メインコンテンツへスキップ
StoryWeave
ホームに戻る

セキュリティ & データ保護

StoryWeaveは、エンタープライズ級のセキュリティで、あなたのデータとAPIキーを守ります

BYOK(Bring Your Own Key)

あなた自身のAPIキーを使用。データ主権を完全に保証します。

AES-GCM暗号化

APIキーを軍事レベルの暗号化で保護。平文保存は一切なし。

監査ログ & 透明性

全動作をJSON形式で記録。いつでも追跡可能。

Row Level Security(RLS)

データベースレベルでのアクセス制御。他ユーザーからのアクセスを完全遮断。

BYOK(Bring Your Own Key)とは

BYOKは、お客様ご自身のAI APIキーを使用してコンテンツを生成する仕組みです。 これにより、データ主権コスト管理を完全にコントロールできます。

対応プロバイダー

現在対応しているAI API:

  • OpenAI(GPT-4、GPT-3.5等)- コンテンツ生成に使用

※ 今後、他のAIプロバイダー(Claude、Gemini等)にも対応予定

BYOKのメリット

💰 コスト透明性

AI APIの使用量をダイレクトに確認。予算管理が容易。

🔒 データ主権

あなたのAPIキー = あなたのデータ。第三者への依存を最小化。

⚡ 柔軟性

OpenAIのレートリミットやモデル選択を自由に設定。

🛡️ リスク分散

StoryWeaveのAPI障害に影響されない独立性。

セキュリティアーキテクチャ

1. APIキーの暗号化保存

お客様のAPIキーは、以下の手順で安全に保存されます:

  1. 入力時: HTTPS通信で暗号化されてサーバーに送信
  2. サーバー側: AES-GCM(256bit)方式で暗号化
    • 暗号鍵はAWS KMSまたは環境変数で厳重管理
    • 各APIキーに一意のIV(初期化ベクトル)を使用
    • 改ざん検知機能(Authentication Tag)付き
  3. データベース保存: 暗号化されたバイナリデータとして保存(平文は一切保存されない)
  4. 使用時: コンテンツ生成時のみメモリ上で一時的に復号化

重要: 運営も、お客様のAPIキーを平文で閲覧することはできません。 暗号化されたデータのみがデータベースに保存されています。

2. Row Level Security(RLS)

Supabaseのデータベースでは、RLSにより以下の保護を実現:

  • ユーザー分離: 各ユーザーは自分のデータのみアクセス可能
  • SQLインジェクション対策: データベースレベルでクエリを検証
  • 不正アクセス防止: 認証トークンと一致しないアクセスを自動ブロック

3. 監査ログ & 透明性

StoryWeaveは、すべての重要な動作をJSON形式で記録します:

  • エージェントの判断内容: Analyst/Writer/Reviewer/Arbiterの各判定理由
  • 生成内容: プロンプト、生成されたコンテンツ、タイムスタンプ
  • API呼び出し履歴: OpenAI APIへのリクエスト・レスポンス(APIキーは記録されない)
  • HITL承認記録: 人間が介入した履歴と判断理由

これらのログはダッシュボードからいつでも確認でき、監査・追跡が可能です。

データの流れ(BYOKの場合)

  1. 1
    設定画面でAPIキーを入力

    HTTPS通信で暗号化されて送信

  2. 2
    StoryWeaveがAPIキーを暗号化して保存

    AES-GCM方式でデータベースに格納

  3. 3
    コンテンツ生成時

    StoryWeaveがAPIキーを復号化し、お客様のキーでOpenAI APIにリクエスト

  4. 4
    OpenAIから生成結果を受信

    お客様のAPIキー経由でデータ取得(OpenAIの利用規約が適用)

  5. 5
    note/Brain/Tipsに投稿

    お客様のアカウントで自動投稿

第三者への情報提供について

BYOK利用時、以下の事業者に情報が送信されます:

  • OpenAI社: コンテンツ生成のため、プロンプトと生成結果が送信されます。OpenAIプライバシーポリシー
  • note/Brain/Tips: 投稿コンテンツが各プラットフォームに送信されます。

詳細はプライバシーポリシーをご覧ください。

その他のセキュリティ対策

自動安全弁(劣化検知・自己回復)

コンテンツ生成の成果が下がった場合、自動で検知し、モデルを再学習。 エラー時は縮退運転(基本機能のみ継続)で無人運転を継続します。

重複回避システム

SimHash、n-gram、埋め込み類似度を組み合わせ、同じテーマでの重複投稿を防止。 冷却期間を設けて品質を維持します。

HTTPS強制 & CORS設定

すべての通信をHTTPSで暗号化。CORS設定で不正なオリジンからのアクセスをブロック。

定期的なセキュリティレビュー

四半期ごとにセキュリティ監査を実施。脆弱性診断・ペネトレーションテストを定期実施。

お客様へのセキュリティ推奨事項

  • APIキーの定期ローテーション: 3〜6ヶ月ごとにOpenAI APIキーを再生成することを推奨
  • OpenAIの使用量モニタリング: OpenAIダッシュボードで異常な使用量がないか定期確認
  • 強固なパスワード設定: StoryWeaveアカウントには複雑なパスワードと2FA(二要素認証)を推奨
  • 生成コンテンツの確認: 公開前に必ず内容を確認し、意図しない情報が含まれていないかチェック

セキュリティに関するお問い合わせ

セキュリティ上の懸念や脆弱性を発見された場合は、速やかにご連絡ください。 責任ある開示にご協力いただいた方には、謝辞を表明させていただきます。

セキュリティ報告・お問い合わせ