認証情報とセキュリティ

各連携で保存する API キー・トークン・パスワードを Rankturn がどのように保護し、何をログに残さないかを説明します。

公開プラットフォームや分析サービスを連携すると、Rankturn はあなたの代わりに何らかの秘密情報を保存する必要があります。WordPress のアプリケーションパスワード、Webflow の API トークン、Ghost の Admin API キー、GitHub のトークンなどです。これらの秘密情報が読める平文のまま保管されることはありません。各値は暗号化して保存され、実際に公開や同期が実行される瞬間にサーバー上でのみ解錠されます。ここでは、何がどのように守られているのかを説明します。

秘密情報の保存方法

入力した秘密情報は、保存される前にすべて安全に暗号化されます。仮に保存データを直接読まれたとしても、キーやパスワードは読み取れません。

これを強固にしているポイントが 2 つあります。

  • 秘密情報は 1 つずつ個別に暗号化されます。 たまたま同じパスワードを使っている 2 つの連携でも、保存データ上では別物に見えます。そのため、保存データから「同じパスワードだ」と判別することはできません。
  • 解錠用の鍵はサーバーの外に出ません。 秘密情報を復号できる唯一の鍵はサーバー環境内にのみ存在します。データと一緒に保存されることも、ブラウザに送られることもありません。

見える設定値と、見えない秘密情報

連携で入力する内容のすべてが秘密情報というわけではありません。各連携では、通常の設定値と保護された秘密情報が隣り合わせで保存されます。たとえば Ghost 連携では、サイト URL と選択した公開フォーマットを読める平文のまま保持し、その隣に暗号化された Admin API キーを保持します。

平文で保存暗号化して保存
サイト / ベース URL(Ghost URL、Webflow サイト、WordPress URL など)API キー
形式や挙動の選択(公開フォーマット、同期設定など)トークン
編集画面で再表示される表示用の情報パスワード / API シークレット

サイト URL のような秘密でない設定値が編集画面に表示される一方、API キーの欄が表示されないのはこのためです。URL はそもそも秘密ではないので、隠すものがありません。

再接続:保存済みの鍵を再利用するか、新しい値を入力するか

設定 → 連携 を開き、すでに設定済みの連携を編集するとき、API キーやトークンを再度貼り付ける必要はありません。秘密フィールドは空欄のままにできます。Rankturn は以前保存した秘密情報をそのまま保持します。

ルールはシンプルです。

  • 秘密フィールドを空欄のままにする → 以前保存した秘密情報がそのまま保持されます。
  • 秘密フィールドに新しい値を入力する → 古い秘密情報が新しい値に置き換えられます。

空欄のフィールドが保存済みの秘密情報を消すことはありません。空欄は「今あるものを保持する」を意味します。通常の設定値(URL や形式の選択)は保存のたびに常にフォームから新しく取得されるため、サイト URL だけを更新したい場合は、それを入力して鍵フィールドを空欄のままにするだけで済みます。

連携に「テスト」手順がある場合、鍵を空欄にしていても保存済みの秘密情報で検証できます。Rankturn がテスト実行時に保存値をサーバー側で解錠するためです。

ログに残さないもの

暗号化は、ログやエラーメッセージという裏口から秘密情報が漏れないことと合わせて初めて意味を持ちます。Rankturn はそれらの経路に秘密情報が出ないようにしています。

  • 秘密情報の解錠はサーバー上でのみ、公開や同期が実行される瞬間に行われます。秘密情報は、対象プラットフォームへリクエストを送るのに必要な間だけメモリ上に保持され、どこかへ書き戻されることはありません。
  • 解錠用の鍵がログに出力されたり露出したりすることはありません。 鍵はメモリ上でのみ使用され、データベースに書き込まれることも、ブラウザに送られることもありません。
  • 秘密情報がブラウザに送られることはありません。 編集画面には通常の設定値(サイト URL など)は表示されますが、秘密フィールドに保存値があらかじめ埋め込まれることはありません。再接続が「空欄のままにする」だけで成立するのもこのためです。
  • 接続エラーが秘密情報をそのまま返すことはありません。 プラットフォームが認証情報を拒否した場合、メッセージは認証に失敗した「こと」を伝え、鍵そのものは伝えません。

実務上のポイントとして、この解錠用の鍵こそがすべてを守る唯一のものなので、データベースとあらゆるログの外に保たれています。

これらの秘密情報が実際に使われる場面については、連携・インテグレーション や、WordPress 連携Webflow 連携GitHub 連携Notion 連携Ghost 連携 といった各プラットフォームのページをご覧ください。