概要:大手広告主様向けの ID 管理、トークンアクセス制御、拡張された監査可視性を提供するプレミアム機能「エンタープライズ向けセキュリティパッケージ」により、アカウントのセキュリティを強化できます。
はじめに
エンタープライズ向けセキュリティパッケージは、組織のセキュリティレベルを引き上げる以下 4 つの主要機能を提供します。
- 制限付きマルチトークン管理:API、S2S、OneLink を対象に、スケーラブルなトークン発行ときめ細かなアクセス制御を実現します。
- ログ保持期間が延長された監査ログAPI:プラットフォーム上のアクティビティを長期間可視化し、監査イベントを自社のモニタリング基盤に統合できます。
- SCIM プロビジョニング:ID プロバイダーと連携し、ユーザーアクセス管理を自動化・一元化します。
- AppsFlyerログインのIP許可リスト:信頼されたネットワーク・IP のみから AppsFlyer ダッシュボードへのログインを許可し、不正アクセスを防止します。
標準パッケージとの比較
| 機能 | 標準パッケージ | エンタープライズ向けセキュリティパッケージ |
|---|---|---|
| シングルサインオン(SSO) | SSOログイン(既存アカウントのみ) | SAML 2.0 SSO + SCIM による自動ユーザー/ロール管理 |
| トークン管理 | 種別ごとに最大 2 トークンまで(API / S2S / OneLink) | 種別ごとに最大 30 トークンまで、詳細な権限設定が可能 |
| 監査ログ | 管理画面でのアクセスのみ / 90日間のデータ保持 | 管理画面およびAPIでのアクセス / 180日間のデータ保持 |
| ロールベースのユーザー管理(RBAC) | カスタムロールを最大10個まで作成可 | カスタムロールを最大50個まで作成可 |
| IPアドレス許可リスト | APIのみ | ログインおよび API に対応 |
| 24時間365日のセキュリティ監視 | 含まれる | 含まれる |
| 多要素認証 | 含まれる | 含まれる |
制限付きマルチトークンの管理
API、S2S、OneLink ごとに最大 30 個のトークンを作成・管理でき、サービス単位でのアクセス制限により、拡張性・セキュリティ・管理性を強化します。
主な特徴
- 標準トークン(最大 2 個)に対し、種別ごとに最大 30 トークンを作成可能
- API トークンに対してサービス別のアクセス権限を付与し、機密操作を制限
- 連携や自動処理を壊すことなく、トークンの失効やローテーションが可能
- トークン単位の権限設定により、社内外との安全なコラボレーションを実現
例
最小権限の原則を維持し、データ漏えいを防ぐために 2 種類のトークンを作成します。
データ閲覧専用トークン:集計データのみアクセス可能。ローデータ取得や設定変更は不可。分析チームや閲覧専用の代理店向け。
設定アクセストークン:設定変更は可能だが、データ取得は不可。管理権限とデータアクセスを分離。
注意
標準トークンの詳細については「AppsFlyer トークン管理」を参照してください。
トークンの作成・管理方法
制限付きトークンの作成
- AppsFlyer管理画面 右上に表示されているメールアドレスをクリックして、アカウントメニュー > セキュリティセンターへ移動
- トークン管理画面へ進む
- トークンの作成をクリック
- トークンの種類を選択:
- API
- S2S
- OneLink
-
APIトークンは、アクセス制限のドロップダウンから 1つまたは複数のサービスを選択
アクセスは「全許可」または「不可」の二択 - 保存をクリックしてください。
トークンの管理
管理画面右上アカウントメニュー(メールアドレスのドロップダウン)> セキュリティセンター > トークン管理 へ移動
ここでは次の設定が可能です:
- トークン情報の確認(名称、種別、制限、作成日・有効期限)
- トークンの削除
- 監査ログでのトークン利用状況の確認
注意
トークンは編集できません。権限変更時は削除して再作成してください。
監査ログ API と保持期間の拡張
既存の監査ログ機能を拡張し、API 経由での取得と、保持期間を 90 日から 180 日へ延長します。ユーザーのアクションログへの長期的なアクセスが必要なチームや、SOC や SIEM など外部ツールと連携した長期監視に最適です。
主な特徴
- 専用 API による監査ログ取得
- 最大 180 日間のログ保持
- コンプライアンス/セキュリティ用途でのフィルタ・エクスポート
- サービス別トークンでログアクセスを分離
- SIEM、ダッシュボード、クラウドストレージへ出力可能
注意
標準パッケージにおける監査ログに関する一般的な情報は、標準パッケージ:監査ログをご覧ください。
API 経由で監査ログにアクセスする方法
監査ログ API を使用するには、以下を行います。
- 画面上部のバーから、アカウントメニュー(メールアドレスのドロップダウン)を開き、 セキュリティセンターを選択
- 監査ログセクションで、監査ログの確認をクリック
- トークン管理画面へ進む
- 既存のものを使用するか、新しいAPIトークンを作成
- アクセス制限で、監査ログサービスを選択
- そのトークンを使って、監査ログ API エンドポイントへのリクエストを認証
注意
API トークンは必ず安全に保管してください。作成後に再取得することはできません。
SSOとSCIMプロビジョニング
SCIM プロビジョニングは、Okta、Entra ID(Azure)、OneLogin、JumpCloud、または属性ベースのアクセス制御をサポートする自社管理 IdP などの ID プロバイダー(IdP)から直接、ユーザーライフサイクル管理を自動化することで、AppsFlyer の SSO 機能を強化します。これにより、手動介入なしにユーザーのオンボーディング、更新、無効化が可能になります。
SCIM でユーザーを同期することで、アクセス権限をリアルタイムに完全コントロールできます。SAML 2.0 SSO と組み合わせることで、エンタープライズ顧客向けの包括的な ID/アクセス管理ソリューションとなります。
主な特徴
- IdP のレコードに基づいて、AppsFlyer 上のユーザーを自動作成します。
- IdP 上でのユーザーのロールやステータスの変更が、AppsFlyer に即時反映されます。
- セキュアな SSO に SAML 2.0 を、プロビジョニングに SCIM を使用し、Okta や Azure AD など主要 IdP と互換性があります。
SCIMプロビジョニングの設定方法
AppsFlyer で SCIM プロビジョニングを利用開始するには、以下が必要です。
SSOの設定
SSOの設定:
SCIMの有効化
注意
SCIMを有効にするには、まずSSOを設定する必要があります。
SCIMを有効にするには:
IdPの設定手順
各 IdP の手順はそれぞれこちらで確認できます:Okta, Entra ID (Azure), OneLogin, JumpCloud
SCIMの接続
SCIM 接続では、以下のフィールドを入力する必要があります。
| フィールド名 | 値 |
|---|---|
| SCIMコネクターのベースURL(SCIMエンドポイント) | https://hq1.appsflyer.com/api/scim/v2 |
| ユーザーの固有の識別子フィールド | userName |
| 認証方法:"Authorization" と呼ばれるHTTPヘッダー | Bearer <AppsFlyer APIトークン> |
SCIM属性
| 属性 | タイプ | 必須 | フィールド名 | 外部ネームスペース | 説明 |
|---|---|---|---|---|---|
| 役割 | String | ✅ | role | urn:ietf:params:scim:schemas:extension:AppsFlyer:2.0:User |
|
| 今後追加されるアプリを自動的に追加する | Boolean | ❌ | allowAccessToAllFutureApps | urn:ietf:params:scim:schemas:extension:AppsFlyer:2.0:User | 有効にすると、ユーザーは新しいアプリへのアクセスが自動的に許可されます。 |
| 許可されたアプリID | String | ❌ | appIDs | urn:ietf:params:scim:schemas:extension:AppsFlyer:2.0:User | アプリIDのカンマ区切りのリストを提供します。すべてのアプリの場合は空欄のままにして、アプリなしの場合は「None」に設定してください。 |
ロール
ロールはAppsFlyerのロールと一致する必要があります。以下の表は、現在のAppsFlyerの役割とその値を示しています。カスタムロールの追加も可能です。JumpCloudについては、こちらの制限を参照してください。
| 表示名 | 値 |
|---|---|
| Admin | admin |
| Team manager | team_manager |
| Marketing lead | marketing_lead |
| Marketing | marketing |
| Marketing-limited | marketing_limited |
| Contributor | developer |
| Accounting | accounting |
| Security | security |
| Quality Assurance | quality_assurance |
| Custom Role | [カスタムロール値を入力] |
制限事項
| 制限 | 説明 |
|---|---|
| JumpCloud - カスタム属性 | カスタム属性はサポートされていません。一時的な対処法として、Roleフィールドに対応するフィールドに「Work Street Address」をマッピングしてください。参照:JumpCloud SCIMサポート |
AppsFlyerログイン用のIP許可リスト
強化されたIP許可リストにより、不正アクセスを防止し、信頼できるネットワークのみがプラットフォームとやり取りできるようにします。厳格なセキュリティポリシーを適用する企業や、リモートアクセスを管理する企業にとって特に有効です。
主な特徴
- 不明な IP からのログイン試行をブロックし、攻撃リスクを低減します。
- IP アドレスまたは範囲を指定し、認可されたユーザー/ネットワークのみがアクセスできるようにします。
- VPN を利用する組織や、より厳格なアクセス制御が必要な組織に最適です。
リストへの IP 追加
- AppsFlyer管理画面 右上に表示されているメールアドレスをクリックして、アカウントメニュー > セキュリティセンターを開く
- ログインIP許可リスト のセクションで、 IP許可リストの管理 をクリック
- 手動で、またはCSVアップロードを介してIPアドレスを追加
- 手動で追加する場合は、IP アドレスまたは CIDR の範囲を入力し、[IPをリストに追加] をクリック
- 例:
192.168.1.1,185.114.120.140 - IP アドレスの範囲を入力するには、次の形式を使用してください:
185.114.120.1/32
(185.114.120.1が範囲内の最初のアドレスで、185.114.120.32が範囲内の最後のアドレス)
- 例:
- 手動で追加する場合は、IP アドレスまたは CIDR の範囲を入力し、[IPをリストに追加] をクリック
- 追加された IP は、右側の 許可リスト内のIP一覧 の下に表示されます。
- リストを保存をクリック
重要!
- 追加する IP アドレス/範囲が正しいことを必ず確認してください。不正確な設定により、アカウントへアクセスできなくなる可能性があります。
- 許可リストには、保存・有効化する前に少なくとも 1 つの IP アドレスまたは範囲を含む必要があり、最大 100 件まで追加できます。
- [リストを保存]をクリックすると、IP 制限は次回ログインから適用されます。
許可リストからの IP 削除
- AppsFlyer管理画面 右上に表示されているメールアドレスをクリックして、アカウントメニュー > セキュリティセンターを開く
- ログインIP許可リスト のセクションで、 IP許可リストの管理 をクリック
- 追加された IP は、右側の 許可リスト内のIP一覧 の下に表示されます。
- 削除したいIPアドレスの横にあるゴミ箱アイコンをクリック
- 必ず リストを保存 ボタンをクリックして変更内容を保存
セキュリティパッケージに関するよくある質問
AppsFlyer のエンタープライズ向けセキュリティパッケージとは何ですか?
標準の保護を超える高度なセキュリティ機能で、安全に拡張できます。SCIM プロビジョニング付き SSO、きめ細かなアクセス制御、拡張監査ログ、そしてエンタープライズのセキュリティ/IT リーダー向けに設計されたコンプライアンスツールを提供します。
エンタープライズ向けセキュリティパッケージは誰向けですか?
監査対応を進めるエンタープライズのセキュリティ/IT リーダー、規制業界で SaaS ベンダーを評価する調達・法務チーム、そして複数チーム/連携にまたがる複雑なアクセス要件を管理するプラットフォーム管理者向けです。
SCIM プロビジョニングはどのように動作しますか?
IdP と直接接続することで、ユーザーライフサイクル管理を自動化します。SCIM はユーザーのアクセス権とロールを自動同期し、オンボーディング/オフボーディングを即時に実行し、手動のアカウント管理やアクセス権の放置リスクを排除します。
どのコンプライアンス基準に対応していますか?
監査ログを 180 日間保持し、包括的なアクセス文書化と、リアルタイムの SIEM 連携による継続的な監視とコンプライアンス検証を可能にすることで、SOC2、ISO 27001、GDPR 要件に向けた監査準備を支援します。
作成できるロール数と API トークン数は?
組織構造に合わせた最大 50 個のカスタム可能なロールと、サービス別に最大 30 個の API トークン(きめ細かな権限付き)を作成できます。最小権限の原則を維持しながら、連携や職務ごとにアクセスを分離できます。
既存のセキュリティツールと統合できますか?
はい。API ベースのログストリーミングにより、監査データを SIEM やセキュリティツールへ直接送信できます。既存の SOC 基盤内で、リアルタイム監視、異常検知、自動レスポンスを有効化できます。
適用できるネットワーク制限は?
IP 許可リストや地理的制限により、プラットフォームへのアクセスを制御できます。信頼できるネットワークや場所を定義し、リモートワークや安全なパートナー協業を支えながら、不正アクセスを防止します。
監査ログはどのくらい保持されますか?
180 日間のログ保持により、プラットフォーム上のすべての操作を包括的に記録した監査証跡へアクセスできます。ユーザー操作、API コール、アクセスパターンを完全に可視化し、コンプライアンス文書化やセキュリティ調査に活用できます。
標準のセキュリティ機能の置き換えになりますか?
いいえ。エンタープライズ向けセキュリティパッケージは、標準セキュリティ機能の上に高度な機能を追加するものです。既存の保護はそのまま維持しつつ、制御・自動化・可視性を強化できます。
これらのセキュリティ制御はどれくらい早く導入できますか?
SSO 連携と SCIM の自動プロビジョニングにより、エンタープライズ向けセキュリティ制御を迅速に導入できます。多くの組織は、運用継続性とユーザー生産性を保ちながら、数日以内に主要機能を実装できます。