Self-Serve Security
Edison Watch のゼロ知識認証情報暗号化、トランスポート / OAuth、およびデータ保持。
これらは、すべての Edison Watch テナントが標準で受けられる保護機能です - エンタープライズ契約は不要です。
認証情報の暗号化
Edison は保存される認証情報に対して ゼロ知識暗号化 を使用します。暗号化キーはサーバーに保存されません。
| 認証情報タイプ | 暗号化に使用 | キーの保存 |
|---|---|---|
| ユーザー認証情報 | ユーザーの個人キー | しない -- ハッシュのみ |
| 管理者認証情報 | ドメインキー (任意) | しない -- ハッシュのみ |
ユーザーのキーは、タイプ付きセグメントの複合体です: user:{personal_key}.admin:{org_key}[.role:{name}:{key} ...]。これは X-Edison-Secret-Key リクエストヘッダーでサーバーに届けられ、保持されることはありません。保存される各シークレットは、HKDF-SHA256 を介して導出された AES-256-GCM キーで暗号化されます。info パラメーターには edison-secret:{context} が使用され、ここで {context} はシークレットを一意に識別します (例: server:template_key)。このコンテキストベースの導出により、サーバーが鍵マテリアルを保存することなく、各シークレットに独自の導出鍵を持たせます。
トランスポートと認証
- Auth: HMAC 署名された API キー、または SAML 2.0/OIDC。
- Transport: TLS 1.2 以上必須。
- Isolation: クライアントは Edison サーバーとのみ通信します。MCP バックエンドへのクライアントからの直接アクセスはありません。
データ保持
| データタイプ | ログ | 保持期間 (デフォルト) |
|---|---|---|
| ツール呼び出し | メタデータとパラメータ | 90 日 |
| 結果 | 切り詰められた出力 | 90 日 |
| セキュリティイベント | フラグ変更とブロック | 1 年 |
| 承認 | ユーザーの判断 | 1 年 |
プライバシー: 生のファイルコンテンツや完全な会話履歴は、Edison サーバーで追跡または保存 されません。