Autonomous reliability for restricted environments.
Zof generates governed test intelligence, packages it into signed capsules, and executes through customer-controlled runners inside protected networks.
インバウンドアクセスは不要
保護されたネットワークからの外部モデル呼び出しなし
署名済みのイミュータブルなテストカプセル
監査証跡を伴う、顧客が制御する実行
セキュアな環境に異なるモデルが必要な理由
制限されたネットワークは、インバウンドアクセス、管理外のモデル呼び出し、ガバナンスのない自動化を必要とするツールを想定して構築されてはいません。
- -保護対象アプリケーションへのインターネット直接アクセスなし
- -ネットワークセグメンテーションとゼロトラスト境界
- -特権アクセス管理と変更管理
- -データ損失防止とエビデンスの取り扱いルール
- -すべての検証および修復ステップに対する監査証跡
- -エンクレーブ内部からの管理外の外部AI呼び出しなし
Zofのセキュアエンクレーブモデル
インテリジェンスとコントロールはポリシーが許可する場所で動作し、実行は転送ゲートウェイの背後にある顧客境界内に留まります。
インテリジェンスプレーン
ガバナンス管理されたテストインテリジェンス
ポリシーがプランニングと生成を許可する範囲で、Zof Cloud、プライベートクラウド、またはオンプレミスで実行されます。
- -要件とワークフローの分析
- -System Graphのモデリングとリスクの優先順位付け
- -テスト生成とカプセルのアセンブリ
- -ポリシーが許可する範囲での修復プランニング
- -このプレーンからは保護対象アプリへのテスト実行を行いません
コントロールプレーン
顧客がガバナンスを管理する承認
保護された環境で何を実行できるかは、お客様のポリシー、署名、監査証跡によって管理されます。
- -人による承認とロールベースの制御
- -暗号署名とポリシーチェック
- -カプセルのバージョン管理と昇格
- -スケジューリングとエビデンスのルーティング
- -すべてのアクションに対する完全な監査証跡
実行プレーン
お客様の境界内で
顧客が制御するインフラ内で完結して実行されます。機密データは、お客様が送信を承認しない限り内部に留まります。
- -ローカルでのブラウザ、API、デスクトップの検証
- -ローカルでのスクリーンショット、ログ、動画キャプチャ
- -リダクションとローカルなエビデンスバンドル
- -オプションのサニタイズ済みまたはメタデータのみの送信
- -実行時に外部モデル呼び出しに依存しない
セキュアエンクレーブアーキテクチャ
インテリジェンスと制御は保護されたセグメントの外で動作し、実行と証跡は署名済みカプセルとお客様が管理するランナーを介して内部にとどまります。
承認済みのプランニングゾーン
インテリジェンスプレーン
クラウド、プライベートクラウド、またはオンプレミス
制御プレーン
署名済みテストカプセル
お客様の転送境界
お客様が管理するセグメント
実行プレーン
エンクレーブゲートウェイ
Edge Runner
対象アプリケーション
ローカル証跡ストア
オプションのサニタイズ済みエグレス
承認済みのプランニングゾーン
インテリジェンスプレーン
クラウド、プライベートクラウド、またはオンプレミス
制御プレーン
署名済みテストカプセル
お客様の転送境界
お客様が管理するセグメント
実行プレーン
エンクレーブゲートウェイ
Edge Runner
対象アプリケーション
ローカル証跡ストア
オプションのサニタイズ済みエグレス
エンクレーブ型の実行アーキテクチャ
プランニングは承認済みゾーンで行い、実行とエビデンスは顧客が制御する境界内に留めることができる、セグメント化されたインフラ。
セキュアエンクレーブでの実行
署名済みカプセルの転送によるセグメント化された実行。
顧客が制御する実行境界
ランナーをどこに配置するか、何にアクセスできるか、アーティファクトがどのようにセグメントを出るかを、お客様が定義します。
- -実行プレーンはお客様の境界内に留まります
- -機密性の高いランタイムデータを外部SaaSに置く必要はありません
- -中央ダッシュボード向けの、オプションのメタデータのみのサマリー
- -環境ごとのエビデンスおよび保持ポリシー
- -監査のためのランナー許可リストとアイデンティティ
- -既存のセグメンテーションおよびゼロトラストモデルと統合します
署名済みテストカプセル
その場限りのスクリプトではなく、イミュータブルでバージョン管理された承認済みのパッケージ。制約付きのマニフェストが、実行可能な内容を正確に定義します。
テストカプセルのライフサイクル
ガバナンス管理された生成から、署名・承認された実行まで、すべてのステップがバージョン管理され監査可能です。
エンクレーブゲートウェイ
インバウンドアクセスを開放することなく、署名を検証し、ポリシーを適用し、カプセルをステージングし、すべてのアクションをログに記録して、エッジランナーをトリガーします。
PAM クレデンシャルフロー
クレデンシャルは実行時にブローカリングされ、長期的なシークレットは Zof Cloud に保存されません。
ローカルエッジランナー
顧客がデプロイする実行コンポーネントで、保護されたネットワーク内でテストをローカルに実行し、エビデンスを収集し、リダクションを適用し、レポートを生成します。
エッジランナーの実行フロー
署名済みカプセルは、ゲートウェイのポリシーを経てローカル実行と証跡キャプチャへと進みます。
セグメント化されたインフラのサポート
VLAN、DMZ、OTゾーン、事業部門ごとにゲートウェイとランナーを配置し、リスクに応じたポリシーを適用します。
- -セグメントごとのカプセル昇格ルール
- -最もリスクの高いゾーンから慎重にパイロット運用を開始
- -DMZおよび内部限定アプリケーションへの対応
- -エッジランナーによる製造拠点・支社ネットワークへの対応
- -分離されたセグメント内でのSOCおよび管理ツール運用
- -セキュリティアーキテクチャの承認後に展開を拡大
制御されたテレメトリの送出
テレメトリと証跡は、承認された経路のみを通じて送出され、事前に秘匿化処理が適用されます。
テレメトリーフロー
ランナーでのキャプチャから、任意の制御された送信までを実行します。
エビデンスと送信の制御
エビデンスが実行プレーンからどのように出ていくか、そもそも出ていくかどうかも、お客様が選択します。
証跡フローのモード
検証証跡が実行プレーンからどのように送出されるかを選択できます。
ローカルのみ
すべてのスクリーンショット、ログ、動画、レポートがお客様の環境内にとどまります。アウトバウンド転送はありません。
サニタイズ済みエグレス
承認済みのフィールドとアーティファクトは、実行プレーンを離れる前にリダクションポリシーを通過します。
メタデータのみ
中央のダッシュボード向けに、合否のサマリーと非機密のメタデータのみを共有し、生のアプリケーションデータは送出しません。
エンタープライズ向け承認ワークフロー
本番環境への影響が生じる前に、人による認可がカプセルの昇格と統制された修復をゲートします。
修復承認ワークフロー
検知から検証済みの修正までを管理されたパスで実行します。
規制対象環境の事例
金融サービス、医療事務、公共部門のセグメンテーションに関する代表的なパターンであり、顧客による推奨を示すものではありません。
- -勘定系および決済処理のセグメント
- -PHIの境界を持つ医療事務システム
- -DMZアーキテクチャにおけるアイデンティティ・トラスト基盤
- -エッジでの製造OT隣接領域の検証
- -SOC向けVLAN内のセキュリティオペレーションツール
- -匿名化されたモデルについてはデプロイメントハブのシナリオを参照
お客様の運用モデルに適合
標準的なクラウドからエアギャップ環境のオンプレミスまで、同じガバナンス管理されたカプセルモデルで、各プレーンの配置のみが異なります。
| 展開モデル | AI プランニングの実行場所 | 実行の場所 | インターネット要件 | データエグレスモデル | 最適なユースケース | セールスモーション | 価格 |
|---|---|---|---|---|---|---|---|
| Zof Cloud | Zof Cloud | Zof マネージドまたはお客様の Runner | 標準的なアウトバウンド | お客様による設定 | クラウドネイティブなチーム、低摩擦のパイロット | セルフサーブからエンタープライズまで | 公開ティア+エンタープライズ |
| Zof Private Cloud | 専有プライベートクラウド | お客様が制御する Runner | ポリシーで制御されたアウトバウンド | ローカルファースト。オプションで承認済みエグレス | 規制業界、データレジデンシー要件 | エンタープライズセールス | カスタム、営業にお問い合わせください |
| Zof Hybrid Enclave | クラウドまたはプライベートクラウド | エンクレーブゲートウェイ+エッジ Runner | 保護対象セグメントでは不要 | デフォルトでローカル限定。オプションでサニタイズ済み | 銀行、保険、内部限定アプリ | セキュア展開ブリーフィング | カスタム、営業にお問い合わせください |
| Zof On-Prem Control Plane | お客様のデータセンター | お客様が管理する Runner | オプション/エアギャップ対応 | 通常はローカル限定 | インターネットなし、厳格なレジデンシー、内部ガバナンス | アーキテクチャレビューが必要 | カスタム、営業にお問い合わせください |
| Zof Local Edge Runner | ペアリングされたコントロールプレーン | 支店、工場、エッジサイト | 実行には不要 | ローカルの証跡。オプションで同期 | 分散サイト、セグメント化されたネットワーク | エンタープライズ展開へのアドオン | カスタム、営業にお問い合わせください |
| お客様の VPC / VNet | クラウドまたはプライベートクラウド | お客様の VPC 内 Runner | 通常はアウトバウンド専用 | ローカルファースト。ポリシーで制御 | お客様のクラウドアカウント内のエンタープライズ SaaS | アーキテクチャレビュー | カスタム、営業にお問い合わせください |
| プライベート Kubernetes での実行 | お客様が承認したコントロールプレーン | お客様が管理するクラスターエージェント | ポリシーで制御 | ネームスペース単位の証跡 | 既存の K8s 環境を持つプラットフォームチーム | アーキテクチャレビュー | カスタム、営業にお問い合わせください |
| エンドポイントエージェント | ペアリングされた制御プレーン | デスクトップ / VDI / レガシー UI | アウトバウンド登録が標準 | ローカルキャプチャ、サニタイズはオプション | ERP、Citrix、社内デスクトップアプリ | エンタープライズ展開 | カスタム、営業へお問い合わせください |
セキュア展開の価格は、モデル、フットプリント、実装スコープによって異なります。 エンタープライズ展開価格を見る
セキュリティレビューを前提とした設計
取得していない認証を主張することなく、セキュリティチームやリスクチームが期待する制御を提供します。
- SSO/SAML/OIDCおよびロールベースのアクセス制御
- 署名済みランナーと実行の許可リスト
- カプセル、実行、承認に対する監査証跡
- 実行時のPAM互換の認証情報仲介
- 設定可能なリダクションおよび保持ポリシー
- ガバナンス管理された修復の前の人による承認
- エビデンスモード:ローカルのみ、サニタイズ済み、またはメタデータのみ
- 銀行が制御する実行モデルをサポートする設計
セキュアデプロイレビュー チェックリスト
このチェックリストを、セキュリティ、リスク、インフラの各チームでご活用ください。社内レビュープロセスを置き換えるものではなく、補完するために設計されています。
アーキテクチャレビュー
ネットワークセグメントに対するインテリジェンスプレーン、コントロールプレーン、実行プレーンの配置を文書化します。
データフローレビュー
エビデンスや任意の送信経路を含め、どのデータが生成・保存・送信されるかをマッピングします。
ランナーの署名
ランナーのバイナリ、署名鍵、および実行ホストの許可リストを検証します。
PAM モデル
実行時における特権資格情報の統合方法を確認します。
DLP と編集(マスキング)
ローカルエビデンスのフィールドマスキング、スクリーンショットポリシー、保持期間を定義します。
監査証跡
カプセルのプロモーション、実行、承認、および管理操作に関するロギングを検証します。
RBAC と SSO
Zof のロールを企業の ID 管理と最小権限アクセスに整合させます。
デプロイモデルの選択
セグメンテーションのニーズに応じて、クラウド、プライベートクラウド、ハイブリッドエンクレーブ、オンプレミス、またはエッジから選択します。
エビデンスの保管
アーティファクトの保管場所、保持期間、およびアクセス可能な対象者を定義します。
送信制御
環境ごとに、ローカルのみ、サニタイズ済み、メタデータのみのいずれかのモードを選択します。
サポートアクセスモデル
Zof の担当者がシステムにアクセスできるタイミングと、その際の承認ワークフローを文書化します。
パイロットおよびロールアウト計画
堅実なパイロットの範囲、成功基準、本番拡張のゲートを定義します。
セキュアなデプロイメントに関する質問
セキュリティ、インフラ、調達の各レビュー担当者向けの回答です。
Zof でセキュアなデプロイについて相談する
規制対象の企業を支援するチームと共に、セグメンテーション、カプセルのガバナンス、ランナーの配置を検討しましょう。
