セキュリティ概要
通信の暗号化
TLS 1.3による強力な暗号化で、すべての通信を保護します。
データの暗号化
AES-256による保存データの暗号化を実施しています。
PII保護
個人情報を自動検出し、マスキング処理を行います。
監査ログ
すべてのアクセスと操作を記録し、追跡可能な状態を維持します。
データ暗号化
通信の暗号化(転送中)
| 項目 | 仕様 |
|---|---|
| プロトコル | TLS 1.3(TLS 1.2も対応) |
| 暗号スイート | AES-256-GCM, ChaCha20-Poly1305 |
| 証明書 | 2048bit RSA / ECDSA P-256 |
| HSTS | 有効(max-age=31536000) |
保存データの暗号化(静止時)
| 項目 | 仕様 |
|---|---|
| 暗号化アルゴリズム | AES-256 |
| 鍵管理 | AWS KMS(Key Management Service) |
| データベース | Amazon RDS暗号化 |
| ストレージ | Amazon S3 SSE-KMS |
PII(個人情報)保護
AITracerは、LLMのログに含まれる個人情報を自動的に検出し、保護する機能を提供しています。
自動検出対象
- メールアドレス:xxx@example.comなど
- 電話番号:日本、米国、国際形式に対応
- クレジットカード番号:主要カードブランドに対応
- 社会保障番号(SSN):米国形式
- マイナンバー:日本の個人番号
- IPアドレス:IPv4, IPv6
保護方法
| アクション | 説明 | 例 |
|---|---|---|
mask |
部分的にマスキング | user@***.com |
redact |
完全に削除 | [REDACTED] |
hash |
ハッシュ化 | a1b2c3d4... |
none |
検出のみ(保護なし) | user@example.com |
SDK設定例
tracer = AITracer(
api_key="at-xxxx",
pii_detection=True, # PII検出を有効化
pii_action="mask", # マスキング処理
pii_types=["email", "phone", "credit_card"] # 対象を指定
)
PII検出はローカルで実行
PII検出はSDK内で実行され、検出・マスキング後のデータのみがサーバーに送信されます。
PII検出はSDK内で実行され、検出・マスキング後のデータのみがサーバーに送信されます。
インフラストラクチャ
クラウドプロバイダー
AITracerはAmazon Web Services(AWS)上で運用されています。
| 項目 | 詳細 |
|---|---|
| プライマリリージョン | 東京(ap-northeast-1) |
| データベース | Amazon RDS(PostgreSQL)、Multi-AZ構成 |
| キャッシュ | Amazon ElastiCache(Redis) |
| ストレージ | Amazon S3(99.999999999%の耐久性) |
| CDN | Amazon CloudFront |
| WAF | AWS WAF(DDoS防御、SQLi/XSS対策) |
ネットワークセキュリティ
- VPC:プライベートサブネットでのリソース分離
- セキュリティグループ:最小権限の原則に基づくアクセス制御
- ネットワークACL:サブネットレベルでの追加防御
- AWS Shield:DDoS攻撃からの保護
アクセス制御
認証
- パスワードポリシー:最低8文字、複雑性要件あり
- 2要素認証(2FA):全プランで利用可能
- SSO:Enterprise プランで SAML 2.0 対応
- セッション管理:自動タイムアウト、同時セッション制限
認可(ロールベースアクセス制御)
| ロール | 権限 |
|---|---|
| オーナー | すべての操作、請求管理、メンバー管理 |
| 管理者 | プロジェクト管理、アラート設定、メンバー招待 |
| メンバー | ログ閲覧、分析、アラート閲覧 |
| 閲覧者 | ログ閲覧のみ |
APIキーのセキュリティ
- キーローテーション:定期的なキー更新を推奨
- 権限スコープ:キーごとにアクセス範囲を制限可能
- 使用状況監視:キーごとのリクエスト数を記録
- 即時無効化:漏洩時に即座に無効化可能
コンプライアンス
GDPR対応
個人情報保護法対応
AWS Well-Architected
GDPR(EU一般データ保護規則)
- データ主体の権利:アクセス権、訂正権、削除権、ポータビリティ権に対応
- データ処理契約(DPA):Enterprise プランで締結可能
- データ所在地:EU域内のリージョン選択可能(Enterprise)
- プライバシーバイデザイン:設計段階からプライバシーを考慮
日本の個人情報保護法
- 個人情報の適正な取得:利用目的を明示
- 安全管理措置:技術的・組織的対策を実施
- 第三者提供:同意なく第三者に提供しない
- 開示請求対応:本人からの請求に対応
今後の取得予定
| 認証・規格 | ステータス | 予定 |
|---|---|---|
| SOC 2 Type II | 準備中 | 2025年Q3 |
| ISO 27001 | 計画中 | 2025年Q4 |
| HIPAA | 検討中 | 未定 |
インシデント対応
監視体制
- 24/7監視:システムの稼働状況を常時監視
- 異常検知:機械学習による異常パターンの検出
- アラート:異常検知時に即座にエンジニアに通知
インシデント対応プロセス
- 検知:監視システムまたはユーザー報告による検知
- 評価:影響範囲と深刻度の評価
- 対応:封じ込めと復旧作業
- 通知:影響を受けるユーザーへの通知
- 事後分析:根本原因の分析と再発防止策
SLA(サービスレベル保証)
| プラン | 可用性保証 |
|---|---|
| Free / Starter | - |
| Pro | 99.9% |
| Enterprise | 99.95%(カスタム可) |
セキュリティに関するお問い合わせ
セキュリティに関するご質問、脆弱性の報告、コンプライアンス関連のお問い合わせは以下までご連絡ください。
- セキュリティチーム:support@aitracer.co
- 脆弱性報告:support@aitracer.co
- コンプライアンス:support@aitracer.co
脆弱性を発見された場合は、責任ある開示をお願いいたします。報告いただいた脆弱性は、確認後速やかに対応いたします。