MENU
中小企業向けAIエージェント(antigravity)活用・DX支援ならAIzen株式会社
  1. ホーム
  2. コラム
  3. kintone活用
  4. kintoneアクセス権の使い分けで運用コストを最小化する権限設計

kintoneアクセス権の使い分けで運用コストを最小化する権限設計

kintone活用
梶田洋平
この記事を書いた人:梶田 洋平(AIzen株式会社 代表)
IT/AIコンサル・SEとして経営層直下の全社横断プロジェクトを多数主導。
中小企業からサンリオなどの大手企業まで、計100社以上へのAI・DX支援実績あり。
AI(Antigravity等)導入設計/開発からkintone等のSaas開発・運用伴走が得意領域。
「予算が少ない」「既存の業務を変えずにデジタル化したい」そういったお客様のご状況を踏まえて、最適な提案を進めることを心掛けています!

kintoneの運用コストを左右するのは、機能開発の難易度ではなく、アクセス権の設計手法です。

本記事では、アクセス権を運用コストの観点で捉え直し、動的ロールと組織を基軸とした、持続可能な権限設計の最適解を提示します。

目次

kintoneアクセス権の種類と使い分け

kintoneのアクセス権を使い分けるために、3つの階層とその適用順序を理解する必要があります。

3つの権限設定(アプリ・レコード・フィールド)

kintoneには、「アプリ」「レコード」「フィールド」という3段階の権限設定が存在します。

  • アプリのアクセス権: アプリそのものへのアクセス、レコードの閲覧・追加・編集・削除、およびアプリの設定変更やCSVの入出力権限を制御します。
  • レコードのアクセス権: 条件(ステータスや作成者など)に基づいて、特定のデータ行に対する操作を制限します。
  • フィールドのアクセス権: レコード内の特定の項目(売上金額や個人情報など)に対して、閲覧や編集を制限します。

これらを適切に組み合わせることで、必要な情報を必要な人にだけ開示するガバナンスが構築可能です。

上位階層の権限が下位に及ぼす影響と優先順位

アクセス権には明確な優先順位と継承関係があります。原則として、上位の階層で権限が制限されている場合、下位で権限を付与することはできません

例えば、アプリ単位でレコード閲覧権限が「不可」となっているユーザーは、たとえレコード単位で閲覧許可が設定されていても、そのデータを見ることできません。

詳しい権限設定方法は以下公式サイトを参照してください。
kintoneアクセス権の基本を学ぶ

組織と動的ロールを用いたアクセス権の設計

運用フェーズでの工数を最小化するためには、「人」ではなく「役割(ロール)」に権限を紐付ける設計思想が重要です。

アクセス権のメンテナンス頻度を最小限にする

kintone アクセス権設計の最適解は、設定の変更を「kintoneアプリ内」ではなく「Cybozu共通管理(組織・ユーザー管理)」で完結させることにあります。

各アプリの権限設定に「営業部」という組織や「承認者」という役職グループ(ロール)を一度指定してしまえば、後の異動や入退社時には共通管理側でユーザーの所属を変更するだけで済みます。

これにより、個別のアプリ設定を開いてユーザーを差し替える作業は不要になります。

個人単位のアクセス権設定は運用コストを増大させる

「個人名」でのアクセス権設定は、中長期的に運用の破綻を招きます。

組織変更や入退社のたびに、アクセス権の設定が必要

個人単位で設定を行うと、組織変更や人事異動が発生するたびに、該当ユーザーが関与しているアプリの設定を手作業で修正しなければなりません

実際に、100名規模の組織変更において、数百のアプリ権限を個人単位で書き換える作業に数日間を費やし、実務が停止した失敗事例もあります。

アクセス権の複雑化が招くセキュリティリスク

個人指定が増えると、権限設定の全体像がブラックボックス化し、だれに、どのような権限が付与されているか把握できなくなります。

権限設定理由が不透明になり、機密情報が閲覧可能なまま放置されるといった事態が発生します。

管理者が把握しきれない設定の乱立は、設定ミスによる情報漏洩の原因となり、企業のガバナンスを著しく低下させます。

組織・動的ロールを用いたアクセス権の具体例とイメージ

具体的な運用イメージを構築するために、組織図と動的グループ(ロール)を組み合わせた権限付与の構成例を紹介します。

組織図と動的グループを組み合わせた権限付与の全体像

理想的な設計は、以下の表のように「役割」と「所属」をクロスさせて定義することです。

階層設定対象(例)設定内容
アプリ営業部(組織)全員に閲覧・追加・編集権限を付与
レコード課長職(ロール)全レコードの編集・削除を許可
フィールド人事部(組織)給与項目などの機密フィールドのみ表示

具体的な設定案

実務で頻出する3つの設定パターンを例示します。

上長と一般メンバーで閲覧・編集権限を分ける

アプリのアクセス権にて、作成者本人には「編集」までを許可し、作成者の「上長」という役職ロールには「削除」までの全権限を与える設定です。

あらかじめCybozu共通管理でユーザの設定とロールの設定を組み合わせ、アプリのアクセス権で上記制御が可能です。
こちらのガイドに詳しい設定例が記載されています。

ステータスが「完了」になったレコードを編集不可にする

プロセス管理と連動させ、ステータスが「完了」になった時点で、全ユーザーの編集権限を解除し「閲覧のみ」に変更します。

レコードのアクセス権の設定でステータスが「完了」の場合、編集不可にする設定ができます。

特定の部署だけに特定のフィールドを表示させる

案件管理アプリにおいて、営業担当には「原価」や「利益率」のフィールドを非表示にし、経理部や経営層にのみ閲覧・編集を許可する設定です。

フィールドのアクセス権で該当項目を閲覧できるロールの設定が可能です。

まとめ

アクセス権の使い分けを最適化することは、IT部門が戦略的な活動に注力するための基盤となります。

権限設計がもたらす安定運用

  1. kintoneのアクセス権は「アプリ・レコード・フィールド」の3階層を、左から順に評価される仕様を理解して設計する。
  2. 個人指定を完全に廃止し、Cybozu共通管理の「組織」と「役職(ロール)」による動的制御へ移行する。
  3. 設計段階で工数をかけることで、組織変更や人事異動に伴う運用工数を最小化し、安定したガバナンスを実現する。

AIzen株式会社では、複雑化したkintoneのアクセス権再設計や、大規模組織における運用最適化の支援を行っております。貴社の業務に最適な権限設計ロードマップをご提案いたします。

kintone活用
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

AIzen株式会社代表 梶田洋平のアバター AIzen株式会社代表 梶田洋平

ITコンサル・SEとして経営層直下での全社横断プロジェクトを多数主導。経営課題を起点としたKPI設計、ROI最適化、プロジェクトガバナンスの構築に精通。単なるシステム導入に留まらず、BIツールを用いた意思決定支援や、属人化を排除するBPR(業務再設計)を通じて、再現性のある事業基盤の構築を得意とする。「経営層のビジョン」を「現場のオペレーション」へと翻訳し、データドリブンな組織変革を支援している。

関連記事

コメント

コメントする

目次