キンコミ kintone user community

みんなの投稿

Kintoneを社内に展開する事を目的に、システム部門で勉強を兼ねたタスク活動を行っています。
システム部門以外の人がアプリ開発を安全に行う為に、セキュリティ―面の施策を検討していますが、良い施策が見つかりません。
以下の観点で運用面、技術面でのアドバイスをお願いします。
①社内ルールに則ってアプリを開発しているかをチェックしたい
②アプリのブラックボックス化(属人化)を防ぎたい
③野良アプリの放置を防ぎたい
④窓口を通さず勝手に拡張ツールを使う事を防止したい
⑤個人情報が含まれる社員マスタの散在を防止する為に、
 各アプリが一つの社員マスタを同じAPIを使って参照できる
 ようにしたい
よろしくお願い致します。

5件のコメント (新着順)

HBPチームKTさん

DXとはいうものの、システム部門以外のITツールの開発についてどうすべきか悩みますね。

既にキンコミでみなさん有益な回答をしてらっしゃるので、ここで私は質問の回答からは外れたコメントで議論の幅をひろげようと思います。^^;



えっと「もっとオープンに舵を切ってみる」というのはどうですか。

ただ無制限にとなるとそれも問題。。。



「ガードレールくらいがちょうどいい」
は、kintone hive tokyo 2021 に登壇された、こたけさんの言葉です。

「kintoneの畑が育つ環境を振り返ると、kintoneは自由なぶん、難しいところもありました。何もない状態から発展させるのは難しいですし、だからといって整然と管理するのも合いません。そこで、守るべき価値観だけを決めて線引きし、それ以外は自由にやってよいよとしました。畑ですが、柵ではなくガードレールくらいでkintoneの利用促進をしています」

https://ascii.jp/elem/000/004/071/4071793/

もちろん100社100とおり正解はありません。
安全な開発やセキュリティ―面の施策は重要です。

ただ、育成にはある程度の自由が必要で、野良アプリ対策や制限が厳しいとなかなか現場から積極的な開発者は生まれませんし、「やっぱりITはシステム部門の仕事」という認識でとらえられがち。

kintoneという現場主体で開発できる新しいITツール、今までと同じ考え方ではなくもっと新しい考え方で使っていく方向もあるのではないか、ということを考えるキッカケになればと思いました。



わたしなりの質問の回答としては以下です。

①~③の回答は長々と書いた上記の文章^^;
④は新規プラグインという意味では情シス以外のユーザーはアプリ開発権限のみとしシステム管理者権限を付与しないことで可能(既存プラグインは自由に使ってよいとする)
⑤はAPIの敷居が高いのと、kintoneのアプリは原則それぞれが独立したアプリという仕様上難しいと感じます。



以下関連するリンクを掲載します。参考になればうれしいです!

「本当にそのアクセス権設定が必要か」を考えてみる
https://kincom.cybozu.co.jp/chats/hmusdqzsjdcnpsnr

kintoneの運用管理は「まちづくり」みたいなもの
https://kincom.cybozu.co.jp/chats/r83yozxuazgpgtv8

結局「開発」ということ
https://kincom.cybozu.co.jp/chats/0hsu4geodras2jcp

kintoneの歩き方 vol.5
https://kintone.cybozu.co.jp/material/pdf/support/arukikata/KW-vol5-1.pdf


コメントありがとうございます。
セキュリティーの事を考えるとどうしても規制を強く考えてしまいますが、
IT部門以外の人の活用幅を広げる為に守るべき事をもう少し考えないといけませんね。
チームで話し合ってみようと思います。

とし
建設業
2022/10/06 17:00

はじめまして。
例えば、アプリを作れる人は、自由にではなく、きちんと基礎教育(社内勉強会等)を受け、ある一定のレベルである証(あなたは作っても良いよと言うような資格)を持つ人だけが作れるようにしてはどうでしょう?多分、全員ルール守らせるのは難しいと思います。
自社で横展開するときは、その仕組を入れようかと思っています。


コメントありがとうございます。
Kintoneは利用者側のITリテラシーも必要ですね。
まずは利用部署の推進者を教育する事から始めてみます。

①は
アプリ開発用スペース
を作成して、システムが精査した上で運用するスペースに移動させてはどうでしょうか?

②は
弊社ではJSやCSSを使用したカスタマイズは禁止しています。
その代わり、必要そうなプラグインはいつでも使用できるようにしています。

③は
ゴミ箱スペース
を設置して、長期間使用されていないあるいはレコード0のまま1ヶ月などでゴミ箱行きです。
ゴミ箱で決まった日数放置されている場合は通知後に削除です。

④は
②にも書いたように、使っていいプラグインは登録済みのもののみとしています。
そして、プラグイン紹介用アプリを作成して、気をつける点などを記載しています。

⑤は企業ごとに違ってくるからちょっとむずかしいなぁと。


横からすみません。
たなよしさんありがとうございます。
③の案、弊社でも採用させていただきます!

削除の際に
・データバックアップ
・テンプレ保存
をしておくとコメント以外は復旧可能です。

だいぶ前にどなたかがゴミ箱スペースの話を書かれてて、それに倣ってマネしてます!🙃

コメントありがとうございます!
スペースは工夫次第で使い方の幅が広がりますね。
参考にさせて頂きます。

④については、システム管理者を他部門に置かなければ、
プラグインの登録などはできませんので、権限により防止できるかと。
https://jp.cybozu.help/k/ja/admin/permission_admin/permissions.html

①~③,⑤はアプリ作成についての社内講習などで徹底するのがよろしいかと思います。


コメントありがとうございます。
④:設定レベルで制御できるのであればありがたいです。見直してみます。
①~③、⑤:まずはkintoneの使い方を理解し、その上で足らない事をどうするか考える事が大切だと理解しました。再度考えてみます。

井上望
2022/10/04 18:46

はじめまして。
1~4については、サイボウズが以下のようなガイドラインを作ってますので、資料請求して読んでみるのが、急がば回れで近道と思います。
https://topics.cybozu.co.jp/news/2022/07/15-18208.html
あと、こちらのkintone SIGNPOSTも参考になるのではないかと。
https://kintone.cybozu.co.jp/kintone-signpost/

5については、アプリ・レコード・フィールドの権限管理が必要と思われますが、細かくすればするほど、異動等の保守が大変になってくると思います。


コメントありがとうございます。
Kintoneの使い方について今一度理解する必要がありますね。
まずはガバナンスガイドラインとSIGNPOSTを社内のチームで確認してみます。