<!-- canonical: https://helperx.app/ja/docs/security -->
<!-- lang: ja -->
<!-- updated: 2026-07-16 -->

# Security

Auth token と proxy 資格情報は AES-256-GCM で at rest 暗号化。鍵はサーバー環境変数から導出します。

## 何が暗号化されるか

at rest で暗号化:

- **X auth tokens** — X アクセス用の session cookie。
- **Proxy credentials** — ユーザー/パスワードを含む proxy 文字列。

モジュール設定・display name など非機密データは平文で保存されます。

## 仕組み

機密値は保存前に **AES-256-GCM**（認証付き暗号）で暗号化。値ごとにランダム IV を使うため、同じ token でも ciphertext は毎回異なります。

復号はモジュールが資格情報を必要とする実行時のみ（例: X API 呼び出し）。

## 鍵の設定

鍵はサーバーの **X_TOKEN_ENC_KEY** 環境変数から導出。任意の文字列で可。

未設定の場合、暗号化は無効で資格情報は平文保存。起動時に一度 warning を出します。

## レガシーデータ

暗号化導入前の平文資格情報はそのまま読み、次回保存時に自動暗号化。手動マイグレーションは不要。

## セキュリティ範囲

**守るもの:** DB ダンプや偶発的なディスクアクセス。鍵なしでは暗号化 token は意味を持ちません。

**守らないもの:** サーバー上でコード実行できる攻撃者は env を読み復号できる。SaaS の標準 baseline です。

オペレーター向け: [Token & Session Security for X Tools](https://helperx.app/ja/blog/x-auth-token-security-automation)。cookie や auth token をチャットに貼らないでください。
