メインコンテンツへスキップ
CloudThinkerはエンタープライズグレードのセキュリティを実装し、クラウドインフラデータを保護して、承認されたユーザーのみが機密操作にアクセスできるようにします。

AIオペレーションプラットフォームにセキュリティが重要な理由

CloudThinkerのエージェントは、クラウドインフラへの読み取り(および任意で書き込み)アクセスを持ちます。これは強力な機能であり、すべてのクラウドアカウントにわたる自律的な分析と最適化を可能にします。しかし同時に、プラットフォーム自体が不正アクセス、クレデンシャル漏洩、プロンプトインジェクション攻撃に対して堅牢でなければならないことを意味します。 セキュリティモデルは次の原則に基づいて設計されています:
  • デフォルトで最小権限: エージェントは、書き込みアクセスが明示的に設定・承認されない限り、読み取り専用クレデンシャルを使用する
  • ゼロ永続性: 承認ワークフローを経ないエージェントアクションはインフラを変更しない
  • 多層防御: MFA、SSO、RBAC、監査ログ、サンドボックス分離を組み合わせて外部攻撃と内部の悪用の両方を防御する
  • 透明性: すべてのエージェントアクションは、それを開始したユーザー、承認チェーン、実行されたコマンドとともにログに記録される

認証方法

方法説明
メールとパスワードセキュアなパスワード要件を持つ標準認証
多要素認証追加セキュリティのためのTOTPベースのMFA
シングルサインオン(SSO)IDプロバイダーとのSAML/OIDC連携
APIキーAPIへのセキュアなプログラムアクセス

多要素認証(MFA)

TOTPベースのMFAでセキュリティのレイヤーを追加します:

MFAの有効化

1

セキュリティ設定に移動する

Profile > Security Settings に移動します
2

MFAを有効にする

Enable Multi-Factor Authentication をクリックします
3

QRコードをスキャンする

認証アプリ(Google Authenticator、Authy、1Passwordなど)を使ってQRコードをスキャンします
4

セットアップを確認する

認証アプリに表示される6桁のコードを入力してセットアップを確認します
5

バックアップコードを保存する

アカウント復旧のためにバックアップコードをダウンロードして安全に保管します

ログイン時のMFA

MFAが有効な場合:
  1. メールとパスワードを入力する
  2. 認証アプリの現在の6桁のコードを入力する
  3. アクセスが許可される

復旧オプション

認証アプリにアクセスできなくなった場合:
  • バックアップコードを使用する(1回のみ有効)
  • 組織管理者にMFAリセットを依頼する
  • 本人確認を行ってサポートに連絡する
バックアップコードは安全に保管してください。各コードは1回しか使用できません。すべてのバックアップコードと認証アプリへのアクセスを失った場合、アカウント復旧には本人確認が必要になる場合があります。

シングルサインオン(SSO)

EnterpriseプランはSSOのSSO連携をサポートします: SSOは組織オーナーが Admin Settings → Identity and access で設定します。主な機能:
  • ドメイン確認 — SSO有効化前にメールドメインの所有権を証明する
  • SAMLまたはOIDC — IDプロバイダーがサポートするプロトコルを選択する
  • SSO強制 — 確認済みドメインを持つすべてのユーザーにSSO認証を任意で必須化する
  • JITプロビジョニング — 初回SSOログイン時にユーザーアカウントを自動作成する
  • SCIMディレクトリ同期 — IdPからのユーザーとグループのプロビジョニングを自動化する

SSOの設定

SSOセットアップガイド

Google Workspace、Azure AD、AWS IAM Identity Center、Okta、OneLogin、および汎用SAML/OIDCのステップバイステップセットアップ

SSO強制

組織管理者はSSOを強制できます:
  • すべてのユーザーにSSO経由の認証を必須化する
  • パスワードベースのログインを無効にする
  • 初回SSOログイン時にユーザーを自動プロビジョニングする
  • IdPから削除されたときに自動デプロビジョニングする

ロールベースアクセス制御(RBAC)

きめ細かな権限でユーザーの操作を制御します:

組織ロール

ロール説明権限
Owner組織の完全な制御すべての権限、請求、メンバー管理
Admin組織管理ワークスペース、メンバー、設定の管理(請求を除く)
Member標準アクセス割り当てられたワークスペースへのアクセス、エージェントの使用
Viewer読み取り専用アクセスダッシュボードとレポートの閲覧のみ

ワークスペースロール

ロール説明権限
Workspace Adminワークスペースの完全な制御すべてのワークスペース操作、メンバー管理
Editor標準操作エージェントの実行、推奨事項の作成、設定の変更
Operator制限された操作エージェントの実行、データの閲覧、設定の変更は不可
Viewer読み取り専用ダッシュボード、レポート、推奨事項の閲覧

権限マトリックス

アクションOwnerAdminEditorOperatorViewer
ダッシュボードの閲覧YesYesYesYesYes
エージェント会話の実行YesYesYesYesNo
推奨事項の作成YesYesYesNoNo
操作の承認YesYesYesNoNo
接続の管理YesYesYesNoNo
メンバーの管理YesYesNoNoNo
組織設定YesYesNoNoNo
請求YesNoNoNoNo

API認証

CloudThinkerへのセキュアなプログラムアクセス:

APIキー

自動化のためのAPIキーを生成します:
  1. Profile > API Keys に移動する
  2. Create API Key をクリックする
  3. キーに名前を付けて有効期限を設定する
  4. キーをコピーする(一度のみ表示)
  5. APIリクエストで使用する
# Example API request
curl -H "Authorization: Bearer <api_key>" \
  https://api.cloudthinker.io/v1/workspaces

キー管理

  • ローテーション: 定期的にキーをローテーションする(推奨: 90日ごと)
  • スコープ: 可能な限り特定の操作にキーを限定する
  • 監視: 監査ログでキーの使用状況を確認する
  • 失効: 侵害されたキーをすぐに失効させる
APIキーをバージョン管理にコミットしないでください。環境変数やシークレット管理ツールを使用してください。

OAuthトークン

OAuthを使用する連携の場合:
  • トークンは自動的に更新される
  • Settings > Connected Apps からアクセスを失効させる
  • 監査ログでトークンの使用状況を監視する

データセキュリティ

暗号化

CloudThinkerはデータを次の方法で保護します:
レイヤー保護
転送中すべての接続にTLS 1.3
保存時AES-256暗号化
シークレット暗号化されたクレデンシャルストレージ
バックアップ暗号化されたデータベースバックアップ

Bring Your Own Key(BYOK)

Enterpriseカスタマーは独自の暗号化キーを使用できます:
  1. AWS KMSまたは類似のサービスを設定する
  2. キーのARNをCloudThinkerに提供する
  3. キーで機密データを暗号化する
  4. キーの完全な制御を維持する

BYOKを設定する

Bring Your Own Key暗号化のセットアップ

データレジデンシー

  • ワークスペース作成時にデータリージョンを選択する
  • データは選択したリージョン内に保持される
  • 冗長性のためのマルチリージョンオプション

監査ログ

CloudThinker内のすべてのアクティビティを追跡します:

記録されるイベント

  • ユーザー認証(ログイン、ログアウト、MFA)
  • リソースアクセスと変更
  • エージェントの会話とアクション
  • 管理上の変更
  • APIアクセス

監査ログの表示

  1. Admin Settings > Organization に移動する
  2. 以下でフィルタリングする:
    • ユーザー
    • アクションタイプ
    • リソース
    • 日付範囲
  3. コンプライアンスのためにログをエクスポートする

ログ保持期間

  • Standard: 90日
  • Professional: 1年
  • Enterprise: 設定可能(最長7年)

セキュリティのベストプラクティス

特に管理者アクセスを持つメンバーを含む、すべての組織メンバーにMFAを必須化します。SSOポリシーによる強制も検討してください。
各ユーザーの責任に必要な最小ロールを割り当てます。権限を定期的にレビューして調整します。
APIキー、更新トークン、クラウドクレデンシャルを定期的にローテーションします。
不審なアクティビティを確認するために監査ログを定期的にレビューします。重要なイベントにはアラートを設定します。
可能な限り読み取り専用クレデンシャルを使用します。必要なサービスとリージョンにスコープを制限します。
四半期ごとにアクセスレビューを実施します。非アクティブなユーザーを削除し、不要な権限を失効させます。

コンプライアンス

CloudThinkerは以下のコンプライアンスを維持しています:
  • SOC 2 Type II: セキュリティ、可用性、機密性
  • GDPR: EUユーザーのデータ保護
  • HIPAA: ヘルスケアデータの取り扱い(Enterprise)
  • ISO 27001: 情報セキュリティ管理

コンプライアンスドキュメントのリクエスト

セキュリティアンケートとコンプライアンスドキュメントについてお問い合わせください

関連

シングルサインオン

Google Workspace、Azure AD、Oktaなどを使ったSAMLまたはOIDC SSOの設定

SCIMプロビジョニング

IDプロバイダーからのユーザーとグループの同期を自動化する