AIオペレーションプラットフォームにセキュリティが重要な理由
CloudThinkerのエージェントは、クラウドインフラへの読み取り(および任意で書き込み)アクセスを持ちます。これは強力な機能であり、すべてのクラウドアカウントにわたる自律的な分析と最適化を可能にします。しかし同時に、プラットフォーム自体が不正アクセス、クレデンシャル漏洩、プロンプトインジェクション攻撃に対して堅牢でなければならないことを意味します。 セキュリティモデルは次の原則に基づいて設計されています:- デフォルトで最小権限: エージェントは、書き込みアクセスが明示的に設定・承認されない限り、読み取り専用クレデンシャルを使用する
- ゼロ永続性: 承認ワークフローを経ないエージェントアクションはインフラを変更しない
- 多層防御: MFA、SSO、RBAC、監査ログ、サンドボックス分離を組み合わせて外部攻撃と内部の悪用の両方を防御する
- 透明性: すべてのエージェントアクションは、それを開始したユーザー、承認チェーン、実行されたコマンドとともにログに記録される
認証方法
| 方法 | 説明 |
|---|---|
| メールとパスワード | セキュアなパスワード要件を持つ標準認証 |
| 多要素認証 | 追加セキュリティのためのTOTPベースのMFA |
| シングルサインオン(SSO) | IDプロバイダーとのSAML/OIDC連携 |
| APIキー | APIへのセキュアなプログラムアクセス |
多要素認証(MFA)
TOTPベースのMFAでセキュリティのレイヤーを追加します:MFAの有効化
ログイン時のMFA
MFAが有効な場合:- メールとパスワードを入力する
- 認証アプリの現在の6桁のコードを入力する
- アクセスが許可される
復旧オプション
認証アプリにアクセスできなくなった場合:- バックアップコードを使用する(1回のみ有効)
- 組織管理者にMFAリセットを依頼する
- 本人確認を行ってサポートに連絡する
シングルサインオン(SSO)
EnterpriseプランはSSOのSSO連携をサポートします: SSOは組織オーナーが Admin Settings → Identity and access で設定します。主な機能:- ドメイン確認 — SSO有効化前にメールドメインの所有権を証明する
- SAMLまたはOIDC — IDプロバイダーがサポートするプロトコルを選択する
- SSO強制 — 確認済みドメインを持つすべてのユーザーにSSO認証を任意で必須化する
- JITプロビジョニング — 初回SSOログイン時にユーザーアカウントを自動作成する
- SCIMディレクトリ同期 — IdPからのユーザーとグループのプロビジョニングを自動化する
SSOの設定
SSOセットアップガイド
Google Workspace、Azure AD、AWS IAM Identity Center、Okta、OneLogin、および汎用SAML/OIDCのステップバイステップセットアップ
SSO強制
組織管理者はSSOを強制できます:- すべてのユーザーにSSO経由の認証を必須化する
- パスワードベースのログインを無効にする
- 初回SSOログイン時にユーザーを自動プロビジョニングする
- IdPから削除されたときに自動デプロビジョニングする
ロールベースアクセス制御(RBAC)
きめ細かな権限でユーザーの操作を制御します:組織ロール
| ロール | 説明 | 権限 |
|---|---|---|
| Owner | 組織の完全な制御 | すべての権限、請求、メンバー管理 |
| Admin | 組織管理 | ワークスペース、メンバー、設定の管理(請求を除く) |
| Member | 標準アクセス | 割り当てられたワークスペースへのアクセス、エージェントの使用 |
| Viewer | 読み取り専用アクセス | ダッシュボードとレポートの閲覧のみ |
ワークスペースロール
| ロール | 説明 | 権限 |
|---|---|---|
| Workspace Admin | ワークスペースの完全な制御 | すべてのワークスペース操作、メンバー管理 |
| Editor | 標準操作 | エージェントの実行、推奨事項の作成、設定の変更 |
| Operator | 制限された操作 | エージェントの実行、データの閲覧、設定の変更は不可 |
| Viewer | 読み取り専用 | ダッシュボード、レポート、推奨事項の閲覧 |
権限マトリックス
| アクション | Owner | Admin | Editor | Operator | Viewer |
|---|---|---|---|---|---|
| ダッシュボードの閲覧 | Yes | Yes | Yes | Yes | Yes |
| エージェント会話の実行 | Yes | Yes | Yes | Yes | No |
| 推奨事項の作成 | Yes | Yes | Yes | No | No |
| 操作の承認 | Yes | Yes | Yes | No | No |
| 接続の管理 | Yes | Yes | Yes | No | No |
| メンバーの管理 | Yes | Yes | No | No | No |
| 組織設定 | Yes | Yes | No | No | No |
| 請求 | Yes | No | No | No | No |
API認証
CloudThinkerへのセキュアなプログラムアクセス:APIキー
自動化のためのAPIキーを生成します:- Profile > API Keys に移動する
- Create API Key をクリックする
- キーに名前を付けて有効期限を設定する
- キーをコピーする(一度のみ表示)
- APIリクエストで使用する
キー管理
- ローテーション: 定期的にキーをローテーションする(推奨: 90日ごと)
- スコープ: 可能な限り特定の操作にキーを限定する
- 監視: 監査ログでキーの使用状況を確認する
- 失効: 侵害されたキーをすぐに失効させる
OAuthトークン
OAuthを使用する連携の場合:- トークンは自動的に更新される
- Settings > Connected Apps からアクセスを失効させる
- 監査ログでトークンの使用状況を監視する
データセキュリティ
暗号化
CloudThinkerはデータを次の方法で保護します:| レイヤー | 保護 |
|---|---|
| 転送中 | すべての接続にTLS 1.3 |
| 保存時 | AES-256暗号化 |
| シークレット | 暗号化されたクレデンシャルストレージ |
| バックアップ | 暗号化されたデータベースバックアップ |
Bring Your Own Key(BYOK)
Enterpriseカスタマーは独自の暗号化キーを使用できます:- AWS KMSまたは類似のサービスを設定する
- キーのARNをCloudThinkerに提供する
- キーで機密データを暗号化する
- キーの完全な制御を維持する
BYOKを設定する
Bring Your Own Key暗号化のセットアップ
データレジデンシー
- ワークスペース作成時にデータリージョンを選択する
- データは選択したリージョン内に保持される
- 冗長性のためのマルチリージョンオプション
監査ログ
CloudThinker内のすべてのアクティビティを追跡します:記録されるイベント
- ユーザー認証(ログイン、ログアウト、MFA)
- リソースアクセスと変更
- エージェントの会話とアクション
- 管理上の変更
- APIアクセス
監査ログの表示
- Admin Settings > Organization に移動する
- 以下でフィルタリングする:
- ユーザー
- アクションタイプ
- リソース
- 日付範囲
- コンプライアンスのためにログをエクスポートする
ログ保持期間
- Standard: 90日
- Professional: 1年
- Enterprise: 設定可能(最長7年)
セキュリティのベストプラクティス
すべてのユーザーにMFAを有効にする
すべてのユーザーにMFAを有効にする
特に管理者アクセスを持つメンバーを含む、すべての組織メンバーにMFAを必須化します。SSOポリシーによる強制も検討してください。
最小権限を使用する
最小権限を使用する
各ユーザーの責任に必要な最小ロールを割り当てます。権限を定期的にレビューして調整します。
クレデンシャルを定期的にローテーションする
クレデンシャルを定期的にローテーションする
APIキー、更新トークン、クラウドクレデンシャルを定期的にローテーションします。
監査ログを監視する
監査ログを監視する
不審なアクティビティを確認するために監査ログを定期的にレビューします。重要なイベントにはアラートを設定します。
クラウド接続を保護する
クラウド接続を保護する
可能な限り読み取り専用クレデンシャルを使用します。必要なサービスとリージョンにスコープを制限します。
定期的にアクセスをレビューする
定期的にアクセスをレビューする
四半期ごとにアクセスレビューを実施します。非アクティブなユーザーを削除し、不要な権限を失効させます。
コンプライアンス
CloudThinkerは以下のコンプライアンスを維持しています:- SOC 2 Type II: セキュリティ、可用性、機密性
- GDPR: EUユーザーのデータ保護
- HIPAA: ヘルスケアデータの取り扱い(Enterprise)
- ISO 27001: 情報セキュリティ管理
コンプライアンスドキュメントのリクエスト
セキュリティアンケートとコンプライアンスドキュメントについてお問い合わせください
関連
シングルサインオン
Google Workspace、Azure AD、Oktaなどを使ったSAMLまたはOIDC SSOの設定
SCIMプロビジョニング
IDプロバイダーからのユーザーとグループの同期を自動化する