セキュリティポリシー

1. データの暗号化

MCPist では、ユーザーの機密情報を以下の方法で保護しています：

• 外部サービスのアクセストークン・OAuthクレデンシャルは AES-256-GCM で暗号化して保存
• すべての通信は TLS 1.2 以上で暗号化
• データベース接続は SSL/TLS で保護

2. 認証・認可

多層的な認証・認可メカニズムを採用しています：

• ユーザー認証は Clerk によるセキュアなセッション管理
• API キーは Ed25519 署名付き JWT で発行（mpt_ プレフィックス）
• Worker ↔ Server 間は短寿命（30秒）の Gateway JWT で認証
• モジュール・ツールごとのアクセス制御と日次利用上限

3. インフラストラクチャ

本サービスは以下のインフラ上で運用されています：

• API Gateway: Cloudflare Workers（DDoS 保護、WAF 標準装備）
• バックエンド: Render.com のマネージドサービス
• データベース: Supabase PostgreSQL（RLS、自動バックアップ）
• DNS/CDN: Cloudflare（DNSSEC 対応）

4. 脆弱性の報告

セキュリティに関する脆弱性を発見された場合は、以下の方法でご報告ください。責任ある開示にご協力いただいた方には適切な対応を行います。

• GitHub リポジトリの Security Advisory 機能をご利用ください
• 公開前に修正する機会を確保するため、脆弱性の詳細は非公開でお送りください

5. ログと監視

サービスの安全性を維持するため、以下の監視を実施しています：

• API リクエストのアクセスログ記録
• 異常なアクセスパターンの検出
• 定期的なヘルスチェックによるサービス稼働監視

6. お問い合わせ

セキュリティに関するお問い合わせは、GitHub リポジトリの Issue または Security Advisory よりご連絡ください。