セキュリティと権限

コントロールを犠牲にすることなく、より速く開発を進めましょう。サーバーサイドのサンドボックスにより、すべてのコマンドが隔離された実行環境で実行され、ローカルマシン上では実行されません。

Treasure AI Studio を使用する際にデータを保護するセキュリティの境界（サーバーサイドのサンドボックス、ネットワーク Audit Log、および AI が生成した出力を扱う際の責任）について理解します。

• Treasure AI Studio にサインイン済み（はじめに）
• ネットワーク Audit Log へのアクセスには管理者ロールが必要です

ローカルマシン上で直接コマンドを実行していた Treasure Studio Labs とは異なり、Treasure AI Studio はすべての CLI コマンドとクエリを隔離されたサーバーサイドのサンドボックスで実行します。

これが意味することは以下の通りです：

• ローカルファイルシステムへのアクセスなし。 AI はお使いのコンピューター上のファイルを読み書きできません。ファイル操作は管理されたサーバー環境で行われます。
• サンドボックス実行。 各セッションは、ネットワークとファイルシステムのアクセスが制限された独自の隔離されたワーカーで実行されます。サンドボックスが予期せずクラッシュした場合、「サンドボックス環境が予期せずクラッシュし、再起動しています。しばらく待ってから再試行してください。」というメッセージが表示されます。
• 認証情報の分離。 Treasure AI の認証情報はサーバーサイドで管理され、ブラウザには保存されません。AI はサーバーサイドのアクセストークンを通じて Treasure AI アカウントにアクセスするため、認証情報を直接提供する必要はありません。

アカウント管理者は、設定のネットワーク Audit Log を通じてすべてのネットワークアクティビティを監視できます。

1. 設定を開きます（サイドバーのフッターにあるユーザーアバターをクリック）
2. 左側のナビゲーションで、組織セクションの下にあるネットワーク Audit Log をクリックします

Studio は AI を使用して、クエリ、設定、セグメント、推奨事項などの出力を生成します。これらの出力は：

• 不正確または不完全な場合があります。 生成された SQL、セグメントルール、設定は、本番環境にデプロイする前に必ず確認してください。
• 検証が必要です。 sql-skills:trino-optimizer スキルを使用してクエリのパフォーマンスを確認し、AI に tdx sg validate を実行させてセグメント定義を検証し、ジャーニーには tdx journey validate を使用してください。
• お客様の責任となります。 AI が生成したすべての変更を Treasure AI アカウントにプッシュする前に確認・承認してください。

1. プロジェクトを使用してガードレールを設ける。 「プッシュ前に必ず検証する」「本番セグメントを直接変更しない」などの指示を含むプロジェクトを作成します。
2. ネットワーク Audit Log で監視する。 時間範囲とドメインでフィルタリングして予期しない API 呼び出しを特定するため、ネットワークアクティビティを定期的に確認します。

1. ツール呼び出しを確認する。 AI が実行するすべてのアクションはチャットストリームに表示されます。クエリと API 呼び出しが実行される際に注意して確認してください。
2. 検証にスキルを活用する。 validate-segment や validate-journey などのスキルは、設定エラーがアカウントに反映される前に検出します。

お客様には以下の責任があります：

• デプロイ前にすべての AI 生成出力を確認・検証すること
• シークレット、パスワード、アクセストークンをチャットメッセージに直接埋め込まないこと
• セキュリティに関する懸念事項を security@treasure-data.com に報告すること

• （管理者）設定 > 組織 のネットワーク Audit Log にアクセスする

• アクセスコントロール — PBP、IP Allowlist、および AI 機能へのアクセス
• はじめに — お使いのプラットフォームで Studio をセットアップする
• SSO ログイン — Authentication の詳細
• コアコンセプト — プロジェクト、モデル、クレジット