2022/10/04 16:04
Kintoneを社内に展開する事を目的に、システム部門で勉強を兼ねたタスク活動を行っています。
システム部門以外の人がアプリ開発を安全に行う為に、セキュリティ―面の施策を検討していますが、良い施策が見つかりません。
以下の観点で運用面、技術面でのアドバイスをお願いします。
①社内ルールに則ってアプリを開発しているかをチェックしたい
②アプリのブラックボックス化(属人化)を防ぎたい
③野良アプリの放置を防ぎたい
④窓口を通さず勝手に拡張ツールを使う事を防止したい
⑤個人情報が含まれる社員マスタの散在を防止する為に、
各アプリが一つの社員マスタを同じAPIを使って参照できる
ようにしたい
よろしくお願い致します。
ミュートしたユーザーの投稿です。
投稿を表示HBPチームKTさん
DXとはいうものの、システム部門以外のITツールの開発についてどうすべきか悩みますね。
既にキンコミでみなさん有益な回答をしてらっしゃるので、ここで私は質問の回答からは外れたコメントで議論の幅をひろげようと思います。
^^;
えっと「もっとオープンに舵を切ってみる」というのはどうですか。
ただ無制限にとなるとそれも問題。。。
「ガードレールくらいがちょうどいい」
は、kintone hive tokyo 2021 に登壇された、こたけさんの言葉です。
https://ascii.jp/elem/000/004/071/4071793/
もちろん100社100とおり正解はありません。
安全な開発やセキュリティ―面の施策は重要です。
ただ、育成にはある程度の自由が必要で、野良アプリ対策や制限が厳しいとなかなか現場から積極的な開発者は生まれませんし、「やっぱりITはシステム部門の仕事」という認識でとらえられがち。
kintoneという現場主体で開発できる新しいITツール、今までと同じ考え方ではなくもっと新しい考え方で使っていく方向もあるのではないか、ということを考えるキッカケになればと思いました。
わたしなりの質問の回答としては以下です。
①~③の回答は長々と書いた上記の文章
^^;
④は新規プラグインという意味では情シス以外のユーザーはアプリ開発権限のみとしシステム管理者権限を付与しないことで可能(既存プラグインは自由に使ってよいとする)
⑤はAPIの敷居が高いのと、kintoneのアプリは原則それぞれが独立したアプリという仕様上難しいと感じます。
以下関連するリンクを掲載します。参考になればうれしいです!
「本当にそのアクセス権設定が必要か」を考えてみる
https://kincom.cybozu.co.jp/chats/hmusdqzsjdcnpsnr
kintoneの運用管理は「まちづくり」みたいなもの
https://kincom.cybozu.co.jp/chats/r83yozxuazgpgtv8
結局「開発」ということ
https://kincom.cybozu.co.jp/chats/0hsu4geodras2jcp
kintoneの歩き方 vol.5
https://kintone.cybozu.co.jp/material/pdf/support/arukikata/KW-vol5-1.pdf
ミュートしたユーザーの投稿です。
投稿を表示ミュートしたユーザーの投稿です。
投稿を表示はじめまして。
例えば、アプリを作れる人は、自由にではなく、きちんと基礎教育(社内勉強会等)を受け、ある一定のレベルである証(あなたは作っても良いよと言うような資格)を持つ人だけが作れるようにしてはどうでしょう?多分、全員ルール守らせるのは難しいと思います。
自社で横展開するときは、その仕組を入れようかと思っています。
ミュートしたユーザーの投稿です。
投稿を表示ミュートしたユーザーの投稿です。
投稿を表示①は
アプリ開発用スペース
を作成して、システムが精査した上で運用するスペースに移動させてはどうでしょうか?
②は
弊社ではJSやCSSを使用したカスタマイズは禁止しています。
その代わり、必要そうなプラグインはいつでも使用できるようにしています。
③は
ゴミ箱スペース
を設置して、長期間使用されていないあるいはレコード0のまま1ヶ月などでゴミ箱行きです。
ゴミ箱で決まった日数放置されている場合は通知後に削除です。
④は
②にも書いたように、使っていいプラグインは登録済みのもののみとしています。
そして、プラグイン紹介用アプリを作成して、気をつける点などを記載しています。
⑤は企業ごとに違ってくるからちょっとむずかしいなぁと。
ミュートしたユーザーの投稿です。
投稿を表示ミュートしたユーザーの投稿です。
投稿を表示ミュートしたユーザーの投稿です。
投稿を表示ミュートしたユーザーの投稿です。
投稿を表示④については、システム管理者を他部門に置かなければ、
プラグインの登録などはできませんので、権限により防止できるかと。
https://jp.cybozu.help/k/ja/admin/permission_admin/permissions.html
①~③,⑤はアプリ作成についての社内講習などで徹底するのがよろしいかと思います。
ミュートしたユーザーの投稿です。
投稿を表示ミュートしたユーザーの投稿です。
投稿を表示はじめまして。
1~4については、サイボウズが以下のようなガイドラインを作ってますので、資料請求して読んでみるのが、急がば回れで近道と思います。
https://topics.cybozu.co.jp/news/2022/07/15-18208.html
あと、こちらのkintone SIGNPOSTも参考になるのではないかと。
https://kintone.cybozu.co.jp/kintone-signpost/
5については、アプリ・レコード・フィールドの権限管理が必要と思われますが、細かくすればするほど、異動等の保守が大変になってくると思います。
ミュートしたユーザーの投稿です。
投稿を表示