> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
> Use this file to discover all available pages before exploring further.

# セキュリティ

> 連邦向けデプロイにおけるDevinのセキュリティ対策と統制。

<Info>
  このドキュメントは、Devinの連邦向けデプロイメント向けです。[Devin Docs に戻る](/ja/get-started/devin-intro)
</Info>

このガイドでは、Devin Desktopにおける最上位の管理者アカウントを安全にセットアップし、設定、運用、廃止する方法を説明します。管理者ロールの定義、アカウントのライフサイクル手順、さらに管理者が制御するすべてのセキュリティ設定について、それぞれの機能、セキュリティへの影響、推奨値とあわせて解説します。

***

<div id="administrative-role-definitions">
  ## 管理ロールの定義
</div>

Devin Desktop では、管理者権限を制御するために、ロールベースのアクセス制御 (RBAC) システムを採用しています。ロールは、Admin Portal の設定内にあるロール管理セクションで管理され、個々のユーザーに割り当てることができます。

<div id="built-in-roles">
  ### 組み込みロール
</div>

Devin Desktop には、削除できない組み込みロールが 2 つ用意されています。

| ロール       | 説明                                                                                       | デフォルト権限   |
| --------- | ---------------------------------------------------------------------------------------- | --------- |
| **Admin** | 組織設定、ユーザー管理、アナリティクス、セキュリティ管理機能への完全な管理者アクセス権。このロールは、チーム内でユーザーに付与できる権限として最上位です。            | すべての権限が有効 |
| **User**  | 管理者権限のない標準的なエンドユーザー向けアクセス権。ユーザーは Devin Desktop のコーディング機能を利用できますが、組織設定を閲覧または変更することはできません。 | 管理者権限なし   |

<div id="custom-roles">
  ### カスタムロール
</div>

管理者は、最小権限の原則を実現するためにカスタムロールを作成できます。カスタムロールは、以下のカテゴリから選択した細かな権限で構成されます。カスタムロールを作成するには、Admin Portal に移動し、Settings 配下のロール管理セクションを開きます。

<div id="permission-reference">
  ### 権限リファレンス
</div>

以下の表は、FedRAMP デプロイ環境でロールに割り当て可能なすべての権限を一覧にしたものです。各権限は、特定の管理機能へのアクセスを制御します。

| Category          | Permission               | Description                                   |
| ----------------- | ------------------------ | --------------------------------------------- |
| **Teams**         | Teams Read-Only          | Teams 管理ページへの読み取り専用アクセス                       |
| **Teams**         | Teams Update             | Teamsページでユーザーのロールを更新する権限                      |
| **Teams**         | Teams Delete             | Teamsページからユーザーを削除する権限                         |
| **Analytics**     | Analytics Read           | analyticsページおよびdashboardsへの読み取りアクセス           |
| **Attribution**   | Attribution Read         | attributionページへの読み取りアクセス                      |
| **License**       | License Read             | licenseページへの読み取りアクセス                          |
| **SSO**           | SSO Read                 | SSO の設定ページへの読み取りアクセス                          |
| **SSO**           | SSO Write                | SSO プロバイダの設定を構成および変更する権限                      |
| **Service Key**   | Service Key Read         | サービスキーページへの読み取りアクセス                           |
| **Service Key**   | Service Key Create       | API アクセス用の新しい サービスキー を作成する権限                  |
| **Service Key**   | Service Key Update       | 既存の サービスキー を変更する権限                            |
| **Service Key**   | Service Key Delete       | サービスキー を無効化して削除する権限                           |
| **ロール管理**         | Role Read                | settings 内のロールタブへの読み取りアクセス                    |
| **ロール管理**         | Role Create              | 新しいロールを作成する権限                                 |
| **ロール管理**         | Role Update              | 既存のロール定義を変更する権限                               |
| **ロール管理**         | Role Delete              | ロールを削除する権限                                    |
| **External Chat** | External Chat Management | external chat model configurations を変更する権限    |
| **Indexing**      | Indexing Read            | indexing の設定ページへの読み取りアクセス                     |
| **Indexing**      | Indexing Create          | 新しい indexes を作成する権限                           |
| **Indexing**      | Indexing Update          | 既存のインデックス済みリポジトリを更新する権限                       |
| **Indexing**      | Indexing Delete          | indexes を削除する権限                               |
| **Indexing**      | Indexing Management      | index database management および pruning を実行する権限 |
| **Fine-Tuning**   | Fine-Tuning Read         | fine-tuningページへの読み取りアクセス                      |
| **Fine-Tuning**   | Fine-Tuning Create       | fine-tuning jobs を作成する権限                      |
| **Fine-Tuning**   | Fine-Tuning Update       | fine-tuning jobs を更新する権限                      |
| **Fine-Tuning**   | Fine-Tuning Delete       | fine-tuning jobs を削除する権限                      |

<Note>これらの権限の一部 (Attribution、License、SSO、Indexing、Fine-Tuning など) は RBAC システム内には存在しますが、対応するポータルページは FedRAMP マルチテナントのデプロイ環境では利用できません。これらの権限は網羅性のためにロール管理 UI に含まれていますが、この環境でアクティブな機能へのアクセスは付与しません。</Note>

***

<div id="admin-account-lifecycle-procedures">
  ## 管理者アカウントのライフサイクル手順
</div>

このセクションでは、最上位レベルの管理者アカウントについて、作成から廃止までのライフサイクル全体を説明します。

<div id="account-setup">
  ### アカウント設定
</div>

**SSO (シングルサインオン) ベースのオンボーディング**は、FedRAMP デプロイ環境 における主要なプロビジョニング方法です。プラットフォームは、シングルサインオン統合向けに OIDC と SAML 2.0 の両方をサポートしています。ユーザーは構成済みの Identity Provider を通じて認証され、初回ログイン時にアカウントが作成された後、管理者が Admin Portal で適切なロールを割り当てます。FedRAMP environment での SSO 統合には Devin Desktop FedRAMP チームとの連携が必要であり、セルフサービス形式で構成することはできませんので、ご注意ください。

新しい管理者アカウントはすべて、最小権限の原則に従って構成する必要があります。ユーザーがシステム全体への完全なアクセスを必要とする場合を除き、完全な Admin ロールを割り当てるのではなく、管理者の責務に必要な権限のみを含むカスタムロールを優先してください。

<div id="authentication-and-mfa-requirements">
  ### 認証とMFAの要件
</div>

FedRAMP デプロイ環境では、シングルサインオンのみを利用でき、OIDCとSAML 2.0の両方のプロトコルに対応しています。メールアドレスとパスワードによる認証は利用できません。すべてのユーザーは、設定されたIdPを通じて認証する必要があります。

多要素認証 (MFA) は、組織のIdPを通じて強制されます。Devin Desktopには、接続されたIdPで設定されたMFAポリシーがそのまま適用されます。つまり、第2要素の必須化、フィッシング耐性のある認証手段、条件付きアクセスポリシーなど、すべての認証強度要件はIdPレベルで管理されます。組織は、Devin Desktopアプリケーションにアクセスするすべてのユーザー、特に管理ロールを持つアカウントに対してMFAを必須にするよう、IdPを設定してください。

<Warning>Devin Desktopでは、すべての管理者アカウントにMFAを必須にすることを強く推奨しています。Devin Desktopアプリケーションへのアクセス条件としてMFAを強制するよう、IdPを設定してください。</Warning>

<div id="account-setup">
  ### アカウント設定
</div>

管理者アカウントを作成したら、以下の設定手順を完了してください。

**ロールの割り当て**によって、アカウントに付与される管理アクセスの範囲が決まります。Admin Portal の Manage Team タブで対象のユーザーを見つけ、Edit をクリックして、ドロップダウンから適切なロールを選択します。変更は即時に反映されます。

管理者が自動化やアナリティクスのために API アクセスを必要とする場合は、**サービスキーの管理**が必要です。サービスキーは Settings で作成し、キーの想定用途に合ったスコープ付き権限を設定します。各サービスキーには用途がわかる名前 (たとえば "Analytics Dashboard") を付け、必要最小限の権限を持つロールを割り当ててください。

<div id="account-operation">
  ### アカウントの運用
</div>

管理者アカウントの継続的な運用には、以下の実務が含まれます。

**定期的なアクセスレビュー**を実施して、管理者アカウントに現在のアクセスレベルが引き続き必要かどうかを確認する必要があります。Manage Team タブで Admin ロールを持つユーザーの一覧を定期的に確認し、担当範囲の変更に応じてロールを調整してください。

**アクティビティの監視**は、組み込みの analytics ダッシュボードで行えます。Analytics Read 権限を持つ管理者は、ユーザーアクティビティ、エンゲージメント メトリクス、機能の使用量を追跡できます。Analytics API では、このデータにプログラムからアクセスでき、外部の監視システムと統合できます。

**サービスキーのローテーション**は、定期的に実施する必要があります。キーをローテーションするには、同じ権限を持つ新しいサービスキーを作成し、その新しいキーを利用するように対象システムを更新してから、古いキーを削除します。

<div id="account-decommissioning">
  ### アカウントの廃止
</div>

管理者がアクセス不要になった場合は、以下の手順に従って速やかにアカウントを廃止してください。

<Steps>
  <Step title="管理者ロールを削除する">
    Admin Portal に移動し、Manage Team タブを開いて対象ユーザーを探し、Edit をクリックして、ロールを Admin から User (または管理権限のないカスタムロール) に変更します。
  </Step>

  <Step title="サービスキーを削除する">
    退任する管理者が作成した、またはその管理者だけが利用していたサービスキーを削除します。Settings に移動し、Service Key を開いて、該当するキーを削除します。
  </Step>

  <Step title="アカウントを削除または無効化する">
    Manage Team タブでユーザー名の横にある Delete をクリックして、ユーザーを削除します。これにより、そのユーザーの Devin Desktop アカウントは無効化され、ライセンスのシートが解放されます。
  </Step>

  <Step title="残存アクセスを確認する">
    Manage Team のユーザー一覧を Admin ロールで絞り込み、廃止したアカウントが管理者ロールに残っていないことを確認します。あわせて、そのアカウントに関連付けられたすべてのサービスキーが削除されていることを確認します。
  </Step>
</Steps>

<Warning>管理者のロールが変更された場合や、管理者が組織を離れた場合は、管理者アカウントを直ちに廃止してください。廃止が遅れると、不要なセキュリティリスクが生じます。</Warning>

***

<div id="security-settings-reference">
  ## セキュリティ設定リファレンス
</div>

以下の表は、FedRAMP deployment の Admin Portal で利用可能な、管理者が制御するすべてのセキュリティ設定をまとめたものです。各項目では、設定の機能、セキュリティへの影響、そしてセキュリティを重視するデプロイメントに推奨される構成を説明しています。

| Setting                    | Function                                                                                                                                                                      | Security impact                                                                                          | Recommended value                                                                                         |
| -------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------- |
| **ロールベースのアクセス制御 (RBAC) **  | 割り当てられたロールと権限に基づいて、各ユーザーが実行できる管理操作を制御します。Settings のロール管理セクションで管理します。                                                                                                          | 各ユーザーに必要な権限だけを与えることで、アカウント侵害時の影響範囲を限定します。ロールの割り当てが広すぎると、単一アカウントの侵害による影響が大きくなります。                         | **最小権限の原則で構成してください。** 各管理者に必要な権限だけを含むカスタムロールを作成します。組み込みの Admin ロールは少数の管理者にのみ割り当ててください。                    |
| **サービスキーの権限**              | API アクセストークンのスコープを特定の権限セットに限定し、自動化システムが実行できる操作を制御します。Settings の Service Key セクションで管理します。                                                                                      | 権限が過剰なサービスキーは、漏えいした場合に悪用されるおそれがあり、ユーザー管理、分析、その他の機能への不正アクセスを許す可能性があります。                                   | **必要最小限の権限にスコープを限定してください。** 各統合ごとに、その統合に必要な権限だけを持つ専用のサービスキーを作成します。キーは定期的にローテーションしてください。                   |
| **SSO プロバイダーの構成**          | すべてのユーザー認証に使用する Identity Provider を構成し、OIDC と SAML 2.0 の両方のプロトコルをサポートします。メール / パスワード認証は利用できません。SSO のセットアップには Devin Desktop の FedRAMP チームとの連携が必要です。Settings の SSO セクションで管理します。 | 組織の IdP を通じて認証を一元化し、MFA、条件付きアクセス、セッションポリシーの適用を可能にします。構成を誤ると、すべてのユーザーがアクセスできなくなったり、不正アクセスを許したりする可能性があります。 | **組織で承認された Identity Provider (OIDC または SAML 2.0) で構成してください。** 広く展開する前に、管理者以外のアカウントでログインをテストし、構成を確認してください。 |

*最終更新日: 2026年1月28日*
