ゼロ知識

鍵はデバイス上で生成されます。データは私たちのサーバーではなく、あなたのiCloudに同期されます。暗号化されたデータさえ私たちは見ることができません。

モダンな暗号化

P256 ECDH、ChaCha20-Poly1305、HKDF-SHA256。Apple CryptoKit実装。カスタム暗号化なし。

監査可能

標準的な暗号プリミティブ。Appleの監査済みCryptoKit。実装をレビュー可能。

機密インテリジェンス

タイム記録は脅威データです

あなたのタイムシートには、敵対者が欲しがる情報が含まれています：

クライアント名 - どの企業がセキュリティに投資しているか（または必要としているか）がわかる
業務タイプ - 「ペンテスト - 外部境界」「IR - ランサムウェア」「コンプライアンスギャップ」
脆弱性詳細 - 修正前の発見事項に関するメモ
プロジェクトタイムライン - セキュリティ評価がいつ行われているか
あなたの手法 - 何に時間を費やしているかがアプローチを明らかにする

「ペンテストのメモを平文で保存するタイムトラッカーは使わないでしょう。では、なぜクライアント名や業務説明をそのように保存するものを使うのですか？」

暗号化仕様のレビュー

検証したい方のために。

鍵合意

P-256 (secp256r1) ECDH
- 初回起動時に鍵ペアを生成
- 秘密鍵はiOS Keychainに保存
  （利用可能な場合はSecure Enclave）
- 公開鍵は導出専用

鍵導出

HKDF-SHA256 (RFC 5869)
- ドメイン: "tenths.encryption.v1"
- レコードごとに32バイトのランダムソルト
- 256ビット導出鍵

対称暗号化

ChaCha20-Poly1305 (RFC 8439)
- AEAD構成
- 256ビット鍵、96ビットnonce
- 認証タグで改ざんを防止

鍵バックアップ

BIP-39 12語ニーモニック
- 標準ワードリスト
- 完全な鍵マテリアルを復元
- HWウォレットフローと互換

完全な暗号化仕様

脅威モデル

様々なシナリオでデータがどうなるか。

シナリオ	あなたのデータ
私たちのサーバーが侵害された場合	盗むユーザーデータがありません - あなたのiCloudにあります
悪意ある従業員がバックエンドにアクセス	アクセスするものがありません - データを保存していません
政府が記録を召喚	提出するものがありません - データはあなたのCloudKitにあります
会社が買収された場合	新しい所有者はユーザーデータを取得しません - 最初から私たちのものではありません

「これはあなたがクライアントに推奨するアーキテクチャです。今度は自分で使ってください。」

セキュリティ業務

ペンテスト＆アセスメント追跡

クライアント: メガコープ・インダストリーズ
├── 案件: 外部ペネトレーションテスト Q1
│   ├── エントリ: 偵察 (4.2時間)
│   ├── エントリ: 攻撃試行 (6.8時間)
│   └── エントリ: レポート作成 (3.1時間)
└── 案件: 内部アセスメント Q2
    ├── エントリ: ネットワーク列挙 (2.5時間)
    └── エントリ: AD権限昇格 (5.3時間)

クイックノート（暗号化） - 「ログインポータルにSQLiを発見」
複数の料金タイプ - アセスメント vs. レポート作成
定額 + 時間制 - 将来の交渉のためにスコープクリープを追跡

クライアントがセキュリティについて質問するとき

エンタープライズクライアントはベンダーセキュリティ質問票を送ります。タイムトラッキングについて質問されたとき：

データは保存時に暗号化されていますか？

はい。すべてのデータはChaCha20-Poly1305を使用して、保存または同期の前にデバイス上で暗号化されます。

データは転送時に暗号化されていますか？

はい。iCloud同期はTLSを使用します。さらに、データは送信前にエンドツーエンドで暗号化されています。

誰が業務データにアクセスできますか？

あなただけです。データはデバイス上で暗号化され、個人のiCloudに同期されます - 私たちは見ることも、保存することも、アクセスすることもできません。

SOC 2認証はありますか？

SOC 2は企業が顧客データをどのように扱うかを認証します。私たちは顧客データを全く扱いません - データはデバイス上で暗号化され、私たちのサーバーではなくあなたのiCloudに同期されます。監査対象がありません。

ユースケース

ペネトレーションテスター - 個人コンサルタント

「年間20社以上のクライアントにペンテストを行っています。各業務には武器化される可能性のある発見事項が含まれています。そのデータを他人が管理するシステムに置くことはできません。」

解決策：Tenthsで各クライアントを作成し、各業務を案件として設定。偵察、テスト、レポート作成時間を追跡。発見事項についてメモを追加（暗号化）。クライアントリストと発見事項はあなたの鍵で暗号化されたままです。

セキュリティ企業 - 複数コンサルタント

「8人のコンサルタントがいます。請求のためのタイムトラッキングが必要ですが、コンサルタント間でクライアントデータへのクロスアクセスは許可できません。」

解決策：各コンサルタントが自分のデバイスで独自の鍵を使ってTenthsを使用。統合請求のためにPSAに時間をエクスポート。コンサルタント間でクライアントデータへの共有アクセスなし - 設計上。

インシデントレスポンダー - オンコール

「ランサムウェアインシデントで午前2時に電話がかかってきます。保険償還請求のために即座に正確に時間を追跡する必要があります。」

解決策：ホーム画面にウィジェット。ワンタップで追跡開始。クライアントがわかったら追加。インシデントに関するメモは暗号化されたまま。保険請求サポートのための詳細タイムラインをエクスポート。

vCISO - 複数クライアント

「6社のフラクショナルCISOを務めています。各社は自分たちが唯一のクライアントだと思っています。タイムトラッキングは完璧でなければなりません。」

解決策：各社を別々のクライアントとして設定。アドバイザリー時間、ミーティング時間、プロジェクト作業を追跡。クライアントBの作業中にクライアントAの業務を露出するリスクなし。クライアントごとに別々の請求書をエクスポート。

セキュリティを重視する専門家のために

無料プランは無期限で使用可能。エクスポートが必要になったらアップグレード。

無料

アーキテクチャを試す

✓ 無制限のクライアント/業務
✓ 完全なE2E暗号化
✓ iCloud同期
✓ AIアシスタント
✓ 月1回のエクスポート

始める

Plus

¥1,080/月

アクティブなコンサルティング業務

✓ 無制限のクライアント/業務
✓ 完全なE2E暗号化
✓ iCloud同期
✓ AIアシスタント
✓ 無制限エクスポート

無料トライアル開始

技術的FAQ

暗号化実装を監査できますか？

すべての暗号化操作にAppleのCryptoKitを使用しています - カスタム暗号化なし。実装は標準パターンに従っています。セキュリティ研究者のレビューに対応しています。

AppleのCryptoKitに脆弱性があった場合は？

CryptoKitは監査済み、ハードウェアアクセラレーション対応で、Appleのセキュリティチームによってメンテナンスされているため使用しています。脆弱性が発見された場合、OSと一緒に更新されます。これは独自の暗号化を作るよりも良いです。

データはiCloudにありますか？

暗号化されたデータはCloudKit経由であなた個人のiCloudアカウントに同期されます。私たちは見ることができません。Appleはあなたのプライベートなクoudkitコンテナ内の暗号文のみを見ます。データは私たちのサーバーには触れません。

セルフホストできますか？

いいえ。しかし必要ありません - いずれにしてもあなたのデータにアクセスできません。セルフホスティングには、私たちがサーバーインフラを構築し、あなたがそれを維持する必要があります。私たちのアーキテクチャはそれを不要にします。

APIアクセスはありますか？

現在ありません。APIアクセスにはあなたのデータでリクエストを処理する必要があり、これはゼロ知識モデルと矛盾します。統合にはCSV/Excelにエクスポートしてください。

基準	Tenths	汎用ツール
鍵管理	クライアント側のみ	サーバー側
暗号化	E2E（デバイス上）	保存時（サーバー）
ベンダーアクセス	ゼロ知識	フルアクセス
侵害の影響	サーバーにユーザーデータなし	平文が露出
暗号化標準	P256 + ChaCha20	不明/AES

自分自身の監査に合格するタイムトラッキング