AppSuiteの使い方 設定編 2

　こういったITシステムにおいてアクセス権の設定は必要でないものは付与しないことを原則としたい。
情報が価値を持つ時代においてコンピュータウィルス等による外部からの攻撃による情報流出事故は世間を騒がすことになる。とはいえ負けずとも劣らず問題が大きいのが故意過失問わず身内による情報流出である。不要な情報にアクセスさせないということがまず情報流出対策の第一歩になる。

アクセス権の概要

　AppSuiteのアクセス権は3層に分かれて設定できる。
アプリケーションが上位にありデータと部品のアクセス権はアプリケーションのアクセス権に影響を受ける。例えばデータに対し削除権限を持っていたとしても、アプリケーションに対し削除権限を持っていない場合、データの削除ができない。しかし、データと部品は一覧画面の横と縦に相当するもので、片一方がもう一方を内包するというこはない。

アプリケーション⊃ 部品,データ

アプリケーションのアクセス権設定

　左から4権限が基本となる「参照」、「追加」、「編集」、「削除」となる。
　「参照」はこのアプリに対して入れるかどうかで、この参照権限は利用者を設定すれば必ず付与される。付与したくなければ利用者登録しなければよい。参照権限が無ければアイコンも見えないので、メニューに登録されたものも見えない。
　「追加」権限は新規登録できるかどうかである一方、「編集」権限は登録されたレコードを修正できるかどうかであり、明確に異なる。
編集権限が無くとも新規登録は可能なので、役割によっては追加権限だけ付与するという運用もあり得る。なおその際入力を間違えたレコードは編集できないので、別アプリやワークフローから削除または不可視化する仕組みを整える必要があるが、面倒なので追加と編集は一体で付与して、データのアクセス権で制御した方が良いと思う。
なお再計算については編集権限が必要になることを忘れずに。
　「削除」権限はレコードを削除できるかどうかだが、基本的に管理者以外で削除権限を付与しない方が良いと考える。誤削除やID・パスの流出に伴う故意の削除等、削除権限はデメリットが大きいので、実際の運用上は不可視化でカバーできるため、必要でない権限は与えない原則を守ることが肝要である。

運用がうまく乗るようになったら管理者の削除権限も消してしまうことも検討

　基本4権限の次にあるのがエクスポート権限及びインポート権限になる。
エクスポートは、他のシステムへの連携や分析等に必要なデータを一気に出力できる。使われる場面や人は極限られるだろう。
　インポートはエクスポートとは逆に他のシステムからデータを持ってくる際に利用する。
どのシステム間連携でも当てはまるが、受ける側のシステム(今回の場合はAppSuite)ではフォーマットに沿った入力しか受け付けないため、ほぼすべての場合において事前処理が必要になる。そのためある程度ITリテラシーが必要で、少なくともインポートエラーの自己解決ができるような人または仕組みが用意できる場合にしか付与しないほうが良い。

アプリ内でインポート手順の説明ページを作るのがbetterと考えているが、完璧ではない

なお、インポートを利用するにあたっては、できるだけAppSuite側で出力側システムへ寄せることを推奨したい。下のアプリの変数名はすべて出力側に合わせており、「タイトルが一致する部品を割り当てる」を毎回押すことをルール化して、出力側の仕様変更も判定できるような体制も兼ねている。

　最後に管理機能のアクセス権になるが、これは作成者以外に開放しない方が良い。アプリ利用者側は必ずしもリテラシーが高いわけではないだろうが、それゆえに誤って重大な変更を保存されてしまうリスクがある。削除権限よりも悪い結果になりかねないので、必要でない権限は与えない原則を実践してほしい。
作成者が退職等でいなくなった場合であっても、AppSuite全体のアプリ管理権限(admin等)保有者で管理機能にアクセスできる。

参照データ一覧のアクセス権設定

　基本的に変わらないが、参照データ一覧はあくまで別のアプリへのアクセスであるためアクセス権の設定が忘れがちになる。
参照データ一覧から簡単にそのアプリ及びレコードへアクセスできるので、そのレコードに含まれる他の部品にも容易にアクセスが可能で、参照データ一覧で見えていない部品のアクセス権について慎重に検討する必要がある。
例えば、弊社では収益管理のために給与データを、個人を特定できない形で一定の計算式を持って指標化した自動計算部品にのみ部門責任者に対し参照権限を付与しており、具体的な給与や手当等については極一部の人間以外には開示していない。

参照先のアクセス権を引継ぐが、参照データ一覧に対する自動計算部品の値については
最終編集者の権限に従って計算される

　今回の記事は非常に難産であった。お盆休みというのもあったが一回アクセス権3つ(アプリ、データ、部品)で9割方できていたものの、改めて読んでみると内容がいまいちだったので、全部書き直す羽目になってしまった。
書き直したところ、アプリのアクセス権だけで非常に長くなってしまったので、ここで一旦締めとしたい。

記事を書く際のBGM

　自宅で記事やプログラムの作成、AppSuiteやexcelの設定の際にはyoutubeの環境音ポモドーロタイマー(25分+5分)を使っているが、今回は急いでいたので、ぶっ続けで書いていたところ疲労感が非常に重い。
ポモドーロタイマーは個人差があると思うが個人的にはマッチしている。ポモドーロタイマーを知ったのが下記の書籍で、初回の読み込みはともかく、2回目以降は小説形式で聞き流しやすいので最低1年に1回はkindleの読み上げで聞き直している。安いのでお勧めしたい。(現状アフィリエイトやっていないので、私に収益はありません。)

実践！　タイムマネジメント研修: より少ない時間で、より高い成果を出すために 実践シリーズ (株式会社ポテンシャル・ディスカバリー・コンサルティング)

9月10日追記