セキュリティ

データ保護と暗号化

トークンベース認証

アクセストークンは非対称RS256署名を使用し、ユーザーID、セッション追跡、自動有効期限を含みます。各トークンは暗号化で検証され、必要に応じてセッションを即座に取り消すことができます。

安全なセッション管理

ユーザーセッションは、安全なHTTP-only Cookieと短期間のセッショントークンを使用して保護されています。セッションは非アクティブ期間後に自動的に期限切れになり、トークンは安全に保存され、ログアウト時または疑わしいアクティビティ時に無効化されます。セッションデータはクライアント側のスクリプトに公開されることはなく、セッションハイジャックのリスクを軽減します。

時間制限付きファイルアクセス

トレーニング資料とアップロードされたファイルは、60秒後に期限切れとなる短期間の事前署名URLを通じて提供され、機密コンテンツの露出ウィンドウを最小限に抑えます。

トランスポート層セキュリティ

転送中のすべてのデータは、HTTP Strict Transport Security（HSTS）が有効化された業界標準のHTTPSを使用して保護されています。Content Security Policy（CSP）を適用し、フレーム保護を実装し、コンテンツタイプスニッフィングを無効にして、一般的なブラウザベースの攻撃から保護します。

APIキー保護

すべてのAPIキーは、業界標準のアルゴリズムを使用して保存前にハッシュ化されます。送信Webhookは、HMACシグネチャを使用して暗号化署名できるため、プラットフォームから送信されたデータの真正性を検証できます。

サーバーサイドリクエストフォージェリ（SSRF）防止

URLベースのインポートとリモートリソースの取得は厳密に検証されます。標準のHTTP/HTTPSプロトコルのみを許可し、内部ネットワーク、プライベートIP範囲、その他潜在的に危険な宛先へのリクエストを自動的にブロックします。

APIセキュリティ設定

本番環境のAPIアクセスは、厳格なCORSホワイトリストによって保護されており、承認されたドメインのみがデータとやり取りできることを保証します。HTTPパラメータ汚染攻撃は、重複パラメータの拒否によって自動的にブロックされます。

フレーム保護

ダッシュボードはサードパーティのフレームに埋め込むことができず、クリックジャッキング攻撃と不正な埋め込みから保護します。

アクセス制御と承認

マルチテナントセキュリティ

私たちのプラットフォームは、異なるチャットボットとアカウント間で厳格な分離を実施しています。各チャットボットのリソースは完全に分離されており、テナント間の不正アクセスを防ぎます。

ロールベースアクセス制御（RBAC）

組織内のすべてのチャットボットは、読み取りおよび書き込みアクセス制御を実施する細かい権限によって保護されています。チームメンバーは、明示的に表示または変更を許可されたリソースにのみアクセスできるため、適切な職務の分離が保証されます。

会話共有コントロール

会話データは、チャットボットレベルで設定された共有ポリシーを尊重します。会話が特定のチームメンバーに制限されているか、より広く共有されているかにかかわらず、これらの権限はサーバー側で適用され、バイパスすることはできません。

認証とID管理

パスワードセキュリティ

ユーザーのパスワードは業界標準のアルゴリズムを使用してハッシュ化され、平文で保存されることはありません。パスワードリセットフローは、再利用や偽造ができない、暗号化署名された時間制限付きトークンを使用します。

ブルートフォース保護

ログイン試行は、メールアドレスとIPアドレスの両方で監視されます。繰り返し失敗したログイン試行は自動的に一時的なロックアウトをトリガーし、クレデンシャルスタッフィング攻撃からアカウントを保護します。

データ分離とシークレット管理

ベクトルデータベース分離

各チャットボットのトレーニングデータとナレッジベースは、分離されたベクトルデータベース名前空間に保存され、異なるチャットボットやアカウント間でのクロスコンタミネーションの可能性を防ぎます。

シークレット管理

すべての機密認証情報はAWS Secrets Managerに保存され、コードや設定ファイルにコミットされることはありません。データベース接続は、強制暗号化を備えた安全なRDSプロキシを介してルーティングされます。

攻撃防止と入力検証

レート制限と不正使用防止

移動ウィンドウアルゴリズムを使用して、すべてのチャットエンドポイントに包括的なレート制限が適用されます。これにより、サービス拒否攻撃と自動化された不正使用から保護しながら、正当なユーザーが中断のないサービスを経験できるようにします。

クロスサイトスクリプティング（XSS）保護

プレイブック構成、チャットボット名、ルール、トリガーを含むすべてのユーザー生成コンテンツは、業界標準のHTMLサニタイゼーションライブラリを使用して保存前に自動的にサニタイズされます。これにより、悪意のあるスクリプトがプラットフォームに注入されることを防ぎます。

スパムとIPブロッキング

私たちのプラットフォームは、永続的なIPブラックリスト機能を備えたインテリジェントなスパム検出を採用しています。正当なトラフィックはホワイトリストに登録され、誤検知を最小限に抑えながら、悪意のある行為者に対する強力な保護を維持します。

ファイルアップロードセキュリティ

アップロードされたファイルは、ファイル名のサニタイゼーション、ファイルタイプの検証、サイズ制限を含む厳格な検証を受けます。悪意のあるファイルパスは自動的に拒否され、ディレクトリトラバーサル攻撃を防ぎます。

入力検証とスロットリング

ダッシュボード全体の検索クエリとユーザー入力は、長さ制約とレート制限の対象となり、インジェクション試行と不正使用の攻撃面を減らします。

埋め込みドメインコントロール

ウィジェット埋め込みは、親ドメイン検証を使用して特定のドメインに制限できます。時間ベースのアクティブ時間は、チャットボットにアクセスできる時間を制限することで、さらに露出を減らします。

監視とインシデント検出

セキュリティイベントロギング

すべてのセキュリティ関連イベントがログに記録されます。これには、認証失敗、レート制限違反、クォータ超過、拒否されたファイルアップロードが含まれます。これにより、複雑なセキュリティ分析と詳細なコンプライアンス要件のための包括的な監査証跡が提供されます。

集中エラー監視

バックエンドインフラストラクチャとダッシュボードアプリケーションの両方が、エンタープライズグレードのエラー追跡を通じて監視されています。これには、エラーが発生したときに自動的にアクティブになる詳細なセッション再生機能が含まれており、迅速な診断と解決が可能になります。

コンテンツセキュリティとファイル安全性

ウイルス対策スキャン

アップロードされたすべてのファイルとリモートインポートされたコンテンツは、保存または処理される前にサーバーサイドのウイルス対策保護を使用してスキャンされます。これには、トレーニング資料、アバター画像、外部URLからインポートされたすべてのコンテンツが含まれます。

ファイルタイプコントロール

厳格なホワイトリストが、さまざまな目的でアップロードできるファイルタイプを管理しています。ファイルサイズは、リソース枯渇攻撃を防ぐために制限されており、コンテンツは処理前に検証されます。

ウィジェットアクセスコントロール

チャットウィジェットと埋め込みは、IPアドレスまたは地理的位置によって制限できます。これらの制限は、構成に基づいてリアルタイムで適用されます。

ボットトラフィックフィルタリング

自動化されたボットトラフィックは検出され、分析とテレメトリからフィルタリングされ、エンゲージメントメトリクスが本物のユーザーインタラクションを反映することを保証します。

サードパーティ統合セキュリティ

Webhook真正性

送信Webhookには、リクエストが実際にプラットフォームから発信されていることを確認するために検証できるHMACシグネチャが含まれています。Webhookシークレットは安全に生成され、いつでもローテーションできます。

決済プロセッサーセキュリティ

StripeのWebhookイベントは、公式のシグネチャ検証方法を使用して検証され、請求イベントが本物で改ざんされていないことを保証します。

メッセージングプラットフォーム統合

WhatsApp、Instagram、その他のメッセージングプラットフォームとの統合は、検証トークン、イベント重複排除、真正性チェックを使用して、偽装されたメッセージとリプレイ攻撃を防ぎます。

Expertise AI セキュリティ対策