コンテンツへスキップ

機械翻訳です。正式な情報源は英語版であり、ネイティブによる確認は未完了です。

セキュリティ · 信頼

信頼ではなく、検証 を。

すべての公開リリースは署名、証明され、ソフトウェア部品表とともに出荷されます — 私たちを信頼するのではなく、公開ツールで出所と完全性を検証できます。パイプラインは今日すでに構築済みでCIで実行されています。その証拠は最初のリリースとともに公開されます。

サプライチェーン

すべてのリリースに同梱されるもの

リリースパイプラインはこれらのアーティファクトを自動生成します。公開リリースはまだ存在しません — 「初回リリース」とマークされた項目は、最初のタグ付きリリースが公開された時点で検証可能になります。security.txtは今日すでにライブです。

初回リリース

SLSA Build Level 3

各リリースバイナリはGitHub Actionsにより、slsa-github-generatorを介したSLSA出所証明とともにビルドされます。証明は、バイナリがコミットされたソースから、強化されたビルド環境で、手動介入なしにビルドされたことを証明します。

検証の仕組み
初回リリース

キーレスcosign署名

リリースアーティファクトはSigstore cosign(Fulcio + Rekorによるキーレスモード)で署名されます。公開鍵を配布する必要なく署名を検証できます — 透明性ログが信頼のルートです。

検証ガイド
初回リリース

ソフトウェア部品表

各リリースにはCycloneDXおよびSPDX形式のSBOMが含まれ、すべての依存関係とそのバージョン、ライセンスが記載されています。機械可読、監査可能。

SBOMの検証方法
初回リリース

OpenVEXアドバイザリ

既知の脆弱性とその各リリースへの適用可能性はOpenVEXドキュメントとして公開されます。VEXステートメントは「影響あり」「影響なし」「調査中」を区別します。

アドバイザリの検証方法
ライブ

security.txt (RFC 9116)

RFC 9116に準拠した、/.well-known/security.txtにある機械可読の脆弱性開示ポリシー。連絡先、ポリシーリンク、有効期限を含みます。

security.txtを表示

アーキテクチャ

セキュリティ・バイ・デザイン

Deny-closed

不明な状態は許可ではなく拒否されます。すべてのポリシー決定はデフォルトで拒否 — ポリシーストアに到達できないエンジンは、オープンフェイルするのではなく、すべてのリクエストを拒否します。

追記専用監査

監査台帳は暗号的チェーンを持つ追記専用です。イベントは黙って変更または削除できません — 改ざんはチェーンを破壊し、検出可能です。

外部通信なし

エンジンはお客様の環境内で完全に動作します。ライセンス検証はオフライン(Ed25519署名チェック)です。テレメトリなし、必須のネットワーク呼び出しなし、アクティベーションサーバーなし。

最小権限

CedarベースのRBACとABAC(スコープ付き付与)。カスタムロール、委任上限、デュアルコントロール付きブレークグラス。デフォルトの権限セットは空です。

コンプライアンス

コンプライアンス状況

ライブなもの、構築済みで最初の公開リリースを待っているもの、まだ開始していないものを公開しています。取得していない認証を主張しません。

現在ライブ

  • RFC 9116 security.txt

    機械可読の脆弱性開示ポリシー。/.well-known/security.txtでライブです。

構築済み — 初回リリースで公開

  • SLSA Build Level 3

    slsa-github-generatorを介した出所証明 — 構築済みでCIで実行されており、タグ付きリリースごとに公開されます。

  • SBOM (CycloneDX + SPDX)

    すべてのリリースビルドで生成されるソフトウェア部品表。

  • キーレスcosign署名

    Fulcio + Rekorを介したSigstoreベースのアーティファクト署名。

  • OpenVEXアドバイザリ

    リリースごとの脆弱性適用可能性ステートメント。

計画中

  • SOC 2 Type II

    計画中。マネージドクラウドに必要、セルフホストには不要。

  • ISO 27001

    計画中。スケジュール未確定。

  • 独立ペネトレーションテスト

    計画中。完了次第公開予定。

フレームワーク準備状況

コンプライアンス態勢

本製品は25のコンプライアンスフレームワークカタログに対して機能をマッピングしています。以下はエンタープライズバイヤーから最もリクエストの多いフレームワークの準備態勢です。各項目は準備マッピングであり、認証ではありません。

準備マッピング済み

ISO/IEC 27001:2022

附属書Aコントロールマッピングとエビデンスポインター。未認証。

準備マッピング済み

ISO/IEC 42001:2023

AIMS準備マッピング — 本製品はAIMSが必要とするエビデンスを生成します。未認証。

準備マッピング済み

SOC 2 Type II

Trust Services Criteria(Security / Common Criteria)マッピング。未認証。

準備マッピング済み

EU AI Act

附属書IV技術文書テンプレート。本製品はガバナンスツールであり、附属書IIIシステムではありません。

準備マッピング済み

CSA STAR / AICM

CAIQ v4およびAI-CAIQ(AICM v1.0)自己評価を準備済み。STAR Registryには未提出。

準備マッピング済み

GDPR

crypto-shred付きRTBFランブック、レジデンシー証明、保持および法的保持。セルフホスト:顧客がコントローラーかつプロセッサー。

準備マッピング済み

NIST AI RMF 1.0

生成AIプロファイル(AI 600-1)を含むサブカテゴリーマッピング。

部分的

DORA

ICTリスクビューのエクスポート。情報レジスタージェネレーターはエンタープライズアドオン。

準備マッピング済み

NIS 2指令

ICTサプライチェーン態勢およびインシデント報告エビデンス付きの義務マッピング。

トラストパッケージ

デューデリジェンス文書

トラストパッケージはソースリポジトリに公開されています。エンタープライズバイヤーは、事前記入済みのアンケートや評価ガイドを含む完全なパッケージをenterprise@olivares.aiからリクエストできます。

公開可能なファイルは、出典情報付きのMarkdownスナップショットです。共有可能なソースがない項目は、引き続きリクエストに応じて提供します。

アンケート

CAIQ v4自己評価

CSA Cloud Controls Matrix v4 — エビデンスポインター付き17ドメイン。

ダウンロード(Markdown)
アンケート

AI-CAIQ / AICM自己評価

CSA AI Controls Matrix v1.0 — Model Securityを含む18ドメイン。

ダウンロード(Markdown)
アンケート

セキュリティアンケート回答バンク

SIG 2026、CSA AI-CAIQ、一般的なバイヤーアンケートに整合した33の事前検証済み回答。

ダウンロード(Markdown)
アーキテクチャ

リファレンスアーキテクチャ

バイヤー向けアーキテクチャ:3つのトラストゾーン、デプロイトポロジー、HA/DR、サイジング。

ダウンロード(Markdown)
評価

評価ガイド

10営業日での価値実証 — 実際のバイナリに対するpass/fail基準。

ダウンロード(Markdown)
商用

機能マトリックス

Community(AGPL)vs Enterpriseの完全比較 — 全26アドオン。

ダウンロード(Markdown)
セキュリティ

ハードニングガイド

file:lineエビデンスによる脅威モデル検証 — ペネトレーションテスト対応。

リクエストに応じて提供
アクセシビリティ

VPAT

管理コンソール用Voluntary Product Accessibility Template。

ダウンロード(Markdown)

データ処理

サブプロセッサー

Olivares AIはセルフホストソフトウェアです。製品はお客様のインフラストラクチャ内で完全に動作します — データがお客様のペリメーターを離れることはありません。顧客データのサブプロセッサーは存在しません。LLMプロバイダーは私たちのベンダーではなくお客様のベンダーです。製品はお客様のサードパーティリスク管理のためにそれらを棚卸しします。

マネージドクラウドの提供が導入される場合、データ処理が開始される前にサブプロセッサーがここに一覧表示されます。

ベンダーサービス

当社のWebサイト、ライセンス、コミュニケーションには以下を利用しています。

Cloudflare

稼働中

Webサイトのホスティング、DNS、ボット対策。

Resend

ローンチ時から

トランザクションメールとニュースレター配信。

Polar

商用提供開始時から

商用ライセンスのMerchant of Record。

GitHub

稼働中

ソースコードのホスティングとコミュニティ。

クライアント側の分析プロバイダーは使用せず、ブラウザ内分析も実行しません。

ご自身で検証

私たちの言葉を鵜呑みにしないでください

最初の公開リリース以降、このページのすべてのアーティファクトに関する主張は公開ツールで検証可能です — 同梱スクリプトが署名、証明、SBOMの完全性を順に確認します。まずアーティファクトをダウンロードしてください。インストーラーをシェルにパイプすることは決してしないでください。

# 最初の公開リリースに同梱 — リリースアーティファクトを
# ダウンロードし、そのディレクトリから同梱のベリファイアーを実行:
scripts/verify-release.sh                              # キーレス(Sigstore)
scripts/verify-release.sh --key cosign.pub --offline   # エアギャップ、ネットワークなし

このスクリプトはcosign署名、SLSA出所証明、SBOMおよびOpenVEX証明を確認します。完全な手動コマンドチェーンは、ドキュメントのリリース検証ガイドに記載されています。

エンタープライズ評価

デモ環境を5分でデプロイし、10営業日で完全な価値実証を実行します。評価ガイドには実際のバイナリに対するpass/fail基準が含まれます — スライドなし、サンドボックスなし、本番環境と異なるデモ環境なし。

信頼に関する質問

SOC 2またはISO 27001はありますか?

まだありません。SOC 2 Type IIはマネージドクラウドティア向けに計画中です。私たちは姿勢について正直です: サプライチェーンパイプライン(SLSA L3、SBOM、cosign、OpenVEX)は構築済みであり、その証拠は最初の公開リリースとともに公開されます。

製品のペネトレーションテストは実施済みですか?

まだです。独立したペネトレーションテストが計画されており、完了次第公開されます。

リリースが正規のものであることをどう確認しますか?

最初の公開リリースが出荷された後は、同梱の検証スクリプト(scripts/verify-release.sh)を実行するか、cosignで手動で検証してください — すべてのリリースにSLSA出所証明とcosign署名があり、私たちへの信頼は不要です。それまでは検証すべき公開アーティファクトは存在せず、このページはそれを偽るのではなく、そのままお伝えしています。

データはどこに保存されますか?

Olivares AIはセルフホストです — データはお客様自身のインフラストラクチャに留まります。ベンダーがデータを閲覧、保存、処理することはありません。マネージドクラウド(利用可能時)はデータレジデンシーのコミットメントを提供します。

DPAは利用できますか?

DPAは法務レビュー中です。個人データの処理を伴う契約を開始する前に、enterprise@olivares.aiを通じてリクエストに応じて提供します。

製品はどのコンプライアンスフレームワークをサポートしていますか?

本製品はEU AI Act、NIST AI RMF、ISO 42001、SOC 2、ISO 27001、GDPR、NIS 2、DORA、OWASP Agentic、CSA AICMおよび米国各州のAI法を含む25のフレームワークカタログをマッピングしています。各フレームワークはコントロールごとのエビデンスを持つデータであり、認証の主張ではありません。

製品をどのように評価しますか?

ソースからビルドし、5分でデモ環境を起動し、10日間の評価ガイドに従ってください。すべての基準は実際のバイナリに対するpass/failです。POV中に26のアドオンをアンロックするエンタープライズ評価ライセンスについてはenterprise@olivares.aiにお問い合わせください。

CommunityとEnterpriseの違いは何ですか?

AGPLビルドは完全なプラットフォームです — 何も削除されていません。Enterpriseはリスク軽減およびスケール運用の26の機能(マルチIdP、コンテンツファイアウォール、WORM保持、DORAレジスター等)に加え、AGPLコピーレフトの法的例外とSLA付きサポートを追加します。完全な機能マトリックスはトラストパッケージにあります。

セキュリティは透明性から始まります

すべての公開リリースは署名、証明、文書化されて出荷されます — ご自身で完全性を検証してください。証拠は最初のリリースから公開されます。