// docs / quotas & limits
クォータと制限
以下のすべてのクォータとレート制限値は、ビルド時にエンタイトルメントモジュールから導出されます。そのため、このページがサーバーで実際に強制される内容からずれることはありません。
プラン別エンタイトルメント
| 無料 | ホビー | プロ | 無制限 | |
|---|---|---|---|---|
| スキャン / 月 | 3 | 50 | 200 | Unlimited プラン¹ |
| プロジェクト(検証済みドメイン) | 1 | 1 | 5 | 20 |
| API トークン | 0 | 1 | 5 | 20 |
| Owner-depth scans | いいえ | はい | はい | はい |
| GitHub リポジトリスキャン | いいえ | いいえ | はい | はい |
| スケジュール済み再スキャン | いいえ | いいえ | 3h以上の間隔 | 1h以上の間隔 |
| ライブ脅威検出 | いいえ | いいえ | いいえ | はい |
| 保持期間 | 7日 | 30日 | 90日 | 365日 |
| チーム席数 | 1 | 1 | 1 | 5 |
| サポート | 標準 | 標準 | 優先 | 専用 |
¹ Unlimited プランのスキャン枠はフェアユースの対象です — 利用規約を参照してください。² 既定の上限は ≥1h 間隔のアクティブモニタリング 20 ドメインです。スケジュール間隔を長くする代わりに上限を引き上げたい場合は support@fixweb.app までご連絡ください。
API レート制限
すべての /api/v1/* と /api/mcp リクエストは Bearer トークンのハッシュをキーにし、2つのウィンドウを通過します。
- バースト: 1秒あたり10リクエストです。
- 定常: 1分あたり60リクエストです。
429 の場合、レスポンスには次が含まれます。
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}どのウィンドウに引っかかったかはメッセージ内で示されます(burst (10/s) と steady (60/min))。そのため、クライアントのバックオフを適応できます。
Free プランのスキャンレート制限(IP/24 ごと)
組織あたり月 3 回のスキャン上限に加え、Free プランのユーザーには IP/24 ごとの追加レート制限があります: 1 時間あたり 3 回、1 日あたり 100 回。同じリミッターは匿名インスタントスキャンも対象とし、使い捨てアカウントによる Free 枠の濫用を防ぎます。いずれかの上限を超えるリクエストには HTTP 429 Too Many Requests が返され、Retry-After ヘッダーが付与されます。
サインアップスロットル(IP/24 ごと)
IP/24 あたり 24 時間で成功するサインアップは 5 回までで、Free プランの自動アカウント作成を防ぎます。レート制限されたコールバックは /sign-in?error=rate_limited にリダイレクトされます。
保持
スキャンと検出結果は上の表に従って自動削除されます。匿名の単発スキャンは作成から24時間後に期限切れになります。監査ログは18か月保持されます。監視スナップショットは直近7日分と (domain, signal) ごとの最新ベースラインに削られます。閉じたアラートは90日後に削除されます。すべての保持処理は /api/cron/retention-cleanup により毎日強制されます。