kintone気をつけようシリーズ ガバナンス 編③

お前誰？

トヨクモ株式会社の前CTOとしてフォームブリッジやkViewerなどkintone連携サービスの開発をしてきました。2014年の制度発足時からのkintoneエバンジェリストで、（自称）kintoneやkintone連携サービスのセキュリティ、パフォーマンス、カスタマイズなど高度な技術領域に詳しいマンです(^^)
今はトヨクモクラウドコネクト株式会社の取締役をしております。

これなに？

「kintone気をつけようシリーズ」では、セキュリティやパフォーマンスなどのkintoneやkintone周辺サービスを使う上での気をつけた方がいい点を発信していきたいと思っています。
今回はkintoneのガバナンスについて考慮事項をまとめる第３回になります。ここからは代表的なルールを少しずつお見せしていければと思います！

kintoneの管理者ルール

kintoneの管理者権限

kintoneの管理者権限は以下の３つがあります。それぞれ簡単に紹介します。

• サイボウズドットコムストアの管理者

  • サービスの発注や契約内容の変更、IPアドレス制限やBasic認証の設定、ドメインの追加などを行います。

• cybozu.com共通管理者

  • ユーザーや組織の管理やパスワードポリシーの設定などを行います。各サービスのシステムの管理権限も持ちます。

• kintoneシステム管理者

  • kintoneシステム管理画面にアクセスし、kintone全体に関わる設定を行うことができます。

サイボウズドットコムストアの管理者のガバナンス例(一部)

• 責任者１名実務担当者１名の２名体制とする。

• パスワードの強度やアカウントロックの設定は、情報セキュリティ基本方針で定めているパスワード方針に合わせる。

• 実務担当者は管理者作業管理アプリに作業予定を登録し、責任者による承認ののち設定変更を行う。

• 各ドメインの管理者に、契約情報や、アクセス制限の設定を変更するための権限を付与する設定にする

cybozu.com共通管理者のガバナンス例(一部)

• 責任者１名実務担当者２名の３名体制とする。

• IPアドレス制限を有効にし、Basic認証と２要素認証は使わない。

• パスワード ポリシーは情報セキュリティ基本方針等で定めているパスワード方針に合わせる。

• 実務担当者は管理者作業管理アプリに作業予定を登録し、責任者による承認ののち設定変更を行う。

• 毎週監査ログを調査し、不正な操作がないかチェックする。

kintoneシステム管理者のガバナンス例(一部)

• cybozu.com共通管理者と同じメンバーの責任者１名実務担当者２名の３名体制とする。

• JS/CSSカスタマイズと新しいプラグインのインストールは、カスタマイズスペシャリスト資格保有者の承認を得たものだけ設定できる。

• 実務担当者は管理者作業管理アプリに作業予定を登録し、責任者による承認ののち設定変更を行う。

• 毎月アプリおよびスペースの不要なものを洗い出し、それぞれ担当者にヒアリングのもと削除する。

なぜこのルールが必要なのか、どんなリスクに対するルールなのかといった詳細については割愛させていただきます。イメージしやすいように各管理者のガバナンスの一部を例として出していますが、本当に整えるのであればこれだけでは全然足らないので注意してください。あくまでkintoneにもガバナンス必要やで〜っていう啓蒙記事ですw
また社内の文化や上位の情報セキュリティ基本方針や情報ツール管理方針などkintoneの立ち位置や利用シーンに合わせて必要なガバナンスは変わってきます。どこかから持ってきて運用するより自社の事情に合わせて策定しましょう！

まとめ

kintoneは自由度の高いローコード・ノーコードツールのため、放置していると治安が悪化し無法地帯と化します。適切な法（ガバナンス）と法を守らせる治安維持部隊（承認体制と監査体制）を整備することで、安全安心にkintoneの自由度の高さをフル活用した運用ができると思います。
ガバナンスを策定するには、自社の使い方によるセキュリティ・パフォーマンス・保守性のリスクを洗い出し、正しく評価することが最初の一歩として重要になります。社内のメンバーだけで網羅的に対応できない場合は、外部のkintoneプロフェッショナルを活用することも有効かと思います。