テクノロジー注目度 57

マルチテナントSaaSのデータ分離戦略：アプリ層とDB層の「二重防御」による堅牢な設計手法

※本記事の要約および解説はAIが自動生成しており、誤りが含まれる可能性があります。事実確認は元ニュースをご参照ください。

本記事は、クラウド管理システム「ショップカウンターエンタープライズ」（SCE）におけるマルチテナントアーキテクチャの実装事例として、「アプリケーション層」と「データベース層」の両方でデータ分離（テナント分離）を担保する二重防御の重要性を解説している。

SaaSにおいてテナント間のデータ漏洩は致命的なリスクであり、本記事ではこのリスクを防ぐための具体的な技術的アプローチが詳述されている。SCEでは、アプリケーション層には`activerecord-multi-tenant` gemを使用し、DB層にはPostgreSQLのRow Level Security (RLS) と `activerecord-tenant-level-security` gemを組み合わせている。

二重防御を採用する最大の理由は、「人間の注意力」に依存した単一の仕組みでは不十分だからである。アプリケーション層のみの場合、raw SQLやVIEW経由など、gemを経由しないコードからのデータ漏洩リスクがある。一方、RLSのみの場合、セッション変数の設定忘れによる全件取得不能（空表示）のリスクや、開発者が原因特定に苦労する問題が生じる。

具体的な実装として、業務語「テナント」との衝突を避けるため、識別子には`enterprise_id`を採用した。また、モデルの追加時に両方の防御が有効化されるよう、`SeparatedByEnterprise`というConcernを作成し、開発者の認知負荷を軽減している。さらに、DB接続ユーザーも用途別に分離し、「アプリ用（RLSが効く）」と「マイグレーション用（BYPASSRLSを持つ）」に役割分担することで、セキュリティを極限まで高めている。

この設計は、単なる機能実装に留まらず、CIでの自動テストによるポリシーの付け忘れ検知など、運用面も含めた包括的な防御策が講じられている点が特徴的である。

背景

マルチテナントアーキテクチャとは、単一のシステムインスタンス（SaaS）を複数の顧客（テナント）で共有しつつ、各テナントのデータや設定が完全に分離されている状態を指す。本記事は、この高度な設計を実現する際の具体的な技術的課題と解決策を提示している。

重要用語解説

マルチテナントアーキテクチャ: 単一のシステム環境（SaaS）で複数の顧客（テナント）にサービスを提供しつつ、各テナントのデータや設定が完全に分離されているシステムの構造。データ漏洩防止が最重要課題となる。
Row Level Security (RLS): PostgreSQLなどのデータベース機能の一つで、テーブルに対してポリシーを定義することで、特定のセッション変数に基づき、ユーザーがアクセスできる行（レコード）を動的に制限するセキュリティ機構。
BYPASSRLS: PostgreSQLの権限属性の一つ。この属性を持つDBユーザーは、RLSによって設定されたデータ絞り込みポリシーを無視してクエリを実行できてしまうため、高い権限を持つ処理に限定される。

今後の影響

本記事で示された二重防御の設計パターンは、金融や医療など機密性の高いデータを扱うあらゆるB2B SaaSシステムにおける標準的なセキュリティベストプラクティスとなる。これにより、データ漏洩リスクを最小化し、システムの信頼性と拡張性を飛躍的に向上させることが可能である。

Information Sources:

https://zenn.dev/counterworks/articles/1887cb36a1b701