はじめに#
Langfuseは、LLMアプリケーションの観測性、プロンプト管理、評価を一元管理できるオープンソースプラットフォームです。セルフホストでの運用が可能で、多くの企業が自社環境での導入を進めています。
セルフホストには2つの選択肢があります
- OSS版(無料・MIT License): すべてのコア機能が無制限で利用可能
- Enterprise版(ライセンスキー必要): OSS版の機能に加え、Enterpriseグレードのセキュリティ・管理機能を提供
本記事ではEnterprise版で追加される主要な機能と、その具体的なユースケースを詳しく解説します。「OSS版で十分なのか?」「Enterprise版が必要になるのはどんな時か?」という疑問に答えます。
OSS版 vs Enterprise版#
重要なポイント:コア機能は完全に同じ#
まず理解すべき重要なポイントは、OSS版でもEnterprise版でも、Langfuseのコア機能に一切の制限がないということです。
両バージョンとも以下が利用可能:
- トレーシング(エージェント対応)
- プロンプト管理
- 評価機能(データセット、実験、LLM-as-judge)
- Human Annotation
- マルチモーダル対応
- 無制限のプロジェクト・APIアクセス
- スケーラビリティの制限なし(Langfuse Cloudと同じインフラ)
- 組織レベルRBAC(Owner/Admin/Member/Viewer/None)
- Enterprise SSO(Google, AzureAD, GitHub)
OSS版 vs Enterprise版 機能比較#
| 機能 | OSS版 | Enterprise版 |
|---|---|---|
| 組織レベルRBAC | ⭕️ | ⭕️ |
| Enterprise SSO(Okta、Authentik、Azure AD、Keycloakなど) | ⭕ | ⭕️ |
| プロジェクトレベルRBAC | ❌ | ⭕️ |
| 監査ログ | ❌ | ⭕️ |
| 保護されたデプロイメントラベル | ❌ | ⭕️ |
| データ保持ポリシー | ❌ | ⭕️ |
| SCIM API(自動ユーザープロビジョニング) | ❌ | ⭕️ |
| Organization Management API | ❌ | ⭕️ |
| Organization Creators(組織作成者の制限) | ❌ | ⭕️ |
| UIカスタマイズ | ❌ | ⭕️ |
| 料金 | 無料 | カスタム価格 |
重要:OSS版でも、トレーシング・プロンプト管理・評価・組織レベルのRBACやなどのすべてのコア機能が無制限で利用可能です。Enterprise版は、セキュリティ・コンプライアンス・大規模運用のための管理機能を追加します。
詳細な機能比較は公式ページ をご覧ください。
Enterprise機能の詳細解説#
1. プロジェクトレベルRBAC#
何ができるか#
- OSS版でも組織レベルのRBACは利用可能ですが、Enterprise版ではプロジェクト単位で権限を細かく設定できます。組織の権限はNoneにして、特定プロジェクトだけAdmin権限を付与、といった柔軟に設定できます。
- 5つのロール(Owner, Admin, Member, Viewer, None)と30種類以上の詳細な権限スコープを組み合わせて、細かくアクセス制御できます。
Enterpriseの場合のorganization設定画面
ユースケース#
- マルチテナント運用
- 顧客ごとにプロジェクトを分けている場合、担当営業やCSは自分の顧客のプロジェクトだけにアクセスできるよう制限できます。「A社担当の田中さんはA社プロジェクトのみAdmin、他はNone」といった設定が可能です。
- 環境別の権限管理
- 開発環境は全員がMember権限で自由に触れるが、本番環境はマネージャー以上のみAdmin、他メンバーはViewerで閲覧のみ、という運用ができます。「見ていいけど触っちゃダメ」を仕組みで担保できます。
2. 監査ログ(Audit Logs)#
何ができるか#
- システム内のすべてのアクティビティを詳細に記録します。誰が・いつ・何をしたかを正確に追跡でき、変更の場合は変更前後の完全な状態をJSON形式で保存します。UI上でフィルタリング・エクスポートが可能です。
Audit Logsの画面
ユースケース#
- 障害原因の特定
- 「先週からLLMの回答精度が落ちた」という報告があったとき、監査ログでプロンプトの変更履歴を確認し、どの変更が原因かを数分で特定できます。変更前後の内容も保存されているので、すぐにロールバック判断ができます。
- コンプライアンス対応
- SOC2やISMSの監査で「過去3ヶ月の操作履歴を提出してください」と求められても、監査ログをエクスポートするだけで対応完了。手動で履歴をまとめる作業が不要になります。
- 責任範囲の明確化
- 「このプロンプト、誰が最後に触った?」という確認がログ一発で解決。属人的な記憶に頼らず、事実ベースで会話できます。
3. 保護されたデプロイメントラベル(Protected Deployment Labels)#
何ができるか#
- 特定のラベル(例:production)を保護状態にすることで、ViewerとMemberロールのユーザーはそのラベルを変更・削除できなくなります。保護されたラベルが付与されているプロンプトは、プロンプト自体の削除も防止されます。
Protected Deployment Labels設定画面
ユースケース#
- 本番事故の防止
- productionラベルを保護することで、開発者は自由にプロンプトを作成・テストできますが、本番へのデプロイは管理者の承認が必須になります。「新人が誤って本番プロンプトを上書きしてしまった」という事故を仕組みで防げます。
- リリースフローの強制
- 「開発→ステージング→本番」というフローを守らせたい場合、stagingとproductionを保護ラベルに設定。開発者が勝手に本番に直接デプロイすることを防ぎ、レビュープロセスを確実に通す運用ができます。
4. データ保持ポリシー(Data Retention Policies)#
何ができるか#
- プロジェクト単位でデータ保持期間を設定できます(最小3日間)。設定期間を超えたトレース、観測、スコア、メディアアセットを毎晩自動削除します。
- 削除の判定基準:トレースはtimestamp、観測はstart_time、スコアはtimestamp、メディアアセット(画像・音声など)はcreated_atを基準にします。削除されたデータは復元できません。
Data Retention設定画面
ユースケース#
- 環境別のコスト最適化:開発環境は7日間、ステージングは30日間、本番は1年間、とプロジェクトごとに保持期間を設定。開発中の大量のテストデータでストレージコストが膨らむのを防ぎつつ、本番データは長期保存できます。
- コンプライアンス要件への対応:GDPRや社内規定で「ユーザーデータは90日を超えて保持してはならない」という要件がある場合、ポリシーを設定すれば自動で削除されます。手動での削除作業や削除漏れのリスクがなくなります。
- ストレージ容量の管理:セルフホスト環境でClickHouseの容量を抑えたい場合、古いトレースを自動削除することでディスク使用量を予測可能な範囲に収められます。
5. SCIM APIによる自動ユーザープロビジョニング#
何ができるか#
- SCIM(System for Cross-domain Identity Management)プロトコルを使用して、Okta、Azure AD/Entra ID、Keycloak等のSCIM対応IdPとLangfuseを自動連携させます。IdPでユーザーを管理すれば、Langfuseへのアクセスも自動で設定・解除できます。
ユースケース#
- 入退社時の自動処理:入社時にOktaやAzure ADでアカウントを作成すれば、Langfuseへのアクセスも自動で付与。退職時にIdPで無効化すれば、Langfuseへのアクセスも即座に遮断されます。「退職者のアカウントが残っていた」というセキュリティリスクを排除できます。
- IT部門の運用負荷削減:500名規模の組織でも、IT部門がLangfuseのユーザーを個別に追加・削除する作業が不要に。IdPを唯一の真実のソースとして、すべてのツールのアクセス管理を一元化できます。
6. Organization Management API#
何ができるか#
- セルフホスト専用の機能です。管理者がAPI経由で組織をプログラマティックに作成・更新・削除できます。認証にはADMIN_API_KEY環境変数を設定し、APIリクエスト時にAuthorization: Bearer $ADMIN_API_KEYヘッダーを付与します。
ユースケース#
- 社内ワークフローとの連携
- 新規プロジェクト立ち上げ時に、Slackで申請→マネージャー承認→自動でLangfuse組織・プロジェクトが作成、という流れを構築できます。管理者がUIで手作業する必要がなくなります。
- マルチテナントSaaSの運用
- 顧客ごとにLangfuse組織を作成する必要がある場合、顧客管理システムと連携して自動プロビジョニング。顧客が増えるたびに手動で設定する手間がなくなります。
- 一括管理・棚卸し
- 四半期ごとの棚卸しで「使われていない組織を整理したい」というとき、APIで一覧取得→利用状況確認→不要な組織を削除、という作業をスクリプト化できます。
7. Organization Creators(組織作成者の制限)#
何ができるか#
- デフォルトでは全ユーザーが新しい組織を作成できますが、Enterprise版では特定のメールアドレスに制限できます。
ユースケース#
- 組織の乱立防止
- デフォルトでは全ユーザーが組織を作成できるため、「気づいたら同じチームが3つの組織を作っていた」という事態が起こりえます。作成権限をIT管理者だけに制限することで、組織構造を統制できます。
- ガバナンス強化
- 「組織を作るには申請が必要」というルールを、仕組みで強制できます。口頭でのルール周知だけでは守られないことも、システムで制限すれば確実です。
8. UIカスタマイズ#
何ができるか#
- 環境変数を設定することで、ロゴ、ドキュメント・サポートリンク、LLMデフォルト設定、表示モジュールをカスタマイズできます。
UIカスタマイズ環境変数
LANGFUSE_UI_LOGO_LIGHT_MODE_HREF=https://example.com/logo-light.png
LANGFUSE_UI_DOCUMENTATION_HREF=https://wiki.example.com/langfuse
LANGFUSE_UI_HIDDEN_PRODUCT_MODULES = tracing,datasets,prompt-managementLANGFUSE_UI_HIDDEN_PRODUCT_MODULESを設定すると以下のようにトレースの画面をUIから削除したりとカスタマイズが可能です。
ユースケース#
- 社内ツールとしてのブランディング:自社ロゴを設定し、ドキュメントリンクを社内Wikiに変更することで、「Langfuse」ではなく「社内LLM管理ツール」として展開できます。ユーザーに外部サービス感を与えず、自然に使ってもらえます。
- 機能の絞り込み:非エンジニアのビジネスユーザーにはプロンプト管理だけを使わせたい場合、トレースやデータセット機能をUIから非表示にできます。「どこを触ればいいかわからない」という混乱を防ぎ、必要な機能だけを見せられます。
- サポート導線の統一:ヘルプリンクを社内のサポートチャンネルやチケットシステムに変更することで、「困ったらここに聞く」という導線を明確にできます。
導入方法#
- Enterprise機能の有効化は、両方のLangfuseコンテナに以下の環境変数を追加するだけです
LANGFUSE_EE_LICENSE_KEY=<your-license-key>ダウンタイムなしで有効化可能で、既存のデータやAPIキーに影響はありません。
どんな組織に向いているか#
OSS版で十分なケース#
- チーム規模が20名未満
- 単一部署・単一チームでの利用
- 厳格なコンプライアンス要件がない
- 基本的なRBAC(組織レベル)で十分
重要:OSS版でもすべてのコア機能が無制限で利用可能です。Enterprise SSO(Google, AzureAD, GitHub)と組織レベルRBACも含まれています。
Enterprise版が必要になるタイミング#
- 複数部署での利用が始まり、プロジェクト単位でのアクセス制御が必要になった
- コンプライアンス監査で操作履歴の提出を求められた
- 管理者が全組織・全プロジェクトを一元管理したい
- ユーザー管理の手動作業が運用負荷になってきた
- 本番環境のプロンプト誤変更のリスクが顕在化した
- データ保持期間の制御が必要になった
まとめ#
Langfuseのセルフホスト版は、OSS版でもすべてのコア機能が無制限で利用できます。Enterprise版は、セキュリティ、コンプライアンス、大規模運用のための管理機能を追加します。
組織の規模や要件に応じて、最適なプランを選択してください。
また、企業向けサポートとして、ガオ株式会社を通じてEnterpriseプランを日本円で購入し、日本語でサポートを受けることが可能です。
ご興味ある方は、contact@gao-ai.com までご連絡ください。
参考リンク:
- セルフホスト料金プラン: https://langfuse.com/pricing-self-host
- Enterpriseライセンスキー: https://langfuse.com/self-hosting/license-key
- 公式サポート: https://langfuse.com/support