信頼とアシュアランス
まだ受けていない監査のために構築
Big-4、認定機関、MAS、NCA。公開するすべての主張が、シールされ、タイムスタンプされ、証明可能です。
RFC3161タイムスタンプ · 暗号学的シール · デュアルハッシュチェーンレジャー · 7つのRBACロール
2つの独立したチェーン。どちらもワンクリックで検証可能。
多くのプラットフォームは単一の監査ログしか持ちません。AgenticAssureには2つの独立したハッシュチェーン記録があります。1つはすべてのプラットフォームイベント用、もう1つはブロックチェーンに固定されたすべてのテスト結果用です。両者の不一致は数学的に検出できます。
Platform events
Append-only, hash-chained audit log. Every policy change, approval, and violation is immutably recorded.
Policy created
SHA-256: a3f7e9c201b48d56 Approval granted
SHA-256: b8e2d4f31a97c06e Runtime violation
SHA-256: c1d9e56702fb8a34 Audit export
SHA-256: d4a2f8b19c3e07d5 Test results
Blockchain-anchored test evidence. Every result hash-chained and verifiable on MongoDB PoW, Base L2, or Hyperledger.
Test run started
SHA-256: e7c3a9124bf60d82 Security results
SHA-256: f2b8c345d0a91e76 Conformity score
SHA-256: a5d1e67893cf2b04 Blockchain anchor
SHA-256: b9f4d901e2a7c358
14
イベント種別。すべてのアクションがハッシュチェーン、ブロックチェーン固定
2
独立したハッシュチェーン。どちらも検証可能
1-click
オンデマンドのチェーン整合性検証
実務でのデュアルチェーン検証のイメージ
イベント発生
モデルがEU AI Actアセスメントに合格
3月15日、チームがEU AI Actに対する適合性アセスメントを実施。モデルは30のコントロールすべてで合格の適合スコアを達成。
証拠をシール
プラットフォームログエントリのハッシュ+ブロックチェーンアンカー作成
プラットフォームはアセスメントイベントを、これまでのすべてのイベントに連鎖するSHA-256ハッシュで記録。同時に、テスト結果は独自のハッシュでブロックチェーンに固定されます。
監査人が検証
監査人が両チェーンが無改ざんであることを確認
6か月後、外部監査人が期間限定セッションを開始。「チェーン整合性を検証」をワンクリックするだけで、どちらのチェーンも改ざんされていないことが証明されます。証拠は作成当日のままです。
どちらかのチェーンが改ざんされれば、不一致は数学的に検出可能です。信頼は不要。暗号学的証明だけです。
監査人を招待。必要なものだけを見せ、それ以上は見せない。
外部監査人シートは、Big-4パートナー、認定機関、MAS検査官、NCA審査員に、スコープ限定・期間限定・読み取り専用の認証情報を提供します。すべてのアクセスは不変の監査ログに追記されます。external_auditorロールは検証エンドポイントのみにスコープされ、運用コントロールは見えません。
期間限定読み取り専用アクセス
ハードな締切日付きの期限切れ認証情報。常時アクセスなし。エンゲージメント終了後に過剰付与ロールが残らない。
RFC3161タイムスタンプ
すべての証拠パッケージにRFC3161準拠タイムスタンプ。各結果がいつ生成されたかの法的に認められる証明。
暗号学的シール
証拠は配信前にシール。シール後の変更は自動的にシールを破壊。プラットフォームアクセスなしで改ざん検知可能。
プローブマニフェスト
監査人は完全なマニフェストを受領。手法、モデル、ジャッジバージョン、タイムスタンプ、結果ハッシュ付きのすべてのプローブ実行。
不変の監査人トレイル
すべての監査人アクション(アクセスした文書、行ったAPI呼び出し)はセッション開始前にプラットフォーム監査ログに追記。
Big-4 / 認定機関 / MAS / NCA対応
認証情報形式と証拠構造は、主要監査法人と各国規制当局の受入要件を満たします。
オペレーターが見るもの vs 監査人が見るもの
external_auditorロールは検証エンドポイントにスコープされます。運用コントロール、ポリシー設定、モデル接続は見えません。
オペレータービュー
プラットフォーム全体へのアクセス
- Go/No-Goバナー付きオペレーションセンターダッシュボード
- ポリシースタジオ:作成、シミュレーション、エンフォース
- モデル接続とテスト実行
- フレームワークマッピングとアテステーション管理
- ユーザー管理とインテグレーション設定
- エクスポート可能な完全な監査ログ
外部監査人ビュー
検証エンドポイントのみ
- RFC3161タイムスタンプ付きシール済み証拠パッケージ
- 暗号学的シール検証(ワンクリック)
- プローブマニフェスト:手法、モデル、ジャッジ、結果ハッシュ
- 両レジャーのチェーン整合性検証
- 読み取り専用のコンプライアンス状況と適合スコア
- ハードな有効期限付き期間限定セッション
既存の証拠を、さらに活用
SOC 2レポート、モデルカード、DPIA、社内AIポリシーをアップロード。EvidenceExtractionAgentがすべての文書を読み取り、コンプライアンス関連のアサーションを特定し、評価対象のすべてのフレームワークのコンソール上にバイト検証済みアテステーションを下書きします。コンプライアンスチームがレビューして公開。手動抽出なし。コピペミスなし。古い証拠なし。
アップロード、抽出、アテスト、固定
エージェントが下書きする各アテステーションには以下が含まれます:
- ソース文書参照:バイト検証済み、言い換えではない
- フレームワークコントロールのマッピング(AIVTF原則、EU AI Act条項、NISTサブカテゴリ、MindForgeディメンション)
- 人間のレビュー用に下書きされたアテステーションテキスト
- レビュアー名と承認タイムスタンプの記録
- 公開前にブロックチェーンに固定されたハッシュ
対応フレームワークコンソール
あなたのジャッジ。あなたの言語。完全な来歴
ジャッジLLMはBYO(持ち込み)です。OpenAI、Anthropic、Google Gemini、OllamaのAPIキーをご自身で設定。マルチプロバイダーフォールバックチェーン:1つのプロバイダーに到達不能でも、次が自動実行されます。すべてのジャッジプロンプトテンプレートは編集可能。すべての変更は不変の監査ログに記録され、ブロックチェーンに固定されてから有効になります。拒否対応キャリブレーションにより、慎重なモデルが有害なプロンプトを拒否してもペナルティを受けません。正しい拒否は合格としてスコアされます。
マルチプロバイダーフォールバック
OpenAI、Anthropic、Ollama、Google。プロバイダーに到達不能な場合、チェーンの次が自動実行。アシュアランスプログラムの単一障害点なし。
mTLS+カスタムヘッダー
エンタープライズグレードのトランスポートセキュリティ。オンプレミス、プライベートクラウド、エアギャップモデル展開向けのカスタム認証ヘッダー。
ブロックチェーン固定プロンプト
すべてのジャッジプロンプトバージョンがハッシュ化され固定。新旧バージョンが保持され、タイムスタンプと帰属が記録。サイレント編集なし。
すべてのロール、すべてのテナント、すべてのアクションを制御
7つの離散RBACロール(external_auditorを含む)、データベース層で強制されるテナント分離、憲章上譲れないMFA。
提供済みRBAC階層
super_admin
プラットフォーム全体へのアクセス。テナントプロビジョニング、ユーザー管理、システム設定。
admin
テナントスコープの管理。ユーザー管理、ポリシー作成、インテグレーション設定。
tester
テストの作成と実行、結果の閲覧、モデル接続の管理。
compliance
フレームワークマッピング、適合パイプライン、証拠レビューとアテステーション公開。
auditor
テナント内の監査ログ、コンプライアンス状況、テスト結果への読み取り専用アクセス。
viewer
ダッシュボードへの読み取り専用アクセス。設定なし、テスト実行なし。
external_auditor
期間限定、検証エンドポイントのみにスコープ。暗号学的シール、RFC3161タイムスタンプ、プローブマニフェスト。
DB層でのテナント分離
すべてのエンティティにテナント列。クロステナント読み取りは設定ではなくアーキテクチャで防止。
SSO対応(SAML / OIDC)
設定のSSOプロバイダータブが標準搭載。既存のIdP(Okta、Entra ID、Auth0)をカスタム開発なしで接続。
MFA強制(憲章)
TOTP多要素認証はプラットフォーム憲章により必須。テナントレベルで無効化不可。
非人間アイデンティティの厳格性
エージェントとMCPサーバーアイデンティティをDID-JWSとSPIFFEで管理。人間のプリンシパルと同じアイデンティティ厳格性。
SLA、コストゲート、保持:設定済み、願望ではない
エンタープライズアシュアランスプログラムには、セキュリティコントロールと並ぶ運用規律が必要です。重大度別SLAは違反時に自動エスカレーション。コストゲートは暴走支出を未然に防止。保持はテナントごとに規制義務に合わせて設定可能。
自動エスカレーション付き重大度別SLA
Critical 4h、High 24h、Medium 7d、Low 30d。違反時は自動エスカレーション。手動トリアージループ不要。
実行ごとのコストゲート
しきい値(デフォルト$100)を超える事前見積もりには管理者の明示的承認が必要。暴走支出を未然に防止。
設定可能な保持
デフォルト90日、テナントごとに完全設定可能。ほとんどの規制データ保持義務を標準で満たす。
構造化JSONロギング
すべてのプラットフォームイベントを構造化JSONで記録。ログ解析の手間なくSIEMに直接連携。
ヘルスエンドポイント
稼働監視、ロードバランサー、合成チェック用の標準/healthエンドポイント。
ワーカーヘルス可視性
実際のArqワーカーティアがAssuranceモジュールで可視。オペレーターとSRE向けサーフェスが抽象化の裏に隠れない。
12フレームワークをマッピング。120コントロールを追跡。それぞれに証拠を生成。
近日公開
設計段階から憲章に整合
AgenticAssureは公開された独自の憲章に基づいて構築されています。すべてのアーキテクチャ判断、すべての出荷機能を統治する6つの譲れない原則です。
-
アシュアランス
モデルに関するすべての主張は証拠で裏付け。テスト結果、タイムスタンプ、ハッシュ。根拠のない判定はプラットフォームから出ない。
-
人間によるオーバーライド
ランタイムエンフォースメントは機密アクションに人間の承認を要求。承認キューとキルスイッチは、人が機械を止められるために存在。
-
監査可能性
すべてのアクション(ユーザー、システム、API)が不変の監査ログに追記。事後編集は不可。
-
テナント分離
顧客間のデータ境界はデータベース層で強制。テナント漏洩はポリシーではなくアーキテクチャで防止。
-
シークレット管理
APIキーは保存時暗号化(Fernet+KMS抽象化)。ログ、DB、UIに平文認証情報なし。キーローテーション対応。
-
証拠の完全性
テスト結果とジャッジプロンプトはハッシュチェーンされブロックチェーン固定。証拠が生成以来改ざんされていないことを暗号的に証明可能。
サブプロセッサー、プライバシー、利用規約
サブプロセッサー一覧、プライバシーポリシー、利用規約を公開しています。調達アンケート、DPA、NDA保護のセキュリティ文書については、アカウントチームにお問い合わせください。