第IV部 ケーススタディ ・ 第19章
本章は、2022年のドキュメント「ユーザーデータへのアクセスをどう制御すべきか」を題材にする。スタートアップが18か月以内に株式公開(IPO)を目指すなかで、セキュリティとコンプライアンスの整備が急務になり、その典型例として顧客データへのアクセス制御が取り上げられる。著者は、方針だけを拾うのではなく、その背後にある探究と診断まで読み、なぜその方針に至ったかの論理をたどることを勧めている。
このケースは、利便性を求める現場と、規制・監査・セキュリティを求める統制側の緊張関係を扱う点で普遍性がある。読者は自社の状況に置き換えて、どこまでアクセスを認め、どこを締めるかという線引きの考え方を学べる。
方針の柱は次のとおり整理される。第一に、IPO を前にユーザーデータへのアクセス制御を大幅に強化する必要がある。経営層・法務・コンプライアンス・セキュリティが連携し、責任の所在を明確にする。アクセス権の付与・行使・撤回が監査可能であることを担保する。第二に、リソースレベルのアクセス制御(個々のレコードや「テーブル」単位といった、行や行使の単位での細かな制御)を直ちに用意することは難しいため、当面は「全か無か」に近いロールベースのアクセス制御(RBAC)で素早く守りを固め、より細かいハイブリッドな解決策へ段階的に近づける。
第三に、すべてのアクセスは原則として明示的な業務上の必要性に紐づけられ、その理由がチケットやワークフローに記録されて監査証跡として残るようにする。第四に、「振り返り型のアクセス」(行使の後に内容を点検する仕組み)を整える。何が見られたかをあとから検証し、不適切なアクセスを検知できるようにする。第五に、緊急時に通常権限を一時的に超えて使う「ブレークグラス(break-glass)」の手順を用意し、誰がいつなぜ使ったかを必ず記録する。第六に、CISO(最高情報セキュリティ責任者)が組織横断でこの課題を主導し、関連する役割の責任を明確にする。
方針を支える鍵となるトレードオフは、利便性とセキュリティの綱引きだ。エンジニアにとってデータへ自由にアクセスできることはデバッグやサポートの効率に直結し、メリットが大きい。一方で、データ漏洩や内部不正のリスク、規制・監査からの要請という観点では、自由なアクセスは重大な負債になる。著者は、自動化された記録・振り返り・ブレークグラスといった仕組みを組み合わせることで、利便性を一定保ちつつセキュリティを確保するバランス点を探っている。
このケースの教訓は、第一に、チーム間の対立を「論点」へと言い換える価値だ。利便性 対 セキュリティという綱引きを、特定の誰かの勝ち負けではなく、組織として最適化すべきトレードオフとして扱い直す。第二に、現実的な段階論の重要性である。理想のリソースレベル制御を最初から目指すのではなく、まず RBAC で素早く守りを固め、そこからハイブリッドな解決策へ近づける。完璧を待つより、いま守れる範囲を確実に守りながら改善を重ねる姿勢が、セキュリティのような分野ではとくに有効だと示される。