーキテクチャを実装しています：

API保護

• インテリジェントレート制限: 操作固有の制限により、使いやすさを維持しながら悪用を防止（例：一般操作で5リクエスト/60秒、エクスポートで1リクエスト/50秒）
• クエリ深度制限: 循環GraphQLクエリ攻撃を防ぐため最大10レベルまで
• リクエストサイズ制限: GraphQL操作で256MB、直接ファイルアップロードではより大きな制限
• セキュリティヘッダー: Helmet.js統合によりX-Frame-Options、X-Content-Type-Options、その他の保護ヘッダーを提供

データ保護

• 入力サニタイゼーション: ユーザー生成HTMLコンテンツはすべてホワイトリスト方式でサニタイズ
• SQLインジェクション防止: Prisma ORMを通じたパラメータ化クエリによりSQLインジェクションリスクを排除
• XSS保護: サーバーサイドサニタイゼーションとVue.jsテンプレートエスケープによりクロスサイトスクリプティングを防止
• ファイルアップロード検証: すべてのアップロードでMIMEタイプ検証、拡張子検証、ファイル名サニタイゼーションを実施

エンタープライズレベルの暗号化

Blueは、お客様の機密データを保護するため、認証済み暗号化を伴う軍事グレードのAES-256-GCM暗号化を実装しています。

10万回の反復を使用するPBKDF2キー導出を伴うGalois/Counter Mode（GCM）でのAES-256暗号化を使用しています。この認証済み暗号化は、データを保護するだけでなく、改ざんされていないことも保証します。各暗号化操作では固有のソルトと初期化ベクトル（IV）を使用し、暗号化されたデータのすべてを暗号学的に固有にしています。お客様のデバイスと当社サーバー間で送信されるすべてのデータは、TLS 1.2以上を使用して暗号化され、WebSocket接続はリアルタイム機能のためWSS（WebSocket Secure）に自動的にアップグレードされます。

高度な保護システム

Blueは、プラットフォームのセキュリティと信頼性を確保するため、複数層の自動保護を採用しています。

リアルタイム保護

• 操作別レート制限: 異なるAPI操作には適切なレート制限を設定（一般操作で5リクエスト/60秒、エクスポートで1リクエスト/50秒、セキュリティ重要操作で3リクエスト/60秒）
• 自動脅威検出: 認証失敗試行と疑わしいパターンが自動保護措置をトリガー
• クエリ複雑性分析: 深いGraphQLクエリは10レベルに制限され、制限に近づくクエリはログ記録
• CORSおよびCSRF保護: クロスオリジンリクエストは適切な認証情報とSameSiteクッキー属性で検証

インフラストラクチャセキュリティ

• Redis支援レート制限: すべてのサーバー全体での分散レート制限により一貫した保護を確保
• セキュアファイル処理: ファイルアップロードはMIMEタイプ、拡張子、サイズ制限（GraphQLで256MB、直接で4.8GB）で検証
• 環境ベースセキュリティ: 開発、ステージング、本番環境に対して異なるセキュリティ設定
• キーローテーション対応: アクセストークンとリフレッシュトークンの個別シークレットにより独立したキーローテーションが可能

多層認証・認可

Blueは、複数の保護層を持つ高度な認証システムを実装しています。

認証方法

• デュアルトークンJWTシステム: 短期間のアクセストークン（15分）と長期のリフレッシュトークン（60日）の組み合わせで露出ウィンドウを最小化
• Personal Access Token（PAT）: API統合用で、保存前にbcryptでハッシュ化され、各リクエストで検証
• Firebase認証: Webおよびモバイルアプリとのシームレスな統合で自動トークン管理
• メールベースセキュリティコード: 機密操作用の時間制限コードで、使用後自動クリーンアップ

きめ細かい認可

当社のGraphQL APIは、Shieldミドルウェアを使用してフィールドレベルで権限を強制します。Owner、Admin、Member、Client、View Only、Comment Onlyの6つの異なる権限レベルを持つロールベースアクセス制御（RBAC）を実装しています。これらの権限は文脈を認識し、すべての操作で会社レベルとプロジェクトレベルの両方のアクセスを確認します。

標準的なロールに加えて、Blueはより詳細なアクセス制御を可能にするカスタムユーザーロールをサポートしています。組織は、canCreateRecords、canEditRecords、canDeleteRecords、canViewAnalyticsなどの特定の権限を持つカスタマイズされたロールを作成でき、各チームメンバーができることを正確に制御できます。カスタムロールは会社レベルとプロジェクトレベルの両方で適用でき、異なるプロジェクト間で異なる権限セットを可能にします。特別なルールがアーカイブされたプロジェクトと非アクティブな会社を処理し、エッジケースでもデータが保護されるよう確保します。

継続的セキュリティ監視

Blueは、セキュリティの完全性を維持するため包括的な監視を実装しています。

当システムには、セキュリティイベント、認証失敗試行、異常なアクセスパターンのリアルタイム監視が含まれています。レート制限により自動的にブルートフォース攻撃を防止し、クエリ深度制限によりリソース枯渇から保護します。セキュリティ関連のすべてのイベントは詳細な監査証跡と共にログ記録され、疑わしい活動の迅速な調査を可能にします。

日次データバックアップ

データの整合性を確保し、必要に応じて迅速な災害復旧を可能にするため、お客様のデータは毎日バックアップされます。

すべての顧客データの自動日次バックアップを実行し、これらのバックアップを安全で地理的に分散した場所に保存しています。さらに、当プラットフォームは包括的なセッションセキュリティを実装しています：

セッション管理

• セキュアクッキー: すべてのセッションクッキーは、httpOnly（JavaScript アクセス防止）、secure（HTTPS のみ）、sameSite='strict'（CSRF保護）フラグを使用
• トークンローテーション: サインイン時にリフレッシュトークンを自動ローテーションしてトークンリプレイ攻撃を防止
• ドメイン分離: ドメイン固有のクッキー設定によるマルチテナントセキュリティ
• 自動期限切れ: 定義された期間後にセッションが期限切れになり、認証アーティファクトのセキュアなクリーンアップを実行

技術的セキュリティ実装

Blueのセキュリティは、アプリケーションアーキテクチャのすべての層に組み込まれています。

フロントエンドセキュリティ

• トークンのローカルストレージなし: 認証トークンはFirebase SDKで管理され、localStorageには保存されない
• 自動トークン更新: トークンは期限切れ前にシームレスに更新
• ルートガード: すべてのページは描画前にユーザー権限を検証
• フォーム検証: サーバー送信前にVeeValidateによる包括的なクライアントサイド検証

バックエンドセキュリティアーキテクチャ

• GraphQL Shield: すべてのAPI操作は特定の権限ルールで保護
• Prisma ORM: タイプセーフなデータベースクエリによりインジェクション攻撃を防止
• Redis支援システム: レート制限とセッション管理にRedisを使用してパフォーマンスと信頼性を確保
• 監査ログ: セキュリティ重要な操作はコンプライアンスとデバッグのためにログ記録

パスワードとトークンセキュリティ

• BCryptハッシュ化: すべてのパスワードとPersonal Access Tokenは適切なワークファクターでbcryptを使用
• 平文保存なし: 機密データは読み取り可能な形式で保存されない
• セキュア比較: タイミング攻撃を防ぐタイミングセーフ比較関数
• ワンタイムコード: セキュリティコードは使用後即座に無効化