メインコンテンツへスキップ

FedRAMP セキュリティ管理者ガイド

このガイドでは、Devin Desktop における最上位の管理者アカウントを安全にセットアップ、構成、運用し、廃止する方法を説明します。管理者ロールの定義、アカウントのライフサイクル手順、さらに管理者が制御するすべてのセキュリティ設定について、それぞれの機能、セキュリティ上の影響、推奨値とあわせて取り上げます。
このガイドは、AWS GovCloud 上で稼働する Devin Desktop の FedRAMP デプロイメントを対象としています。FedRAMP デプロイメントでは、専用の Enterprise ポータルと SSO (シングルサインオン) ベースの認証 (OIDC または SAML 2.0) を使用します。SaaS 版の他の Devin Desktop ドキュメントで説明されている一部の機能は、FedRAMP 環境では利用できません。

管理者ロールの定義

Devin Desktop では、管理権限を制御するために、ロールベースのアクセス制御 (RBAC) システムを利用しています。ロールは Admin Portal の Role Management 設定セクションで管理され、個々のユーザーに割り当てることができます。

組み込みロール

Devin Desktop には、削除できない組み込みロールが 2 つあります。

カスタムロール

管理者は、最小権限の原則を実現するためにカスタムロールを作成できます。カスタムロールは、以下のカテゴリから選択した細かな権限で構成されます。カスタムロールを作成するには、Admin Portal に移動し、Settings 配下の Role Management セクションを開きます。

権限リファレンス

以下の表は、FedRAMPデプロイメントでロールに割り当て可能なすべての権限を一覧にしたものです。各権限は、特定の管理機能へのアクセスを制御します。
これらの権限の一部 (Attribution、License、SSO、Indexing、Fine-Tuning など) はRBACシステム内には存在しますが、対応するポータルページはFedRAMPマルチテナントデプロイメントでは利用できません。これらの権限は網羅性を保つためにロール管理UIに含まれていますが、この環境でアクティブな機能へのアクセスは付与しません。

管理者アカウントのライフサイクル手順

このセクションでは、最上位の管理者アカウントについて、初期作成から廃止までのライフサイクル全体を説明します。

アカウント設定

SSO (シングルサインオン) ベースのオンボーディングは、FedRAMP デプロイメントにおける主要なプロビジョニング方法です。プラットフォームは、シングルサインオン統合向けに OIDC と SAML 2.0 の両方をサポートしています。ユーザーは設定されたアイデンティティプロバイダーを通じて認証され、初回ログイン時にアカウントが作成された後、管理者が Admin Portal で適切なロールを割り当てます。FedRAMP 環境での SSO 統合には Devin Desktop FedRAMP チームとの調整が必要であり、セルフサービスで設定することはできない点に注意してください。 新しい管理者アカウントはすべて、最小権限の原則に従って設定する必要があります。ユーザーにシステム全体への完全なアクセスが必要な場合を除き、完全な Admin ロールを割り当てるのではなく、管理者の責務に必要な権限のみを含むカスタムロールを優先してください。

認証と MFA の要件

FedRAMP デプロイメントでは、シングルサインオンのみを利用し、OIDC と SAML 2.0 の両方のプロトコルをサポートしています。メールアドレスとパスワードによる認証は利用できません。すべてのユーザーは、設定済みのアイデンティティプロバイダーを通じて認証する必要があります。 多要素認証 (MFA) は、組織のアイデンティティプロバイダーを通じて強制されます。Devin Desktop は、接続された IdP で設定された MFA ポリシーを継承します。つまり、第 2 要素の要求、フィッシング耐性のある認証器、条件付きアクセスポリシーなど、認証強度に関するすべての要件は IdP レベルで管理されます。組織は、Devin Desktop アプリケーションにアクセスするすべてのユーザー、特に管理ロールを持つアカウントに対して MFA を必須にするよう、IdP を設定する必要があります。
Devin Desktop では、すべての管理アカウントに MFA を必須にすることを強く推奨しています。Devin Desktop アプリケーションへのアクセス条件として MFA を強制するよう、アイデンティティプロバイダーを設定してください。

アカウント設定

管理者アカウントを作成したら、以下の設定を完了してください。 ロールの割り当てでは、アカウントに付与される管理権限の範囲を決定します。ロールを割り当てるには、Admin Portal で Manage Team タブを開き、対象のユーザーを見つけて Edit をクリックし、ドロップダウンから適切なロールを選択します。変更はすぐに反映されます。 サービスキーの管理は、管理者が自動化や分析のために API アクセスを必要とする場合に必要です。サービスキーは Settings で作成し、キーの用途に応じたスコープ付きの権限を設定します。各サービスキーには用途が分かる名前 (たとえば “Analytics Dashboard”) を付け、必要最小限の権限を持つロールを割り当ててください。

アカウント運用

管理者アカウントの継続的な運用プラクティスには、次のものがあります。 定期的なアクセスレビューを実施し、管理者アカウントに現在のアクセスレベルが引き続き必要かどうかを確認してください。Admin ロールを持つユーザーの一覧を Manage Team タブから定期的に確認し、担当範囲の変更に応じてロールを調整します。 アクティビティの監視は、組み込みの analytics ダッシュボードで行えます。Analytics Read permission を持つ管理者は、ユーザーアクティビティ、エンゲージメントメトリクス、機能の使用量を追跡できます。Analytics API では、このデータにプログラムからアクセスでき、外部の監視システムとの統合が可能です。 サービスキーのローテーションは、定期的なスケジュールで実施してください。キーをローテーションするには、同じ権限 を持つ新しいサービスキーを作成し、その新しいキーを使用するよう利用先のシステムを更新してから、古いキーを削除します。

アカウントの廃止

管理者が不要になった場合は、以下の手順に従って速やかにアカウントを廃止してください。
1

管理者ロールを取り消す

Admin Portal に移動し、Manage Team タブを開いて対象のユーザーを見つけ、Edit をクリックして、ロールを Admin から User (または管理権限のないカスタムロール) に変更します。
2

サービスキーを取り消す

退任する管理者が作成した、またはその管理者だけが使用していたサービスキーを削除します。Settings に移動し、次に Service Key を開いて、該当するキーを削除します。
3

アカウントを削除または無効化する

Manage Team タブでユーザー名の横にある Delete をクリックして、ユーザーを削除します。これにより、そのユーザーの Devin Desktop アカウントは無効化され、ライセンスのシートが解放されます。
4

残存アクセスを確認する

Manage Team のユーザー一覧を Admin ロールで絞り込み、廃止したアカウントが管理者ロールに表示されなくなっていることを確認します。あわせて、そのアカウントに関連付けられたすべてのサービスキーが削除されていることを確認します。
管理者がロールを変更した場合や組織を離れた場合は、管理者アカウントを直ちに廃止してください。廃止が遅れると、不必要なセキュリティリスクが生じます。

セキュリティ設定リファレンス

以下の表は、FedRAMP デプロイメントの Admin Portal で管理者が制御できるすべてのセキュリティ設定をまとめたものです。各項目では、設定の機能、セキュリティ上の影響、およびセキュリティを重視するデプロイメントで推奨される構成を説明しています。 最終更新日: 2026年1月28日