Security & Compliance
セキュリティとコンプライアンスへの取り組み
teai.io は、お客様のデータとプライバシーを最優先に設計されています。
エンタープライズグレードのセキュリティ基盤の上で、安心してAI APIをご利用いただけます。
エンタープライズグレードのセキュリティ基盤の上で、安心してAI APIをご利用いただけます。
セキュリティ概要
teai.io は AWS のセキュリティ基盤上に構築されており、通信の暗号化、アクセス制御、監査ログ、データの最小保持を基本原則としています。 APIゲートウェイとしてお客様のプロンプトやレスポンスを保存せず、メタデータのみを限定的に保持する設計です。
プライバシー・バイ・デザイン
プロンプト・レスポンスの非保存を基本原則とし、データの最小化を徹底しています。
AWS セキュリティ基盤
AWS Lambda、API Gateway、DynamoDB の堅牢なインフラストラクチャ上で運用。東京リージョンにデプロイ。
継続的なセキュリティ改善
第三者監査、脆弱性スキャン、認証取得を計画的に進めています。
認証・認定ロードマップ
エンタープライズ利用に向けたセキュリティ認証の取得を計画的に進めています。
SOC 2 Type II
サービス組織の内部統制に関する国際的な保証報告書。セキュリティ、可用性、処理のインテグリティを対象。
ISO 27001
情報セキュリティマネジメントシステム(ISMS)の国際規格。リスク管理と継続的改善のフレームワーク。
ISMAP
政府情報システムのためのセキュリティ評価制度。日本の公的機関でのクラウドサービス利用に必要。
現在、第三者セキュリティ監査を実施中です。監査結果はお問い合わせいただいたエンタープライズのお客様に共有いたします。
データ処理
teai.io はAPIゲートウェイとして、お客様のデータを最小限にのみ取り扱います。
プロンプト・レスポンスの非保存
APIリクエストのプロンプト内容およびLLMからのレスポンスはサーバーに保存されません。リクエスト処理完了後、メモリから即座に解放されます。
メタデータの限定保持
リクエストのタイムスタンプ、使用モデル、トークン数、クレジット消費量などのメタデータのみを保持します。保持期間は90日間(TTL)で、自動的に削除されます。
BYOK(Bring Your Own Key)— 対応予定
お客様自身のAPIキーを使用することで、LLMプロバイダーとの直接通信が可能になる予定です。teai.io はルーティングのみを担当し、データは直接プロバイダーへ送信されます。
BYOK モードのデータフロー(対応予定)
クライアント
→
teai.io
ルーティングのみ
→
ルーティングのみ
LLMプロバイダー
お客様のAPIキーで認証
→
お客様のAPIキーで認証
レスポンス
直接返却
直接返却
DPA(データ処理契約)テンプレートを提供可能です。ご希望の場合は info@enablerhq.com までお問い合わせください。
暗号化
すべてのデータは転送中および保管時に暗号化されています。
通信
TLS 1.2+
すべてのAPI通信はTLS 1.2以上で暗号化。TLS 1.0/1.1は無効化済み。
APIキー
一方向ハッシュ
APIキーは一方向ハッシュで保存。プレフィックス(cw_xxxx...)のみ可読状態で保持。
パスワード
HMAC-SHA256
ユーザーパスワードはHMAC-SHA256でハッシュ化。平文は一切保存しません。
保管時暗号化
AES-256
DynamoDB の保管時暗号化(AES-256)により、ディスク上のデータを保護。
ネットワークセキュリティ
多層防御のアプローチにより、ネットワークレベルでのセキュリティを確保しています。
AWS VPC
バックエンドサービスはAWS VPC内で動作。インターネットから直接アクセスできない構成です。
API Gateway
すべてのリクエストはAWS API Gatewayを経由。認証、レート制限、リクエスト検証を実施します。
IPアドレス制限(Business プラン)
許可リストによるIPアドレス制限を設定可能。特定のネットワークからのみAPIアクセスを許可します。
Private Link — 2026年Q4 対応予定
AWS PrivateLinkによるプライベート接続をサポート予定。インターネットを経由せずにAPIにアクセス可能になります。
WAF
AWS WAFによる不正リクエストフィルタリング。SQLインジェクション、XSS、不正なペイロードを検知・ブロックします。
アクセス制御
適切な認証・認可メカニズムにより、不正アクセスを防止します。
APIキー認証
cw_ プレフィックス付きAPIキーによる認証。キーはアカウントごとに発行・管理され、即座に無効化が可能です。レート制限
DynamoDBアトミックカウンターによるレート制限を実装。DDoS攻撃やAPIの不正利用を防止します。プラン別に制限値をカスタマイズ可能。
監査ログ
すべてのAPI操作の監査ログを90日間保持。アクセス元IP、タイムスタンプ、操作内容を記録します。
インシデント対応
セキュリティインシデントの早期検知と迅速な対応体制を整備しています。
検知
CloudWatch メトリクスおよびアラームによる24時間365日の自動監視。異常なアクセスパターンやエラー率の急増を即座に検知します。
初動対応 — 30分以内
インシデント検知後30分以内にセキュリティチームが初動対応を開始。影響範囲の特定と封じ込めを実施します。
状況報告 — 2時間以内
インシデント発生から2時間以内に、影響を受ける可能性のあるユーザーに対して初回の状況報告を行います。
通知
メールにより全有料ユーザーに通知。インシデントの概要、影響範囲、推奨されるアクションを明記します。
ポストモーテム — 48時間以内
インシデント完了後48時間以内にポストモーテム(事後報告書)を公開。根本原因、対応内容、再発防止策を詳述します。
災害復旧・事業継続(DR/BCP)
サービスの継続性を確保するための対策を講じています。
マルチプロバイダーアーキテクチャ
特定のLLMプロバイダーに依存しない設計。プロバイダー障害時は自動的に代替プロバイダーへフェイルオーバーします。サーキットブレーカーにより障害が伝播しない構成です。
AWS マネージドサービス
Lambda(サーバーレス)、DynamoDB(マルチAZ自動レプリケーション)、API Gateway を活用。AWS の高可用性インフラにより、単一障害点を排除しています。
RTO / RPO
RTO(目標復旧時間): 1時間以内。RPO(目標復旧時点): DynamoDB のポイントインタイムリカバリにより、過去35日間の任意の時点に復元可能です。
BCP(事業継続計画)
インフラ障害、プロバイダー停止、自然災害等のシナリオに対応した事業継続計画を策定しています。定期的な見直しと訓練を実施しています。
脆弱性報告
teai.io のセキュリティ向上にご協力いただける方からの報告を歓迎します。
責任ある開示プログラム
セキュリティ上の脆弱性を発見された場合は、以下のプロセスで報告をお願いします。
1. 報告: security@enablerhq.com に脆弱性の詳細をお送りください。
2. 確認: 2営業日以内に受領確認をお送りします。
3. 調査: 報告内容を調査し、影響範囲を評価します。
4. 修正: 脆弱性を修正し、報告者に結果を通知します。
5. 公開: 修正完了後、必要に応じてセキュリティアドバイザリを公開します。
1. 報告: security@enablerhq.com に脆弱性の詳細をお送りください。
2. 確認: 2営業日以内に受領確認をお送りします。
3. 調査: 報告内容を調査し、影響範囲を評価します。
4. 修正: 脆弱性を修正し、報告者に結果を通知します。
5. 公開: 修正完了後、必要に応じてセキュリティアドバイザリを公開します。
脆弱性が修正されるまで、公開をお控えいただくようお願いいたします。報告者のプライバシーは保護されます。
コンプライアンス
日本国内法および国際的な規制への準拠を維持しています。
個人情報保護法(APPI)
日本の個人情報保護法に準拠したデータ取り扱いを実施。個人データの取得、利用、第三者提供について適切な管理体制を維持しています。
GDPR 対応
EU域内のお客様向けにDPA(Data Processing Agreement)を提供可能。データ処理の透明性と個人の権利を保護します。
電気通信事業法
電気通信事業法に基づく届出を実施。通信の秘密保護および利用者情報の適切な取り扱いを遵守しています。
お問い合わせ
セキュリティに関するご質問、脆弱性の報告、DPAのリクエストなどは下記までご連絡ください。