システム開発における情報セキュリティ6
この記事はシステム開発における情報セキュリティ5の続きです。前回は、役割と権限の識別を解説しました。今回は、権限の取り扱いについて解説します。
権限の識別が終わったら、権限のCRUD(生成・参照・更新・削除)と人が持つ権限のCRUDについて考える必要があります。新しい仕事が出来れば権限は生成されますし、ビジネスプロセスの見直しにより不必要になる権限もあります。また、昇進した人には新しい権限を与えられ、退社や不祥事などの事柄で権限は剥奪されます。そういった人員に関するイベントで権限に関する情報は常に変動します。それら権限のライフサイクルと利用状況を、どのように取り扱うのか事前に考えてなくてはならないのです。
何故ならば、開発者の視点でセキュリティを考えていると、システム内のセキュリティに目が向き、システムを利用する外部システムである組織レベルのセキュリティが疎かになるからです。情報社会を迎えた今、システムは組織に密着するものであり、組織とは無関係でいられません。
システムを構築する際は組織レベルで物事を考える必要があります。現実(組織/業務)と理論(システム)の乖離がセキュリティの虚弱性を生みます。隙を生みださないために広く深く考え抜きましょう。
権限の識別が終わったら、権限のCRUD(生成・参照・更新・削除)と人が持つ権限のCRUDについて考える必要があります。新しい仕事が出来れば権限は生成されますし、ビジネスプロセスの見直しにより不必要になる権限もあります。また、昇進した人には新しい権限を与えられ、退社や不祥事などの事柄で権限は剥奪されます。そういった人員に関するイベントで権限に関する情報は常に変動します。それら権限のライフサイクルと利用状況を、どのように取り扱うのか事前に考えてなくてはならないのです。
何故ならば、開発者の視点でセキュリティを考えていると、システム内のセキュリティに目が向き、システムを利用する外部システムである組織レベルのセキュリティが疎かになるからです。情報社会を迎えた今、システムは組織に密着するものであり、組織とは無関係でいられません。
システムを構築する際は組織レベルで物事を考える必要があります。現実(組織/業務)と理論(システム)の乖離がセキュリティの虚弱性を生みます。隙を生みださないために広く深く考え抜きましょう。
スポンサーサイト
