FutrixData logo FutrixData
制限と脅威モデル

FutrixData が保護しないもの

FutrixData は AI エージェントと人間のデータベースアクセスにおける特定のリスクを減らします — すべてのデータベースリスクを排除するわけではなく、コンプライアンス認証や完全な IAM、DLP、SIEM スタックの代わりにもなりません。このページはマーケティングコピーの逆 — 製品が行わないもの — であり、自分の環境のどこにフィットするかを判断できるようにするためのものです。

ローカル限定の監査、外部の不変ストレージではない

エージェント監査ログはローカルでハッシュチェーンされています。CLI ベリファイアはチェーン化されたセクション内の変更、削除、挿入、並べ替えられた行を検出します。ホスト制御を持つ攻撃者がすべての行を書き換えてすべてのハッシュを再計算するローカルログ完全書き換えは検出しません。外部アンカーなしには、切り捨てられた末尾が存在したことを証明することもできません。

より強い保証が必要な環境では、エージェントツールイベントを管理する別の追加専用ストア (たとえば、WAL アーカイブを備えた Postgres インスタンス、オブジェクトロックを備えたオブジェクトストア、別ネットワーク内の書き込み専用シンク) にミラーリングしてください。ローカル検証は、外部の不変ストレージの代わりではなく、迅速なオフライン整合性シグナルを提供することを意図しています。

確定的マスキングは匿名化ではない

結果のマスキングは安定したシークレットバック HMAC であり、匿名化ツールではありません。アルゴリズムは HMAC-SHA256 です: HMAC キーは (データソース, フィールド) ごとにローカルシークレットから派生され、出力形式は masked:v1: に続けて HMAC の先頭 16 桁の 16 進数文字列となります — したがって、同じ生の値でもフィールドやデータソースが異なれば異なるハッシュになります。置換は機密値を 仮名化 します: 呼び出し元は生の値を見ることなく呼び出し全体で一貫したハッシュを見ますが、マッピングは設計上確定的です。ローカルマスキングシークレットへのアクセスを持つ誰でも、既知の入力からハッシュを再計算できます。ローカルホストの制御を持つ攻撃者も同じことができます。低カーディナリティの入力空間 (ブール値、性別、年単位の年齢、小規模な列挙型) は、依然として列挙攻撃に対して脆弱です: ゲートウェイを通じて既知の入力を投入できる者、あるいはローカルシークレットを保持する者は、ルックアップテーブルを構築でき、そうしたフィールドを事実上逆引きできます。

確定的マスキングは、分析者のための結合キーを保持しながら、PII を LLM プロンプトとエージェントコンテキストから守るための適切なツールです。データセットを公開リリースするための間違ったツールです — それには k-匿名性、差分プライバシー、または外部シークレットマネージャーを備えた完全なトークン化が必要です。

コンソールは設計上、権限のある人間の生データパス

デスクトップコンソールは、キーボードに座っているエンジニアに生の行を返します。結果のマスキングは意図的にここでは適用されません — コンソールは実データを検査するために存在します。特定のユーザーに生の値が届くのを望まない場合、適切な制御はコンソール側のマスキングではなく、データソース自体へのアクセス (データソース単位 ACL、環境単位の認証情報) です。

エージェント結果パス (MCP、Skill、エージェント CLI) は別途マスクされます。2 つのパスは同じリスクエンジンと同じ監査ログを共有しますが、マスキングは意図的に分岐します。

スキーマメタデータは結果行とは別のパス

AI チャット、スキーマ知識ブラウジング、ER アシスタンスは、設定された LLM プロバイダーへのプロンプトにスキーマメタデータを含める場合があります。結果のマスキングはスキーマメタデータを自動的にカバーしません。スキーマ自体が機密 — KYC テーブル名、規制列名、内部製品コード — の場合は、そのデータソースのスキーマから LLM への送信を無効にしてください。各送信は記録されます。データソースが「AI セーフ」だと仮定する前に、記録を確認してください。

AI プロバイダーには独自のデータポリシーがある

独自の LLM を持ち込むことは、FutrixData があなたのプロンプトや補完を見ないことを意味しますが、設定したプロバイダー (Anthropic、OpenAI、Google、Azure、Ollama など) には独自のデータ保持、トレーニング適格性、地域ルーティングポリシーがあることも意味します。FutrixData は、行がゲートウェイを離れる前にエージェント結果パスで PII をマスクします。LLM プロバイダーが結果のプロンプトで何をするかは、FutrixData ではなく、彼らとの契約によって統制されます。

FutrixData に対して構築する外部 MCP クライアントと外部エージェントには、独自のデータ処理ポリシーもあります。ゲートウェイは呼び出し元に何が返されたかを証明できますが、呼び出し元が次に何をするかを強制することはできません。

認証ではなく、SIEM ではなく、フル IAM ではなく、DLP ではない

FutrixData はデータベースゲートウェイです。以下のものではなく、置き換えません:

マーケティングコピーが主張を避けるもの

マーケティングコピーとこのページが一貫性を保つように、明示的に行わない主張をここに示します:

サイトの他の場所のマーケティングコピーがこのページと矛盾する場合、このページを正典として扱い、hi@futrixdata.com に報告してください。

よくある質問

監査ログがハッシュチェーンされている場合、なぜローカル書き換えが依然として可能ですか?

チェーンは読み取り時にファイルが内部で一貫していることを証明します。完全なホスト制御を持つ攻撃者は、すべての行を書き換え、すべてのハッシュを再計算し、内部で一貫した偽造ファイルを生成できます。それを検出するには、外部アンカー — 攻撃者が到達できない場所のチェーンヘッドのコピー — が必要です。エージェントツールイベントを追加専用外部ストアにミラーリングするのが標準の修正です。

なぜ確定的マスキングは公開リリースには十分ではないのですか?

入力とハッシュの間の安定したマッピングを保持します — それがまさに結合と分析を引き続き機能させるものです。同じプロパティが、ローカルシークレットを保持する誰にとっても、既知の入力に対して可逆になります。公開リリースでは、マッピングを破ることが望ましいです — k-匿名性、差分プライバシー、または別の信頼境界にシークレットを持つトークナイザー。

チーム RBAC が完全に欲しいです。利用可能ですか?

役割、権限、環境スコープ、スキーマスコープを備えたチーム RBAC は、セルフホストゲートウェイの Enterprise エディション機能です。無料デスクトップクライアントは、エージェント単位の ID、アクセスキー、失効、監査帰属を提供します — 単独開発者と小規模 AI ネイティブチームには十分ですが、環境ごとの役割分離には十分ではありません。self-hosted をご覧ください。

FutrixData は悪意のある DB プリンシパルを直接止めますか?

いいえ。ゲートウェイはデータベースの前にあり、データベース自体の付与は変更しません。開発者またはエージェントが直接の DB 認証情報を持っている場合、ゲートウェイをバイパスできます。緩和策は、直接の認証情報を削除し、それらの呼び出し元を FutrixData 経由でルーティングすることです。これにより、エージェント ID、マスキング、監査ログがすべて適用されます。

これはホスト型 SaaS データベースクライアントとどう比較しますか?

ホスト型 SaaS データベースクライアントは、クエリを彼らのサーバー経由でルーティングします — 信頼境界は彼らのもので、監査ログは彼らのもので、認証情報は彼らの環境にあります。FutrixData はローカル (デスクトップ) またはあなたの VPC (Enterprise ゲートウェイ) で実行されます。ゲートウェイは FutrixData サーバーが見るものを見ません。FutrixData サーバーはあなたのクエリや行を見ません。異なるトレードオフ — 利便性対境界制御。

FutrixData をご自身のデータベースで試す

macOS、Windows、Linux 向けの無料デスクトップアプリ。本番環境にはセルフホスト型 Enterprise Edition もご利用いただけます。