030-アクセス制御
ロールと権限の対応表など、アクセス制御ルールを記述します。
ドキュメントの目的
- 業務システムのアクセス制御(ロール、権限、操作可否等)を明確化し、設計・開発・運用の品質を高める。
- アクセス制御設計・運用・監査の根拠とする。
ドキュメントの内容
ドキュメントには、少なくとも以下を含めます。
- アクセス制御表(ロール、権限、操作可否、対象画面・機能等)
- サンプル(小売業務システム例)
なぜこのドキュメントが必要か
- アクセス制御を明確にすることで、設計・開発・運用の品質と効率を高める。
- アクセス制御設計・運用・監査の認識ズレ・トラブルを防ぐ。
このドキュメントがないとどう困るか
- アクセス制御が曖昧になり、設計・開発・運用で誤解や手戻りが発生する。
- アクセス制御設計・運用・監査の認識ズレによる品質低下・トラブルにつながる。
サンプル
アクセス制御(小売業務システム例/表形式)
| ロール | 権限区分 | 操作可否 | 対象画面・機能 | 備考 |
|---|---|---|---|---|
| 管理者 | 全権限 | すべて可 | 全画面・全機能 | パラメータ変更可 |
| バイヤー | 発注・在庫 | 発注・在庫操作可 | 発注管理、在庫管理 | 欠品アラート対応 |
| 店舗スタッフ | 販売・在庫 | 販売・在庫参照・登録可 | 販売管理、在庫一覧 | 返品受付可 |
| 一般ユーザー | 参照 | 一部画面のみ参照可 | 商品一覧、在庫状況 | 画面制限あり |
注:上記は例です。実プロジェクトのアクセス制御仕様を具体的に記載してください。