エンタープライズ向けのセキュリティ管理
アクセスと制御
Lovableは、Okta、Azure AD、GoogleなどのSAMLおよびOIDCプロバイダーと連携します。SCIMは自動的なプロビジョニングとプロビジョニング解除に対応しています。権限はロールベースで、閲覧、編集、承認、公開のすべてにわたってサーバー側で適用されます。
構築と公開のためのガードレール
編集、承認、公開はそれぞれ別の権限です。一般公開はロールと環境設定によって制御されるため、チームは誤って情報を露出させるリスクなく、すばやく作業を進められます。
シークレットは安全に管理されます
シークレットは保存時に暗号化され、ロールごとにアクセスが制御されます。ログやインターフェース上で平文として公開されることはありません。アクセスは、認可された環境と操作に限定されています。
データレジデンシー
Lovable Cloudは、EU、米国、オーストラリアでのリージョン別のデータホスティングに対応しています。お客様のデータは、選択したリージョン内に保持され、デフォルトではリージョンをまたいで移動することはありません。当社はインフラストラクチャとサブプロセッサーについて透明性を保っているため、データの保管場所と取り扱い方法をいつでも確認できます。
お客様のデータはモデルの学習に使用されません
当社は、お客様のプロンプト、コード、ワークスペースのデータをLovableのモデルの学習に使用することはありません。AIプロバイダーと連携する場合も、契約上の取り決めによって、お客様データの学習や保持を制限しています。お客様の成果物は、お客様のものであり続けます。
設計による分離
各ワークスペースとプロジェクトは論理的に分離されています。顧客データはアカウントをまたいでアクセスされることはありません。環境の境界は明示的に定義され、変更が公開される前に評価されるため、開発環境と本番環境の分離が確保されます。
継続的な監視と不正利用の検出
Lovableはプラットフォーム上のアクティビティを継続的に監視し、不正使用、異常な挙動、侵害を検出します。自動システムがユーザーやワークスペース全体でレート制限を適用し、不正利用を検知します。リスクの高いアクティビティは、当社のトラスト&セーフティチームが確認します。
自動セキュリティスキャン
Lovableは公開のたびに基本的なセキュリティスキャンを自動的に実行し、データベース構成、RLSルール、クラウドプロジェクト設定、既知の設定ミスのパターンを約10〜15秒でチェックします。より詳しく確認したい場合は、ディープセキュリティスキャンをオンデマンドで利用でき、所要時間は約3分です。ワークスペース管理者は、自動修正を有効にして、基本スキャン中に動作に影響しない検出項目をエージェントに解決させたり、重大な検出項目がある場合に公開をブロックしたりできます。BusinessおよびEnterpriseのワークスペースでは、すべてのプロジェクトにわたって定期的なディープスキャンをスケジュールできます。
保護されたインフラストラクチャ
Lovable Cloudは、Webアプリケーションファイアウォール(WAF)による制御、ネットワーク分離、暗号化されたデータストレージ、そしてIP・ユーザー・ワークスペース単位の適応型レート制限によって保護されています。
準拠・認証取得済み
Frequently asked questions
お客様のデータはどこに保存されますか?
お客様のデータは、EU、米国、オーストラリアなどの対応リージョンのLovable Cloudにホストされます。データレジデンシーはリージョンごとに固有であり、デフォルトではリージョンをまたいで移動することはありません。
顧客データはAIの学習に使用されますか?
いいえ。お客様のプロンプト、コード、ワークスペースのデータが、Lovableのモデルの学習に使用されることはありません。サードパーティのAIプロバイダーを利用する場合も、契約上の取り決めによって、お客様データの学習や保持を制限しています。
Lovableはマルチテナントですか?顧客データはどのように分離されていますか?
Lovableは、ワークスペースとプロジェクトの間で論理的に分離されたマルチテナントプラットフォームです。顧客データにアカウントをまたいでアクセスすることはできません。分離制御は、アプリケーション層とインフラストラクチャ層の両方で適用されます。
Lovableはどの再委託先を使用していますか?
Lovableは、限られた数のインフラストラクチャおよびAIの再委託先と連携しています。すべての再委託先は、データ保護契約の対象となっています。現在の再委託先の一覧は、ご要望に応じてご提供いたします。
Lovableはお客様のソースコードにアクセスしたり、クローンしたりしますか?
いいえ。Lovableが顧客のGitリポジトリをクローンしたり、お客様の環境内のアプリケーションコードにアクセスしたり、内部のCI/CDアクセスを必要としたりすることはありません。お客様のソースコード、リポジトリ、本番インフラストラクチャは、組織の既存のセキュリティ境界の内側にとどまります。Lovableが顧客の本番環境内にエージェントをデプロイしたり、インバウンドのネットワーク接続を導入したりすることはありません。
Lovableはお客様のCI/CDパイプラインや本番インフラストラクチャへのアクセスを必要としますか?
いいえ。Lovableが顧客のCI/CDパイプラインや本番インフラストラクチャへの直接アクセスを必要とすることはありません。本番環境内にエージェントをデプロイしたり、インバウンドのネットワーク接続を導入したりすることもありません。すべての連携は、定義された権限の範囲内で動作します。
公開制御はどのように適用されますか?
公開権限はサーバー側で適用され、クライアント側のリクエストで回避することはできません。編集、承認、公開は、それぞれ独立したロールベースの権限です。本番環境への公開には明示的な承認を必須にでき、すべての公開イベントは実行したユーザーに紐づけて記録されます。
Lovableはロールベースのアクセス制御(RBAC)をどのように適用しますか?
Lovableは、SAMLおよびOIDCのIDプロバイダーと連携し、自動的なプロビジョニングとプロビジョニング解除のためにSCIMをサポートしています。アクセスはロールベースで、閲覧、編集、承認、公開のそれぞれに対して権限が明示的に定義されます。すべての認可チェックは、リクエスト時にサーバー側で評価されます。
Lovableは最小権限アクセスをサポートしていますか?
はい。Lovableは、ロールベースの権限とエンタープライズIDプロバイダーとの連携を通じて、最小権限アクセスをサポートしています。組織は、編集、承認、公開に対して詳細なロールを定義でき、ユーザーが自身の職務に必要なアクセス権のみを得られるようにします。アクセスポリシーは、組織のIDおよびワークスペース設定と整合します。
シークレットとAPI認証情報はどのように管理されますか?
シークレットは保存時に暗号化され、特定の環境にスコープが限定されます。シークレットへのアクセスはロールで制御され、監査が可能です。シークレットは、システム全体を再デプロイすることなくローテーションまたは失効できます。インテグレーションは、事前に定義された権限の範囲内で実行されるため、意図しない認証情報の漏えいを抑えます。
Lovableは自動セキュリティスキャンを実行しますか?
はい。公開のたびに基本的なセキュリティスキャンが自動的に実行され、データベース構成、RLSポリシー、クラウドプロジェクト設定を対象とします(約10〜15秒)。ディープセキュリティスキャンはオンデマンドで利用でき、コードベース全体を分析します(約3分)。ワークスペース管理者は、自動修正を有効にして、動作に影響しない検出項目をエージェントに自動で解決させたり、重大な問題に対する公開ブロックを設定したりできます。依存関係のチェックは、編集のたびにバックグラウンドで継続的に実行されます。BusinessおよびEnterpriseの管理者は、ワークスペースのすべてのプロジェクトにわたって定期的なディープスキャンをスケジュールできます。
LovableはSOC 2またはGDPRに準拠していますか?
Lovableは、SOC 2およびGDPRの要件に対応しており、エンタープライズによる審査向けにセキュリティ関連のドキュメントとデータ保護契約を提供しています。
