セキュリティとプライバシー
プライバシーはNoustの単なる一機能ではありません。アプリケーション全体の基盤です。
データの主権
- ストレージエンジン: メモは堅牢なローカルデータベースである IndexedDB に保存されます。IndexedDBが利用できない稀なシナリオ(制限付きプライベートブラウジングなど)に備え、非永続的な localStorage のフォールバックも維持しています。
- 静的暗号化(At-Rest): ローカルデータベースのAES-GCM暗号化を有効にできます。有効にすると、メモはブラウザに保存される前に暗号化され、誰かがブラウザのデータベースファイルを抽出したとしても、セッションパスワードなしでは内容を解読できなくなります。
- ブラウザの隔離: メモは、ブラウザに組み込まれている同一生成元ポリシー(Same-Origin Policy)によって、他のウェブサイトから隔離されます。
行動追跡なし
私たちはメモがプライベートなものであると信じています。
- 追跡ゼロ: 行動トラッカー、セッションレコーダー、またはマーケティング用Cookieは一切使用していません。
- 匿名化された技術ログ: ほとんどのウェブサービスと同様に、弊社のインフラストラクチャ(Cloudflare/Firebase)は、セキュリティとDDoS防御のために技術ログ(IP、要求メタデータ)を処理します。これらがユーザーのプロファイリングに使用されることはありません。データ処理の詳細については、CloudflareおよびFirebaseのプライバシーポリシーをご参照ください。
クライアントサイド暗号化
クラウド同期は、業界標準の AES-256-GCM 暗号化を使用します。
- ゼロ知識(Zero-Knowledge): メモは弊社およびサービスプロバイダーには解読できません。
- パスワード保存なし: パスワードがサーバーに送信されたり保存されたりすることはありません。
- カスタムSaltのサポート: 高度なユーザーの場合、カスタムSaltによって暗号化プロセスにエントロピーと制御のレイヤーを追加できます。管理方法については、同期とストレージをご参照ください。
検証可能な透明性(監査性)
Noustの 「暗号化」、「クラウド同期」、「ストレージ管理」 の機能は、ブラウザの開発者ツール(F12)を介して手動で監査できるようにオープンに保たれています。
- データの主権: ローカル暗号化(AES-GCM)、キー派生(PBKDF2)、およびサーバーハンドシェイクのロジックは難読化されていません。これにより、マスターパスワード(Master Password)が送信されないこと、およびブラウザから送信されるすべてのデータが暗号化されていることを検証できます。
認証
GoogleおよびGitHubによるサインインをサポートするために、 Firebase Authentication を使用しています。
- これにより、弊社が実際の資格情報を直接扱うことなく、安全なID管理が可能になります。
- セッションはローカルで管理され、GoogleまたはGitHubの資格情報を弊社が直接扱うことはありません。
- これらのプロバイダーの利用は、それぞれのプライバシーポリシーに従います。
インフラストラクチャと信頼性
バックエンドは、高可用性、セキュリティ、および低レイテンシを確保するために、 エッジコンピューティング(Edge Computing) アーキテクチャ、グローバルデータベース、およびキャッシュを利用する サーバーレスアプリケーション で構成されています。
- エンタープライズエッジ保護: Cloudflareのウェブアプリケーションファイアウォール(WAF)、DNSsec、および高度なDDoS緩和を活用して、プラットフォームの整合性を保護します。
- ID管理: Firebase Authenticationを使用して安全なサインインを行い、お客様の資格情報が弊社の独自のインフラストラクチャに触れないようにします。
セキュリティ監査
アドバンスドプランのユーザー向けに、Noustは 監査ログ 機能を提供します。
- 透明性のあるアクセス: 自身のアカウントの重要なアクション(サインイン、プッシュ、プル)を表示します。
- プライバシー第一のロギング: プライバシーを保護するため、OSとアクションの種類のみをログに記録します。
アカウント削除とデータ保持
私たちは「忘れられる権利」を尊重します。Noustはお客様の安全のために 論理削除(Soft Delete) ポリシーを実装しています。
- 削除の確認: アカウントを削除するには、ニックネームの後に
_deleteを入力する確認手順が必要です。 - 猶予期間: 削除リクエスト後、アカウントはただちに停止されアクセスできなくなります。アクションを元に戻したい場合は、サポートにお問い合わせいただくための 30日間の猶予期間 があります。