止まるときは、閉じて止まる。
セキュリティ製品の信頼は、できることの誇張ではなく、設計の一貫性とできないことの明示から生まれる — Tate はそう考えて作られています。
設計原則
fail-closed
標準構成では、箱の障害=通信停止。「無検査で素通しになる窓」を開けません。その代わり、Tate が可用性の単一障害点になります — これは隠しません。可用性優先の区間には HWバイパスNIC(fail-open)を。
遮断は劣化しない
管理機能が停止しても、適用済みポリシーによる遮断はそのまま継続します。管理の障害が、判定の劣化に直結しない構造です。
自己完結
GUI・CLI・mTLS API をアプライアンスに同梱。追加サーバーは不要です。構成要素が少ないほど、検証も更新も把握もしやすい — 箱の中身を小さく保ちます。
SBOM・サプライチェーン
SBOM を同梱し、依存関係を開示します。「何でできているか」を添付して届けることが、アプライアンスの信頼の根拠だと考えます。
できないことを、先に言います。
導入判断に必要なのは、効能の一覧と同じだけの「効かない場面」の一覧です。Tate の限界を明示します。
- 01
TLSは復号しません。「どこへ繋ぐか」は見えますが、「何を送るか」の中身は見えません。
- 02
ドメイン単位の制御です。同一ホスト上のパス別 webhook は区別できません。
- 03
allow-list 内の正規宛先が悪用された場合(公認LLMへ秘密を送る等)は、ネットワーク層だけでは捕捉できません。
- 04
通信主体がAIか人間かを自動判定しません。対象は設置場所と運用者の宣言(公認リスト)で定義します。
- 05
ネットワーク許可リストは被害範囲(blast radius)の限定であって、内容検査ではありません。
- 06
将来 ECH / DoH の普及により SNI 可視性は低下しえます。v1 は DoH / QUIC の遮断で対処します。
stance 限界の明示は弱さではなく、防御層の正しい重ね方(多層防御)の前提です。