メインコンテンツへ移動
セキュリティとコンプライアンス

コードがどこで動くか、認証情報がどこに保存されるか、誰が何を承認したか

業務プロセスをAIに任せる前に、これらの疑問をはっきりさせておく価値があります。このページでは項目ごとに回答し、各項目はプラットフォームですでに実現されている仕組みに対応しています。

コードステップはDockerサンドボックスで動作します認証情報はAES-256-GCMで暗号化されますオンプレミス配置に対応
6つの防御線

各防御ラインは実現済みの仕組みに対応しています

6枚のカードがそれぞれ1つの事柄を担い、各項目は製品の現在の実装から取られています。

SBX実行隔離
  • コードステップはDockerサンドボックスで実行され、実行のたびに新しいコンテナになります
  • 各言語は専用の実行イメージを使います
  • コンテナの外部通信は制御され、デフォルトのタイムアウトは30秒です
AES認証情報の安全性
  • 認証情報はAES-256-GCMで暗号化して保存されます
  • 暗号化キーはローテーションに対応します
  • Claude Pro / ChatGPTはサブスクリプションログインを利用でき、API Keyを貼り付ける必要はありません
SSOID とアクセス
  • 14種類のOAuth / OIDCログイン方式に対応し、自前のOIDCを含みます
  • API Keyは6種類の最小権限のスコープに沿って発行されます
  • 実行のトリガー、結果の読み取り、承認への応答は、それぞれ別のKeyを使えます
GATE承認ゲート
  • manual_approvalを付けたステップは実行を一時停止し、通知はApp内、メール、APIの3つの経路を通ります
  • 承認リストの数値は直接変更でき、例えば入札を変更してから承認できます
  • タイムアウトすると自動的に却下し、時間は設定可能です
LOG監査と追跡
  • 実行タイムライン、各ステップのログ、token使用量とコストを都度記録します
  • 実行の過程はJSON / YAMLでエクスポートできます
  • Enterpriseプランは監査ログを提供します
CAPクォータとコスト
  • 並列実行数はプランに応じて制限されます。1 / 5 / 15 / 50
  • 実行履歴はプランに応じて保持され、Teamプランは180日です
  • AIアシスタントの利用量には1日あたりの上限があり、Proプランは20回/日です
実行隔離

7種類の言語のコードステップは、すべてサンドボックスで動作します

python、javascript、typescript、bash、ruby、lua、cli。どの言語であっても、本番環境のコードステップはDockerコンテナ内で実行されます。

コードステップはワークフローの中で最も強力な部分であり、最も境界を必要とします。スクリプトがAIアシスタントによって生成されたものであれ、自分で手書きしたものであれ、実行時には同じサンドボックスに入ります。

  • コンテナは実行のたびに作成され、終了すると破棄されます
  • 各言語には専用の実行イメージがあり、コンテナの外部通信は制御されます
  • ワークフロー変数はWF_VAR_*環境変数として注入されます
  • デフォルトのタイムアウトは30秒です。成果物は独立した経路でエクスポートされ、実行の詳細からダウンロードできます
sandbox-profileproduction
# per-run sandbox profile (illustrative)
container:
  lifecycle: ephemeral              # create, run, destroy
  image: dedicated-per-language  # 7 runtimes
  network: controlled-egress
  timeout: 30s                     # default
env:
  WF_VAR_*: injected
artifacts:
  export: artifact-channel       # fetch from run detail

サンドボックスの挙動を説明するためのサンプル設定であり、製品内の実際のファイルではありません。

データ境界

あなたの認証情報は、あなたが設定した呼び出しにのみ使われます

クラウドではBYOKを使い、モデルのトラフィックはあなたが選んだプロバイダーに直接つながります。より強い境界が必要なら、プラットフォーム一式をあなたの環境に配置します。

ビヨククラウドでの利用

LLMの呼び出しには自分の認証情報を使い、あなたが設定したプロバイダーに直接送られます。プラットフォームはtoken使用量とコストを都度記録し、認証情報はAES-256-GCMで暗号化して保管します。

  • 15社以上のプロバイダーから自由に選べ、1つのワークフロー内で各Agentに異なるモデルを使えます
  • Claude Pro / ChatGPTはサブスクリプションログイン方式での接続に対応します
  • ローカルのOllama / LM Studioに接続でき、モデルの呼び出しはあなたのマシン内にとどまります
SELF-HOSTEDプライベートデプロイ

Enterpriseプランはプラットフォーム一式をあなたの環境に配置し、データはあなたの境界の外に出ません。

  • ワークフロー定義、実行ログ、認証情報はすべてあなたのインフラ内に保存されます
  • 複数インスタンスによる水平スケールで、Prometheusのメトリクスを既存のモニタリングに接続します
  • SSOと自前のOIDCであなたのID基盤と連携します
GDPR

データに関する権利を製品機能にしています

エクスポート、削除、同意の記録の3項目には、いずれも製品内の機能への入口があります。

EXPORTデータエクスポート

製品内でセルフサービスにより個人データをエクスポートでき、データポータビリティの権利に対応します。

DELETE削除権

アカウントと関連データの削除は製品内から開始でき、忘れられる権利に対応します。

CONSENT同意記録

Cookieの同意と認可の判断には記録が残り、時点までさかのぼれます。

セキュリティに関する質問は、メールで直接お問い合わせください
アーキテクチャ、サンドボックス、認証情報、コンプライアンスに関する具体的な質問はadmin@braidrun.comまでお送りください。先に自分で検証したい場合は、登録後にテンプレートのdemoモードで1つのワークフローを動かせます。