Security

ビジネス利用を前提としたセキュリティ設計

MVP段階から、テナント分離・トークン管理・ログ管理を設計に組み込み、運用時のリスクを下げます。

テナント境界の徹底

`tenant_id` / `bot_id` を前提に、データ取得・検索・回答で境界を強制します。

公開トークンの最小権限化

Widget用トークンはチャット用途に限定し、管理権限を持たせません。

入力検証

アップロードサイズ制限・MIMEチェック・不正入力対策を標準実装します。

ログと機密情報

運用ログは最小限にし、PIIのマスクや保持期間管理を行う方針です。

まずは1つ目のAIボットを公開してみましょう

URL/PDFの投入から公開までを短いサイクルで検証し、必要な機能を段階的に広げる進め方を推奨します。