Lablate

セキュリティ担当・情シス向け技術検証レポート

セキュリティとデータ取扱について

最終更新: 2026-05-12

30秒で読める結論

研究データ(ページ本文・データセット・グラフ・画像)は一切外部サーバに送信されません。 すべてブラウザ内ストレージおよびユーザーが指定したローカルフォルダに保存されます。

外部通信が発生するのは「ログイン認証(Supabase Auth・東京リージョン)」と「アプリ本体の配信(Vercel)」の2点のみです。研究データ本体は含まれません。

データの行き先

Lablate を使ったときに、何が・どこに保存されるかを整理します。

データの種類保存場所Lablateサーバーへの送信
研究データ本体
(テキスト・数値・グラフ・画像)		ユーザーのローカルPC / 組織OneDrive送信なし
認証情報
(メール・表示名)		Supabase Auth(東京リージョン)送信(認証時のみ)
アプリ本体
(HTML / JS / CSS)		Vercel CDN(ホスティング)ダウンロードのみ

「Lablate のサーバー」と呼べるものは存在せず、研究データを受信するAPIエンドポイントもコード上に存在しません。

外部通信の完全リスト

Lablate を利用したときに発生するネットワーク通信は、以下が全てです。

1. 初回アクセス

宛先:
Vercel CDN
内容:
HTML / JS / CSS(アプリ本体)
性質:
普通のWebサイト閲覧と同じ。キャッシュ後はオフラインで動作可能

2. ログイン

宛先:
Supabase Auth(東京リージョン)/ 選択した認証プロバイダ(Microsoft または Google)
内容:
OAuth 認可コード、anon key(公開値)、リダイレクトURI
性質:
OAuth 2.0 標準フロー。研究データは含まれない

3. セッション自動更新

宛先:
Supabase Auth
内容:
リフレッシュトークン(HttpOnly Cookie 経由)
性質:
Next.js Middleware によるセッション維持のみ

4. ログアウト

宛先:
Supabase Auth
内容:
現在のセッショントークン
性質:
Cookie 破棄とセッション無効化のみ

以上の4つ以外に外部通信は発生しません。アナリティクス、テレメトリ、エラー監視(Sentry 等)の依存パッケージはゼロです。

同等サービスとのリスク比較

Lablate の認証基盤に預ける情報は、Slack / Notion / GitHub にログインするときと同等のリスクレベルです。いずれも認証情報のみを預け、業務データを預けるわけではありません。

観点Notion / Google DocsLablate
データ主権ベンダー側ユーザー側(100%)
オフライン作業限定的可能(ログイン後)
ベンダーロックインありなし(CSV/Markdown/JSON/PNG)
サーバー障害時使えないローカル作業継続可
データ漏えい時の影響範囲全顧客自分のPCのみ

技術構成(エンジニア向け)

Lablate は React 19 + Next.js 15(App Router)で構築され、ページコンポーネントはクライアントサイドレンダリングを採用しています。

ストレージ層(すべてクライアント内)

  • localStorage: ページツリー、本文、データセット(揮発キャッシュ)
  • IndexedDB: 画像(Blob)+ フォルダハンドル履歴
  • File System Access API: ローカルフォルダ読み書き

ソースコードを `fetch` / `axios` / `XMLHttpRequest` / `WebSocket` で全文検索しても、認証以外の外部通信は1件も存在しません。

認証層

  • プロトコル: OAuth 2.0 Authorization Code Flow + PKCE
  • 認証プロバイダ: Microsoft(Azure AD マルチテナント)/ Google OAuth / メール + マジックリンク
  • セッション管理: HttpOnly Cookie ベース(Next.js Middleware で自動リフレッシュ)
  • Supabase が保持する情報: UUID、メールアドレス、プロバイダ種別、表示名
  • Supabase が保持しない情報: 研究データ全般
  • Row Level Security: 自分のプロフィール行のみ読み書き可能

セルフチェック手順

導入前にご自身でデータの流れを検証したい場合の手順です。

  1. Chrome / Edge の DevTools を開き、Network タブを表示
  2. ページ作成・データセット追加・画像貼り付けなど任意の操作を行う
  3. Network にリクエストが現れなければ、データは外部に出ていません
  4. ログイン操作時のみ <project>.supabase.co へのリクエストが現れますが、ボディを確認しても研究データは含まれません

よくある質問

Q. OneDrive に同期した場合、データが Microsoft に渡るのでは?

A. Lablate はあくまでPCのローカルフォルダに書き込むだけです。そのフォルダがOneDrive同期対象であれば、Windows OS がMicrosoftにアップロードします。これは「Word で保存したファイルがOneDriveに上がる」のと同じで、Lablate 自体は OneDrive API を一切呼びません。組織の OneDrive / SharePoint ポリシーがそのまま適用されます。

Q. Vercel サーバーからデータを抜かれる可能性は?

A. ありません。Vercel は静的アセット配信のみで、ユーザーデータを受信するエンドポイントがコード上存在しません(src/app/ 配下に API Route なし)。仮に Vercel が侵害されても被害は「アプリ改ざん版の配信」止まりで、過去データは守られます。

Q. Supabase が侵害されたら?

A. メールアドレス・表示名・プラン階層の漏洩に留まります。研究データは Supabase に保存されていないため被害範囲外です。Supabase は東京リージョンのマネージドPostgreSQL上で稼働し、リスクレベルとしては Slack / Notion / GitHub にログインするのと同等です。

Q. 将来 LLM 連携が入ったらどうなる?

A. LLM 連携機能を利用するときのみ、対象のテキスト/データが LLM API に送信されます。これは機能の性質上不可避ですが、ユーザーが明示的にその機能を実行したときに限られ、裏でこっそり送られることはありません。

Q. エクスポートしたデータの形式は?

A. 独自形式は存在しません。保存フォルダはあなたが作った階層そのままに、Markdown(.md)/ CSV(.csv)/ 画像(.png・.jpg)が並びます。Lablate を使わなくなっても Excel / テキストエディタ / 画像ビューアでそのまま閲覧でき、フォルダごとコピーすれば移行も完結します。

お問い合わせ

セキュリティ評価・導入検討にあたり追加のご質問がある場合は、以下までご連絡ください。