テナント分離
アプリは、データベースへの問い合わせで 常にテナント ID でスコープ します。これにより、テナント A のユーザーがテナント B のデータを読む経路を閉じます。これは アプリとデータ層の責務 です。利用者側でも、URL を共有したり、スクショに機密を映り込ませたりしないよう運用ルールで補強してください。
チーム分離
クライアント・提案書・レポートなど多くの業務オブジェクトは チーム ID でも縛られます。UI 上は「見えない」だけでなく、サーバ側でもチーム権限を検証する設計です。監査
テナントの 監査ログ(権限のあるロールのみ)では、招待・ロール変更・削除など、重要なイベントが記録されます。コンプライアンス要件に応じてエクスポートや保管ポリシーを定めてください(監査ログ)。データプレーン分離のときの追加論点
| 論点 | 内容 |
|---|---|
| データ所在地 | 業務データは顧客 VPC 内。契約上の「国外持ち出し」やサブプロセッサ条項と整合させる。 |
| 鍵と秘密 | DB 接続・ストレージ・コネクタ署名鍵は顧客または合意した手順でローテーション。 |
| ネットワーク | コネクタから制御プレーンへの HTTPS を許可。必要 IP / ドメインはオンボーディング資料で共有。 |
| 可用性 | コネクタまたは DB が落ちると業務が止まる。監視と Runbook を用意。 |