# セキュリティと権限 コントロールを犠牲にすることなく、より速く開発を進めましょう。サーバーサイドのサンドボックスにより、すべてのコマンドが隔離された実行環境で実行され、ローカルマシン上では実行されません。 注意 AI はすべてのコマンドとクエリを、ネットワークアクセスとファイルシステムのスコープが制限されたサンドボックス実行環境内で実行します。Treasure AI の認証情報はサーバーサイドで管理され、ブラウザには保存されません。 ## 目的 Treasure AI Studio を使用する際にデータを保護するセキュリティの境界(サーバーサイドのサンドボックス、ネットワーク Audit Log、および AI が生成した出力を扱う際の責任)について理解します。 ## 前提条件 - Treasure AI Studio にサインイン済み([はじめに](/ja/products/ai-studio/getting-started)) - ネットワーク Audit Log へのアクセスには**管理者ロール**が必要です ## サーバーサイド実行環境 ローカルマシン上で直接コマンドを実行していた Treasure Studio Labs とは異なり、Treasure AI Studio はすべての CLI コマンドとクエリを隔離されたサーバーサイドのサンドボックスで実行します。 これが意味することは以下の通りです: - **ローカルファイルシステムへのアクセスなし。** AI はお使いのコンピューター上のファイルを読み書きできません。ファイル操作は管理されたサーバー環境で行われます。 - **サンドボックス実行。** 各セッションは、ネットワークとファイルシステムのアクセスが制限された独自の隔離されたワーカーで実行されます。サンドボックスが予期せずクラッシュした場合、「サンドボックス環境が予期せずクラッシュし、再起動しています。しばらく待ってから再試行してください。」というメッセージが表示されます。 - **認証情報の分離。** Treasure AI の認証情報はサーバーサイドで管理され、ブラウザには保存されません。AI はサーバーサイドのアクセストークンを通じて Treasure AI アカウントにアクセスするため、認証情報を直接提供する必要はありません。 ## ネットワーク Audit Log(管理者専用) アカウント管理者は、設定の**ネットワーク Audit Log** を通じてすべてのネットワークアクティビティを監視できます。 ### アクセス方法 1. **設定**を開きます(サイドバーのフッターにあるユーザーアバターをクリック) 2. 左側のナビゲーションで、**組織**セクションの下にある**ネットワーク Audit Log** をクリックします ### Audit Log の機能 | 機能 | 説明 | | --- | --- | | **時間範囲** | 期間でフィルター:1時間、6時間、24時間、3日、7日、14日、30日 | | **並び順** | 新しい順または古い順 | | **フィルター** | ドメイン、IP、ポート、チャット ID、アクションタイプ(すべての場合は「Any」) | | **カラム** | タイムスタンプ、チャット、アクション、ドメイン、IP、ポート、プロトコル | | **統計** | 一致件数、スキャン件数、スキャンバイト数を表示 | Network Audit Log showing time range selector, filter controls, and activity table 注意 ネットワーク Audit Log タブはアカウント管理者にのみ表示されます。一般ユーザーには設定の「組織」セクションは表示されません。 ## AI 生成出力に関する免責事項 Studio は AI を使用して、クエリ、設定、セグメント、推奨事項などの出力を生成します。これらの出力は: - **不正確または不完全な場合があります。** 生成された SQL、セグメントルール、設定は、本番環境にデプロイする前に必ず確認してください。 - **検証が必要です。** `sql-skills:trino-optimizer` スキルを使用してクエリのパフォーマンスを確認し、AI に `tdx sg validate` を実行させてセグメント定義を検証し、ジャーニーには `tdx journey validate` を使用してください。 - **お客様の責任となります。** AI が生成したすべての変更を Treasure AI アカウントにプッシュする前に確認・承認してください。 ## ベストプラクティス ### チームへの展開を担当する管理者向け 1. **プロジェクトを使用してガードレールを設ける。** 「プッシュ前に必ず検証する」「本番セグメントを直接変更しない」などの指示を含むプロジェクトを作成します。 2. **ネットワーク Audit Log で監視する。** 時間範囲とドメインでフィルタリングして予期しない API 呼び出しを特定するため、ネットワークアクティビティを定期的に確認します。 ### 個人ユーザー向け 1. **ツール呼び出しを確認する。** AI が実行するすべてのアクションはチャットストリームに表示されます。クエリと API 呼び出しが実行される際に注意して確認してください。 2. **検証にスキルを活用する。** `validate-segment` や `validate-journey` などのスキルは、設定エラーがアカウントに反映される前に検出します。 ## セキュリティの責任 お客様には以下の責任があります: - デプロイ前にすべての AI 生成出力を確認・検証すること - シークレット、パスワード、アクセストークンをチャットメッセージに直接埋め込まないこと - セキュリティに関する懸念事項を [security@treasure-data.com](mailto:security@treasure-data.com) に報告すること 注意 Treasure AI Studio のペネトレーションテスト、脆弱性スキャン、またはその他のセキュリティ評価を実施するには、Treasure AI の事前の書面による同意が必要です。 ## 確認事項 - [ ] (管理者)設定 > 組織 の**ネットワーク Audit Log** にアクセスする ## トラブルシューティング | 問題 | 解決策 | | --- | --- | | 「サンドボックス環境が予期せずクラッシュし、再起動しています」 | しばらく待ってからメッセージを再試行してください。問題が続く場合は、新しいチャットを開始してください。操作がサンドボックスのリソース制限を超えている可能性があります | | Audit Log にエントリが表示されない | Audit Log へのアクセスには管理者権限が必要です。組織の管理者にアカウントのロールを確認してください | ## 次のステップ - [アクセスコントロール](/ja/products/ai-studio/security/access-control) — PBP、IP Allowlist、および AI 機能へのアクセス - [はじめに](/ja/products/ai-studio/getting-started) — お使いのプラットフォームで Studio をセットアップする - [SSO ログイン](/ja/products/ai-studio/security/sso-login) — Authentication の詳細 - [コアコンセプト](/ja/products/ai-studio/concepts) — プロジェクト、モデル、クレジット