はじめに
前回の記事では、Devin Enterpriseの2026年4月アップデートを「セキュリティとガバナンス強化の1ヶ月」として整理しました。ACUのハード上限やBuild Pinningなど、「本番で安心して使う」ための土台が固まった月でした。
では5月はどうだったか。リリースノートを通しで眺めて感じたのは、4月で固めた土台の上に**「誰が・何を・どう操作できるか」を細かく設計する月**だったということです。新メンバーへのデフォルトロール割り当て、サービスユーザーの権限管理、MCPシークレットのスコープ分け——人が増え、組織が増えても破綻しない仕組みづくりが目立ちました。
もう一つの軸がAPI経由の自動化です。Devin ReviewをREST APIから起動できるようになり、CIパイプラインへの組み込みが現実的になりました。「人がボタンを押す運用」から「仕組みが自動で回す運用」への移行が進んだ印象です。
この記事では、5月のEnterprise向けアップデートをカテゴリ別に整理し、実務での活用ポイントを解説します。
機能一覧(日付順)
| 日付 | 機能名 | カテゴリ |
|---|---|---|
| 5/1 | Stacked Review Permissions | レビュー権限 |
| 5/1 | Snapshot Revert(宣言的設定からの復帰) | 運用 |
| 5/1 | Enterprise Sessions API: 削除済み組織の可視化 | API/監査 |
| 5/1 | Session Origin フィールド | API |
| 5/8 | Devin Review API | API/自動化 |
| 5/8 | Service User Permission Management | セキュリティ |
| 5/8 | MCP Secret Scoping | セキュリティ |
| 5/13 | Enterprise Member Invite 確認モーダル | ガバナンス |
| 5/17 | Default Member Roles | アクセス制御 |
| 5/17 | GHES App登録の制限 | セキュリティ |
| 5/17 | 管理者ロック設定のアイコン表示 | ガバナンス |
| 5/17 | MCP OAuth Client Credentials | 認証 |
| 5/17 | Slack セキュリティ強化 | セキュリティ |
| 5/22 | Platform Default Settings | 管理 |
| 5/22 | PR Review Status API | API |
| 5/22 | Max Concurrent Snapshot Builds | リソース管理 |
| 5/22 | 自動化のGitHub接続不要化 | ガバナンス |
| 5/22 | Network Config Editor 刷新 | セキュリティ |
1. アクセス制御・ガバナンス強化
Default Member Roles(5/17)
概要: Enterprise管理者が、組織に参加した新メンバーへ自動で割り当てるデフォルトロールを設定できるようになりました。メンバー一覧にはロールがバッジ表示され、誤削除を防ぐセーフガードも付いています。
活用ポイント:
- 新メンバーが「権限ゼロ」で放置されず、最初から適切なロールで開始
- 「とりあえず管理者権限を付けておく」という危険な運用を回避
- オンボーディングの手作業を削減
地味ですが、これは効きます。人の入れ替わりが多い組織だと、メンバー追加のたびに手動でロールを設定するのは漏れの温床でした。デフォルトを管理者権限を持たない標準の「Member」ロール(あるいは権限を絞ったカスタムロール)にしておけば、最小権限の原則を運用でも自然に守れます。
Service User Permission Management(5/8)
概要: ManageAccountServiceUsers権限をカスタムロールに割り当て可能になりました。サービスユーザーやAPIキーを誰が作成・管理できるかを制御できます。
活用ポイント:
- API連携用のサービスユーザーを作れる人を限定
- APIキーの乱立を防ぎ、棚卸しを容易に
CI連携やダッシュボード構築でサービスユーザーを使い始めると、「誰がそのキーを作ったのか分からない」という事態が起きがちです。作成権限そのものを絞れるようになったのは、後述のAPI自動化の広がりとセットで重要な改善だと感じました。
管理者ロック設定のアイコン表示(5/17)
概要: 管理者がロックした設定項目に、説明ツールチップ付きのロックアイコンが表示されるようになりました。従来のバナー形式の通知を置き換えています。
活用ポイント:
- 「なぜこの設定が変更できないのか」が項目単位で一目で分かる
- 問い合わせ(「設定がグレーアウトしている」)の削減
Enterprise Member Invite 確認モーダル / GHES App登録の制限(5/13・5/17)
| 機能 | 内容 | 効果 |
|---|---|---|
| Invite確認モーダル | 招待送信前に内容を確認するモーダルを表示 | 誤招待・誤組織への招待を防止 |
| GHES App登録の制限 | アカウント×ホストの組み合わせごとに1アプリへ制限 | 重複登録時に明確なエラーで競合を回避 |
どちらも「うっかり事故」を構造的に減らすタイプの改善です。大規模組織では、こうした小さなガードレールの積み重ねが運用品質を左右します。
2. MCP・認証・ネットワーク
MCP Secret Scoping(5/8)
概要: カスタムMCPサーバーの接続シークレットを、本人のみ閲覧可能な「個人スコープ」か、チームで共有する「組織スコープ」かを選べるようになりました。
活用ポイント:
- 個人のアクセストークンは個人スコープに隔離
- チーム共通の接続情報は組織スコープで共有
- 共有範囲を明示することで、意図しない流出を防止
4月に「MCP Registry Enforcement(許可リスト強制)」で接続先を絞れるようになりましたが、5月はその先の「接続情報の管理」まで踏み込んだ形です。MCPまわりのガバナンスが段階的に揃ってきているのが分かります。
MCP OAuth Client Credentials(5/17)
概要: Dynamic Client Registrationに対応していないMCP連携(Salesforceなど)向けに、組織独自のOAuthクライアント認証情報を持ち込めるようになりました。
活用ポイント:
- 自動登録に非対応な企業向けSaaSとも正式にOAuth連携が可能
- 22日の「OAuth Resource Parameter(RFC 8707)対応」と合わせ、Snowflakeなどリソースインジケータ必須のサーバーにも対応
Slack セキュリティ強化 / Network Config Editor 刷新(5/17・5/22)
Slackスレッドへの添付に対して、Enterpriseのチャンネル分離をランタイムで検証する仕組みが入りました。チャンネルがEnterpriseの設定に適合しているかを実行時にチェックします。
ネットワークポリシーエディタも刷新され、インライン編集・複数行ペースト・重複検出に対応しました。許可ドメインのリストを大量に管理する組織には、地味に手放せない改善です。
3. API・自動化
Devin Review API(5/8)
概要: POST /v3/organizations/{org_id}/pr-reviewsで、Devin ReviewをREST APIから起動できるようになりました。サービスユーザートークンまたはPATで認証します。
活用ポイント:
- CIパイプラインの一工程としてDevin Reviewを組み込める
- 「PR作成時に自動」だけでなく、独自条件でのトリガーが可能
- 5/22追加の
GET /v3/enterprise/pr-reviewsでレビュー状態をポーリングし、完了を待ってからマージ判定する、といった制御も実現
これが5月の目玉だと思います。これまでもDevin ReviewはPRのオープンやコミットpushに応じて自動でレビューを走らせる仕組みがありましたが、5月のAPIで「任意の条件・任意のタイミングで自社から起動する」ことが可能になりました。これにより「自社のCIフローに組み込む」という選択肢が現実的になります。レビュー起動とステータス取得の両方が揃ったのも実用上大きいです。
Session Origin / 削除済み組織の可視化(5/1)
| 機能 | 内容 | 用途 |
|---|---|---|
| Session Origin | v3 APIレスポンスにoriginフィールド追加(webapp / Slack / API / CLI) |
セッションの発生経路を分析 |
| 削除済み組織の可視化 | Enterprise Sessions APIにinclude_deleted_orgsパラメータ追加 |
解散した組織のセッションも監査対象に含められる |
どちらも監査・分析向けの改善です。特に削除済み組織のセッションを追えるのは、コンプライアンス監査で「過去すべての利用を説明できる」ことが求められる組織には重要でしょう。
4. 運用・リソース管理
Max Concurrent Snapshot Builds(5/22)
概要: Enterprise管理者が、スナップショットビルドの最大同時実行数に上限を設定できるようになりました。バックエンドで強制適用されます。
活用ポイント:
- ビルドの一斉実行によるリソース逼迫を防止
- 4月の「セッションACUハード上限」に続く、リソース暴走対策の一手
Platform Default Settings / 自動化のGitHub接続不要化(5/22)
組織管理者が、新規セッションのデフォルトプラットフォーム(LinuxまたはWindows)を一括設定できるようになりました。個々のユーザーは自分用に「お気に入り」を指定できます。前回紹介したComputer Useでのデスクトップテストなどでプラットフォームを使い分ける組織には、地味に効く設定です。
加えて、GitHubトリガーの自動化が個人のGitHub接続を必要としなくなりました。組織レベルの接続だけで完結します。
変更前: 自動化を動かす人が個人のGitHub接続を持っている必要があった
変更後: 組織レベルの接続のみで動作
個人接続への依存は、その人が退職した瞬間に自動化が止まるという運用リスクがありました。組織接続で完結するようになったのは、属人化を排除する良い変更です。
Snapshot Revert(5/1)
概要: ManageOrgSnapshots権限を持つユーザーが、宣言的な環境設定からクラシック設定へ組織を戻せるようになりました。
新しい設定方式を試して合わなければ元に戻せる、という退路が用意されているのは安心材料です。4月のBuild Pinningと同じく、「変更したら戻せる」設計思想が一貫しています。
まとめ:5月のEnterprise強化ポイント
注目機能 TOP 3
| 順位 | 機能 | 理由 |
|---|---|---|
| 1 | Devin Review API | CIパイプラインへの組み込みが現実に。運用自動化の決定打 |
| 2 | Default Member Roles | 新メンバーの権限を自動で最小権限に。属人運用からの脱却 |
| 3 | MCP Secret Scoping | 接続情報の共有範囲を明示。MCPガバナンスの仕上げ |
4月との比較
4月が「本番で安心して使うための土台」だったとすれば、5月は「その土台の上で運用をどう自動化・標準化するか」に踏み込んだ月でした。手作業を仕組みに置き換える、属人化を組織接続に置き換える——そういう変化が一貫しています。
個人的には、Devin Review APIが一番のインパクトでした。Webアプリ上で設定する自動レビューに加えて、CIから明示的にレビューを起動できるということは、Devinが「人が使うツール」から「パイプラインに組み込む部品」へと一歩進んだことを意味します。レビュー状態を取得するAPIも同時に揃ったことで、「Devinのレビューが通るまで自動マージしない」といったゲート制御まで設計できるようになりました。
エンタープライズでツール導入を進める立場からすると、「権限を細かく設計できる」「APIで自社フローに組み込める」という2点が揃ったのは大きい。5月のアップデートは、Devinを組織の標準ツールとして定着させるための実務的な一歩だったと思います。