セキュリティ

データの保護は、Ottlyの構築方法の根幹です。情報を安全に保つために講じている対策の概要をご紹介します。

インフラストラクチャ

  • OttlyはAmazon Web Services(AWS)でホストされ、エンタープライズグレードの物理・ネットワークセキュリティを活用しています。
  • すべてのサービスはプライベートサブネット内の分離されたコンテナで実行され、バックエンドシステムへの直接のパブリックインターネットアクセスはありません。
  • インフラストラクチャはPulumiを使用してコードとして管理され、一貫性のある監査可能なデプロイメントを保証します。

データ暗号化

  • 転送中のすべてのデータはTLS 1.2以上で暗号化されています。
  • 保存中のデータは、データベースおよびストレージプロバイダーが提供するAES-256暗号化で暗号化されています。
  • OAuthトークンなどの機密認証情報は、保存前にアプリケーションレベルで暗号化されます。

認証とアクセス制御

  • ユーザー認証は、短期アクセストークンとローテーティングリフレッシュトークンを使用した安全なセッショントークンで処理されます。
  • ソーシャルログイン(Google OAuth)は業界標準のOAuth 2.0フローでサポートされています。
  • すべてのAPIエンドポイントで認証と認可チェックが実施されます。

アプリケーションセキュリティ

  • ワークフローコードの実行は、メインアプリケーションから分離されたサンドボックス環境で行われます。
  • インジェクション攻撃を防ぐために、入力バリデーションと出力エンコーディングが適用されています。
  • 既知の脆弱性に対処するため、依存関係は定期的にレビューおよび更新されます。

データ取り扱い

  • 広告目的で第三者にデータを販売・共有することはありません。
  • LLM APIコールは、モデルトレーニングにデータを使用しないプロバイダーAPIを使用して行われます。
  • アカウントと関連データはいつでも削除できます。

インシデント対応

  • 異常なアクティビティを検出するためのモニタリングおよびアラートシステムを維持しています。
  • セキュリティインシデントが発生した場合、影響を受けるユーザーに速やかに通知します。
  • セキュリティに関する懸念はhello@ottly.comに報告できます。