データ操作 |データ操作における権限の問題

デジタル時代において、データは企業にとって最も価値のある資産の 1 つになりました。これらの資産をどのように管理し、データのセキュリティと効果的な使用を確保するかは、すべての企業が直面しなければならない課題です。この記事では、データ操作における権限の問題を詳しく説明し、製品間でデータ権限を接続する複雑さ、権限割り当ての制限、役割分割の重要性を分析します。

データ管理のセクションで述べたように、開発指向のデータ権限は主に開発チームと開発システム内で承認および設定されます。比較的固定的で、範囲が狭いと言えます。

ここでは主に、運用シナリオにおけるデータ権限について説明します。操作のデータ権限は、会社全体のデータ利用者を対象としており、範囲が広いため、機能の面ではより柔軟である必要があります。しかし本質的には、どちらもデータ アクセス権の割り当てです。

1. データ権限の製品間統合

データ操作プロセス中、データ クエリ、データ サービス API、ビジュアル レポート、大画面のすべてに権限制限が必要です。 API はどのようなデータをクエリできますか?レポートや大画面で確認できるデータは何ですか?統合ログインに使用されるユーザー ID は、一部のテーブル権限にすでに適用されています。これらの権限は、他の製品で対応する権限を直接取得できますか?もしそうなら、どうすればいいでしょうか?そうでない場合、なぜユーザーに繰り返し権限の申請を求めるのでしょうか?これは実際には、製品間でデータ権限を統合する際の問題です。

データ消費者と向き合うとき、プラットフォームプロバイダーの理想的な視点は、データ権限の承認を一度提供すれば、その後のユーザーは、製品に入るたびに、対応する製品でデータ権限を申請するプロセスを経る必要はなく、プラットフォームが提供する他の製品を使用するときに、対応するデータ権限を自動的に取得できることです。

たとえば、アドホック クエリでテーブル A のデータ権限を申請し、承認されました。ユーザーがテーブル A に基づいてレポートを開発する場合、このレポートに対する権限を設定するだけでよく、テーブル A に対して権限操作を実行する必要はありません。同様に、データ サービス API がテーブル A に基づいて開発される場合、対応するデータ権限は自動的に取得されます。

上記は理想的な状態であり、実際の状況ははるかに複雑です。権限の承認プロセスは製品によって異なります。製品によって、基盤となるデータ ストアが異なります。製品によって権限承認モデルなどが異なります。これらすべてにより、上記の理想的な状態はそれほど現実的ではないように思えます。しかし、私が言いたいのは、道は曲がりくねっているが、ゴールは確かに明確だということです。できるだけ目標に近づくことだけが必要なのです。最終的にはメタデータを中心としたデータ許可システムを構築すること。 （もちろん、この道が迂回路である可能性もありますが、誰にも分かりません。）

2. 権限の割り当てに関する制限

データ操作セクションの権限は、主にデータのクエリを実行するための権限です。これは単なるクエリ権限ですが、権限の二次配布に複雑さが伴います。

権限配分の制限については、視点を変える必要があります。データプラットフォームのデータ開発者、つまり主なユーザーは、データミドルオフィス部門に属します。この部門がデータの権限を申請する場合、データ開発者は作成、変更、削除、クエリなどの権限を申請できます。ただし、データ操作プロセスのデータ コンシューマーは、データ ミドル プラットフォームによって処理されたテーブルに対してのみクエリ権限を申請できます。

さらに、データ操作中の権限の割り当てには、二次割り当てシナリオが多数存在します。たとえば、ビジネス部門とデータ関連の同僚が権限を申請した後などです。部内での二次配布は希望しておりますが、部外への配布はできません。 (実際、私たちも開発プロセス中に同様のものを実現したいと考えています)。これは組織構造と統合されることが期待されます。

何が見えるのか、何が見えないのか？権限が割り当てられましたが、製品内で権限を再配布するにはどうすればよいでしょうか?これらはすべて考慮する必要があることです。データ管理の章 [データ権限は大きな問題です] で説明した RBAC モデルはすべてのシナリオに適用できるわけではないのと同様に、操作プロセス中の権限の割り当てもすべてのシナリオに適用できるわけではない可能性があります。社内のデータ使用プロセス、組織構造などと組み合わせる必要があります。

3. 役割分担

権限の二次配布について話しているのであれば、権限を第 2 レベルの管理者に配布し、第 2 レベルの管理者が対応する小規模組織内で権限の二次配布を実行できるようにする必要があります。これは非常に重要であり、プラットフォーム上の権限の割り当てを大幅に削減できます。ただし、第 2 レベルの管理者によって委任された権限も表示可能かつ取り消し可能である必要があります。

余談ですが、役割分担について書いているときに、上記の一連の内容には、プラットフォーム内でも非常に重要な機能と役割の説明が含まれていないことに突然気づきました。しかし、ここまで書いてみて特に不足している点はなく、また、プラットフォームのユーザーについても2番目の前文で触れられていることから、ある程度は大まかな役割分担といえるだろう。今のところこの部分は追加しませんが、機会があれば後で追加します。

IV.結論

データ プラットフォーム全体の最終的な目標は、ビジネスをサポートすることです。したがって、データ操作は値のエクスポートに相当する非常に重要な部分です。操作プロセス中の権限は、この出口のゲートキーパーです。データが安全かつ確実に送信されるようにする必要があります。