セキュリティ
監査証拠を備えた分離環境
OpsDeskは顧客ごとに専用のCloudflareインフラで稼働します。オペレーターはSpot Suite OIDCで認証し、ディレクトリアクセスには個別の管理者同意済み接続が使用されます。
-
Spot Suite OIDC
オペレーターはMicrosoft Entra ID、パスキー、認証アプリMFAを用いてSpot Suite OIDC経由でサインインします。エンドユーザーがOpsDeskにサインインすることはありません。
-
専用分離
各顧客は専用のCloudflare Worker、D1データベース、ストレージを取得します。データはテナントスコープであり、顧客間でランタイムを共有することはありません。
-
リージョナルデータレジデンシー
お客様環境は選択されたリージョン(デフォルトはEU(D1搭載のCloudflare Workers))にプロビジョニングされ、米国など他のリージョンも利用可能です。法人実体はSpot Cloud B.V.です。
-
シークレット管理
Microsoft Graphの認証情報はWorkerシークレットとして保存されます。GoogleサービスアカウントキーはKVに格納され、テナントごとにスコープされます。
-
監査ログ
入社、異動、退職の各アクションで、アクターのメールアドレス、結果、タイムスタンプが記録されます。ISO 27001:2022のA.5.16およびA.5.18のアクセス権レビュー用にログをエクスポートできます。
-
プロバイダー接続
Microsoft GraphはEntraテナントでの管理者同意が必要です。Google Workspaceはドメイン全体の委任が必要です。これらはオペレーターのOIDCサインインとは別です。
体制
適用内容を一覧で確認
テナント分離、認証、監査証跡 — レビュアーが求める統制を要約しました。
- 法人 Spot Cloud B.V.
- コンプライアンス ISO 27001 ベースライン + 地域固有のフレームワーク
- オペレーター認証 Spot Suite OIDC (Entra ID、パスキー、MFA)
- エンドユーザーアクセス なし — 従業員はサインインしません
- インフラストラクチャ テナントごとに専用の Worker、D1、ストレージ
- データレジデンシー お客様の地域 — EU がデフォルト、米国およびその他の地域も利用可能