あなたのデータを あらゆる層で保護
AskLeeはセキュリティを核として構築されています。暗号化されたシークレットから隔離されたボットコンテナまで、16カテゴリにわたる114以上の自動テストで検証済みです。
自動テストで検証済み
114+
セキュリティテスト
16
テストカテゴリ
8,000+
脆弱性テンプレート
24/7
CI/CD検証
セキュリティアーキテクチャ
AskLeeのすべての層がデータを保護するように設計されています。
保存時の暗号化
APIキーとボットトークンは保存前に暗号化されます。データベースが侵害されても読み取ることができません。
技術的詳細
PBKDF2鍵導出によるAES-256-GCM暗号化。操作ごとに一意の初期化ベクトル。暗号化フィールドはログに記録されることもAPIレスポンスで公開されることもありません。
隔離されたボットコンテナ
各ボットは独自の隔離されたコンテナで動作します。あるボットが別のボットのデータやリソースにアクセスすることはできません。
技術的詳細
ボットごとのボリュームと固有のゲートウェイトークンを持つ専用仮想マシン。ボットインスタンス間で共有状態はありません。完全なプロセス分離。
入力バリデーション
すべてのリクエストはインジェクション攻撃を防ぐために検証およびサニタイズされます。
技術的詳細
XSS、SQLインジェクション、パストラバーサル、ヌルバイトインジェクションに対する保護。すべての入力に厳格な文字セットと長さの制限を適用。
タイミングセーフ認証
認証チェックはタイミング攻撃に耐性があります。レスポンス時間からの情報漏洩はありません。
技術的詳細
すべてのシークレットおよびトークン検証にtimingSafeEqual()による定数時間文字列比較を使用。攻撃者による部分一致の推測を防止します。
レート制限とDoS保護
リクエストは悪用を防ぐためにレート制限されています。過大なペイロードは処理前に拒否されます。
技術的詳細
変更操作は毎分5リクエスト、読み取りは毎分20リクエスト。最大ボディサイズ1MB。UpstashによるRedisベースのレート制限。
セキュリティヘッダー
厳格なブラウザセキュリティポリシーがクリックジャッキング、XSS、コンテンツスニッフィングを防止します。
技術的詳細
Content-Security-Policy(unsafe-evalなし)、X-Frame-Options: DENY、X-Content-Type-Options: nosniff、2年間のmax-ageを持つHSTS、厳格なCORSポリシー。
自動セキュリティスキャン
デプロイ前に16カテゴリで114の自動テストが実行され、さらに月次で8,000以上の脆弱性テンプレートによるディープスキャンが行われます。
技術的詳細
ゲートウェイ保護、ディレクトリ公開、HTTPスマグリング、SSRF防止、キャッシュポイズニングなどをカバーするカスタムセキュリティプローブ。Nuclei脆弱性スキャナーによる完全なテンプレートカバレッジで補完。
トランスポートセキュリティ
すべてのトラフィックは転送中に暗号化されます。最新のTLSバージョンのみ受け入れ — 弱い暗号化なし、プロトコルダウングレードなし。
技術的詳細
TLS 1.2および1.3のみ。すべてのエンドポイントでHTTPSを強制。2年間のmax-ageを持つHSTSがプロトコルダウングレード攻撃を防止。公開された内部サービスはゼロ(SSH、データベース、デバッグポートなし)。
多層認証
すべてのメッセージはボットに到達する前に3つの独立した認証チェックポイントを通過します。
チャネル検証
Telegram、Discord、WhatsApp、SlackのWebhook署名はエッジで暗号学的に検証されます。
リレー認可
リレープロキシはボットを解決する前に、HMAC署名付きBearerトークンでAPIに認証します。
ボットごとのシークレット
各ボットインスタンスは固有の暗号化ゲートウェイトークン(約190ビットのエントロピー)を持ちます。1つのボットを侵害しても他のボットには影響しません。
プライバシーとデータ取り扱い
あなたのデータはあなたのものです。以上。
最小限のデータ収集
ボットの実行に必要なものだけを保存します。アナリティクストラッキングなし、行動プロファイリングなし、第三者へのデータ販売なし。
あなたのデータでAIトレーニングしません
あなたの会話やボットのコンテンツがAIモデルのトレーニングに使用されることはありません。すべてのAIプロバイダーとのゼロリテンション契約により、処理後すぐにデータが削除されます。
いつでも削除可能
ダッシュボードからアカウントを完全に削除できます。あなたが削除すれば、私たちも削除します。保持期間なし、隠れたバックアップなし。
コンプライアンスと信頼
業界最高水準の基準を遵守しています。
GDPR準拠
プライバシー・バイ・デザイン、データポータビリティ、削除権、エンタープライズ顧客向けデータ処理契約を提供。
ゼロリテンションAI処理
すべてのAIプロバイダー(OpenAI、Anthropic、Groq)はゼロリテンション契約のもとで運営されています。あなたのメッセージは即時のAPI呼び出しを超えて第三者に保存されることはありません。
SOC 2 Type II 取得中
セキュリティ管理、データ機密性、プライバシー慣行の独立監査検証。2026年完了予定。
脆弱性を発見しましたか?
責任ある情報開示を大切にしています。セキュリティの問題を発見した場合は、非公開で報告してください。セキュリティ脆弱性について公開のGitHub issueを作成しないでください。
メールでご連絡ください security@asklee.ai
問題の説明、再現手順、潜在的な影響を含めてください。
48時間以内に報告の受領を確認することを目指しています。
皆様の貢献を大切にし、セキュリティ謝辞で報告者のクレジットを記載します。