メインコンテンツへスキップ
監査人が「これらのコントロールが実際に強制されたことを証明せよ」と尋ねたとき、 コンソールのスクリーンショットは精査に耐えません — 署名されておらず、あなたの もので、編集可能だからです。OrcaRouter は署名付きコンプライアンスレポートを 生成します:ライブのゲートウェイコントロールからスナップショットされた自己完結型 のエビデンスパックで、SHA256 でハッシュ化され、Ed25519 で署名されているため、 レポートを持つ誰もがそれが OrcaRouter によって生成され、それ以降改変されて いないことを検証できます。 このページはユースケースを端から端まで案内します — レポートを生成し、引き渡し、 監査人に独立して検証させます。フレームワークカタログと各パックが何にマッピング するかについては、フレームワークパックの中身を参照。

1. 署名付き AI コンプライアンスレポートが含むもの

レポートはフレームワークごとに、あなたが選ぶ時間ウィンドウにわたって生成され、 生成時に 8 つのエビデンスセクションをスナップショットするため、基礎となる ログが保持ポリシーの下でエイジアウトした 後でもアーティファクトは有効なままです。
すべてのレポートは同じ順序のセクションをカバーするため、2 つのレポートを 比較できます:
  • Coverage — インストール済みパックがどのフレームワークコントロールに マッピングするか、それぞれ covered / observe / gap / attested とタグ付け。
  • Enforcement — ウィンドウ内で実際に記録されたガードレールマッチと ファイアウォール判定(allowed / blocked / audited)。
  • Consent — 期間中の記録された同意状態、valid / stale / revoked / none に分類。
  • Change log — ウィンドウにわたるガードレール履歴とワークスペース監査の行。
  • Admin access — 誰が管理者権限を持ち、どの特権アクションが実行されたか。
  • Gaps — カバーされていないコントロール、ゲートウェイで自動化できない 組織的(人/プロセス)条項を含む。レポートはこれらを 100% 自動コンプライアンス を示唆する代わりに、正直なギャップとして開示します。
  • AI supply chain — ワークスペースから到達可能なアップストリーム プロバイダ(サブプロセッサ)とモデル、DPA に対するエビデンスのため。
  • Access reviews — キーローテーション衛生のための、ワークスペースの API キーと特権メンバー名簿。
正規のエビデンス JSON は SHA256(小文字 16 進)でハッシュ化されます。その コンテンツハッシュは Ed25519 で署名され、署名と短いキー id(例:orca-…)が アーティファクトに埋め込まれます。エビデンスの 1 バイトを変えればハッシュは もう一致しません;ハッシュを偽造すれば署名は OrcaRouter の公開鍵に対して もう検証されません。
  • PDF — 人間が読める監査人への引き渡し用、署名とキー id が印字されます。
  • JSON — 機械可読なエビデンスエクスポート。(署名は生のファイルバイトでは なくエビデンスの正規形式に対して計算されるため、アーティファクト自体を 自分で再ハッシュするのではなく公開検証エンドポイントを通じて検証してください — レポートを検証するを参照。)
  • CSV — スプレッドシートと GRC ツール向けのフラットな表形式エクスポート。
デフォルトでは、メンバーとアクターのメールはすべてのエクスポートでマスク されます。監査人が必要とするときは、レポートごとに明示的にリダクトされていない PII にオプトインしてください。
レポートはリージョンスタンプされます。各アーティファクトは、ワークスペースの 宣言されたデータレジデンシーリージョンus / eu / uk / ap / cn / global)の下で保存され配信されます; あるリージョン向けに生成されたレポートは別のリージョンの下で配信されません。 あなたの義務にとって重要なら、生成する前にレジデンシーを設定してください。

2. 誰が生成できるか

フレームワークカタログ、インストール済みパック、準備状況の閲覧は、すべての ワークスペースメンバーに開放されており無料です。レポートの生成には ワークスペース管理者が必要で、エクスポートはプランゲートされています:
  • 無料プランには PDF 1 本のレポートが含まれるので、アーティファクトを デモできます。
  • CSV / JSON エクスポートと追加レポートには有料プランが必要です。
両ルールともサーバー側で強制されます — クライアントのみのバイパスはありません。
コンソールから生成します:Compliance → Reports を開き、フレームワークと時間 ウィンドウを選び、フォーマットを選択し、生成をクリックします。生成は非同期です — レポート行は pending として現れ、generating を経て、ready(または、 部分的なアーティファクトなしで failed)に着地します。これらすべては、あなたの コンソールセッション下で /api/compliance/* ルートに対して動作します — リレー (sk-orca-…)キーは関与しません。

3. ひとつの具体的なウォークスルー

SOC 2 監査人が Q1 の強制エビデンスを求めています。ワークフロー:
1

フレームワークをインストール(一度)

有料プランの管理者として、Compliance → Frameworks から SOC 2 パックを インストールします。インストールはフレームワークのコントロールにマッピング するガードレールとファイアウォールポリシーを実体化します。 パックをインストールするを参照。
2

レポートを生成

Compliance → Reportssoc2 を選択し、期間を Q1 ウィンドウに設定し、 PDF を選んで生成します。行が ready に達するのを待ち、ダウンロードします。
3

監査人に引き渡す

PDF を送る(または読み取り専用の監査人共有リンクを 発行して、彼ら自身で取得できるようにする)。署名とキー id はレポートに 印字されています。
4

彼らが独立して検証する

監査人はあなたのコンソールを決して信頼する必要がありません。彼らはエビデンスを 再ハッシュし、OrcaRouter の公開鍵を取得し、署名をチェックします — すべて公開 の認証不要なエンドポイントに対して(次のセクション)。

4. 監査人がどう検証するか

検証にはアカウントもリレーキーも不要です — api.orcarouter.ai 上の 2 つの公開 エンドポイントに対して動作します。 まず、アクティブな公開鍵を取得します: 
curl https://api.orcarouter.ai/api/public/compliance/pubkey
# => { "algo": "ed25519", "key_id": "orca-…", "public_key": "<base64>" }
次に、レポートのコンテンツハッシュ、署名、キー id を送信します: 
curl -X POST https://api.orcarouter.ai/api/public/compliance/verify \
  -H "Content-Type: application/json" \
  -d '{
    "content_hash": "<sha256-hex from the report>",
    "signature":    "<base64 Ed25519 signature>",
    "sig_key_id":   "orca-…"
  }'
# => { "valid": true, "key_id": "orca-…" }
valid: true は、エビデンスハッシュが OrcaRouter によって署名され、それ以降 変わっていないことを意味します。我々のエンドポイントを一切呼びたくない監査人は、 公開された Ed25519 公開鍵を取得し、任意の標準暗号ライブラリでハッシュに対する 署名を検証できます — レポートはオフラインで検証可能です。
PDF を添付として送りたくない?代わりに読み取り専用の監査人共有リンクを 発行してください — レポート(とその署名)を直接配信するトークン化された URL で、 ログイン不要です。 エビデンスをエクスポートするを参照。

5. これがどう位置づけられるか

署名付きレポートは、コンプライアンスフローの末尾にあるアーティファクトです。 その周りの部品:

フレームワーク

完全なカタログ — SOC 2、HIPAA、GDPR、EU AI Act、ISO 27001/42001、 NIST AI RMF、PCI DSS、OWASP LLM Top 10、そして地域セット。

パックをインストールする

レポートする前にフレームワークのガードレールとファイアウォールポリシーを 実体化します。

データレジデンシー

署名付きレポートが保存され配信されるリージョンをスタンプしピン留めします。

レポートを検証する

検証フローの詳細 — 公開鍵、ハッシュ、オフラインチェック。
レポート内のエビデンスは、あなたが設定したコントロールから来ます。レポートされる ものを強化するには、ガードレールファイアウォールをチューニングし、ゲートウェイが何を アテストでき、何をできないかの境界を 責任共有でレビューしてください。