ナビゲータのEVEです。
本日は、日曜日ということでセキュリティの日です。そんなセキュリティの日で本日は、開発中のシステムのセキュリティについて書きたいと思います。
ユーザー管理システムの通り一遍の開発も終わり、現在UT試験と同時にSI試験を実施ています。その試験の過程において、Prototype EVEでは使用していなかった、外部キーが想定通りの動きをしないということが分かり、本日、データベースとテーブルの再作成そして、初期データのインポートをして作業を完了しています。
その開発の過程において、本来の仕様通りに作っていない部分があることに気づき、明日、正常系が動くことを確認後、同仕様を取り込もうと考えています。それは、セキュリティに関する部分です。
[忘れられたシステム機能]
Prototype EVEでは、ユーザー1とプログラム1で管理し、その単位でセキュリティを設定していました。しかし、EVEシステムでは、ユーザー1が、組織n、プログラム1という感じで製造しようとしています。ようは、当該ユーザーは、複数の組織に入ることができ、その複数の組織で違うセキュリティを設定しようというものです。設計の段階でそう考えて作り始めたのですが、設計書がないため、製造の過程で失念をしてしまいました。そのため、今回このブログで同セキュリティについて、少しずつ整理し、システムに反映することにしました。
[今回のシステム使用方法]
今回のシステムは、管理者システムは、1組織で管理・運用することにしていますが、ユーザー向けシステムは、複数のユーザー、団体が利用することをを想定しています。それは、私が、管理システムを管理し、複数のユーザー様にシステムを利用していただという想定の元での仕様です。
管理システムは、以前のPrototype EVEと類似の設計でいいのですが、ユーザー向けとなると違ってきます。一工夫必要になるわけです。
[システム構成]
複数のユーザー様に機能を提供するシステムは、システム>プログラムグループ>プログラムという単位で管理されます。ユーザーは、グローバルコード>所属コード>ユーザーIDという単位で管理をします。そして、ユーザーは権限レベルが付与され、その権限レベルは、グローバルコード、所属コードが変わるまたは増えるたびに変更または増えていくことになります。ただ、ユーザーIDなどのユーザー情報は変わりません。
[不足している機能]
先ほど、このような仕様に対して、設計は対応し、そのシステム開発で仕様を取りこぼしがあったという話をしましたが、不足している部分もあります。それは、システム>プログラムコード>プログラムへのセキュリティ設計です。できているのは、ユーザーのみで、システム>プログラムグループ>プログラムのセキュリティについては、これから考えなければなりません。だから、この部分はユーザー向けシステムを作り始めたときに必要な機能で、しばらく利用する予定はありません。そのため、しばらく、考える時間があります。しかも、中小企業診断士試験が目前となっており、多分ですが、その検討に入るのは、試験終了後ということになりそうです。
[あとがき]
本日ブログを書くことにより、何が作成できていて、何が不足しているのか明確になりました。もっと、具体的に書ければいいのですが、よく考えたらこの部分はセキュリティに密接に関わる部分となっており、ブログに書ける内容が、限られてきます。これから、暇をみつけて、この部分のセキュリティをつめてノートなどにまとめて、公開できる情報だけ公開していきたいと思います。
中小企業診断士の勉強ですが、そろそろお尻に火がついてきました。やらなければならないこと盛りだくさんで、残りの日数と残項目を考えると寝ることができないって感じです。まっ、寝ますけれどね(笑)。正直言って、この試験は、勉強したからって受かるような試験ではないので、「人事を尽くして天命を待つ」って心持で、リラックス気分で試験を迎えたいと思います。勉強したところ出題されればいいな~♪
中小企業診断士試験の勉強にもどります。
では、また!!!
コメント
コメントを投稿