SuperNewRoles
| 分野 | 情報システム / 組織設計 |
|---|---|
| 主目的 | 権限・責務の再配置 |
| 代表的手法 | 役割グラフ最適化と監査ログ連結 |
| 初出とされる年 | 2009年(社内報告書ベース) |
| 関連組織 | 汎用役割審査機構(GRAA) |
| 運用上の焦点 | 監査可能性と引継ぎコスト |
| 批判点 | 説明不能なロール生成 |
SuperNewRoles(スーパーニュー・ロールズ)は、組織の権限設計を再構成するための「役割(ロール)」自動提案基盤として提唱された概念である。主に分野で研究・実装が進んだとされるが、その発端や実績は資料によって異なる[1]。
概要[編集]
SuperNewRolesは、企業・行政・研究機関の中で「誰が何をできるべきか」を、固定的な職位から切り離して設計し直すための枠組みである。役割(ロール)を記述単位として扱い、業務手順・データ区分・監査要件を結びつけたうえで、必要なロールを「新規に生成」または「統合・分割」することが主眼とされる[1]。
この概念は、表向きは(アクセス制御)と整合的であるため、導入企業では「監査に耐える設計ができる」と評価されがちであった。一方で実務者の間では、生成されたロールがなぜ生まれたかが追跡しにくい場合があり、特に大規模組織では運用負債が膨らんだとする指摘がある[2]。
「新規」の意味は、必ずしもゼロからの創作ではない。むしろ、既存の職務を分解して再結合することで、結果として“新しい”ロール群として見えるように構成する、と説明されることが多かった[3]。なお、命名の「Super」は、当初「速度(super-fast)」の意味で使われていたが、後年では「超監査(super-audit)」の冗談が混ざった、とも報じられている[4]。
歴史[編集]
誕生:汎用役割審査機構(GRAA)の“約束手形”[編集]
SuperNewRolesが公的に語られた最初期の記録として、(GRAA)が発行した“監査に耐える役割定義”ガイド草案が挙げられる。草案は東京都千代田区にある中規模監査事務所の会議室で作られ、参加者の名簿には「監査人」と「人事コンサル」が同数で載っていたとされる[5]。
当時、ある大手SIerで棚卸しされた権限は約19,840件、うち説明可能な項目はわずか6,113件(推定)であったという。GRAAはこれを「権限の闇市場」と呼び、監査の期限までに“新しいロールの言い換え”を用意する必要があったとされる。ここで採用されたのが、業務手順をノード、データ区分をエッジとみなす「役割グラフ」の考え方である[6]。
ただし、この設計は単なる数学ではなく、監査人の“約束手形”とも結びついていた。すなわち、生成されたロールには必ず「根拠ログ」を接続すること、そしてロールの改変履歴を“監査証跡として最小化”することが条件として書き込まれた、と説明されている[7]。この条件が後に、SuperNewRolesの“追跡可能性”という看板の源泉になったとされる。
発展:福岡の現場で起きた「3分間ロール花火」事件[編集]
2000年代後半、の通信関連企業で、SuperNewRolesの試験運用が行われたとされる。試験では、朝の定例会で承認された業務変更に合わせて、権限ロールを自動生成する仕組みが導入された。しかし、変更が反映されるまでのタイムラインが不整合を起こし、「3分間だけロールが増え続ける」現象が発生したという[8]。
当時の記録によれば、ロール数は開始前の2,104個から、問題発覚時点で2,538個へ増加した(増加幅434個)。監査ログの保存先が想定より遅く、結果として“根拠ログ接続の完了”が遅延したため、仮ロールが繰り返し生成されたらしい、と後に推定された[9]。
この事件が、SuperNewRolesの命題を少し変えたとされる。すなわち「自動生成は速さではなく、根拠ログの整合性が主」である、という方針転換である。以後、ロール生成は最大でも1サイクルあたり17個までと制限され、さらに生成のたびに“根拠ログ接続テスト”が必須化されたと報告されている[10]。なお、この制限値の由来は“監査人がコーヒーを飲み切る時間(約17分)”から来た、という噂が現場で広まったとされる。
制度化:省庁横断「役割統一マニュアル」への道[編集]
SuperNewRolesが制度として扱われる契機は、霞が関周辺の複数部局で、横断プロジェクトの権限設計が統一されない問題が顕在化したことにあるとされる。2000年代末、各部局は独自のロール体系を持ち、移管や監査の際に「職位の言い換え」に膨大な時間を要していた[11]。
そこで担当部署は、GRAA監修のもと「役割統一マニュアル(暫定)」を作成し、SuperNewRolesを雛形として採用した。マニュアルは「ロール名の命名規則」「責務の最小単位」「監査証跡の添付要件」を定め、最終的に、各機関でのロール数削減目標を平均で22%と置いた、とされる[12]。
ただし、制度化の過程で“SuperNewRolesの精神”が一部すり替わったという批判もある。具体的には、根拠ログの接続を重視するはずが、現場では「ロール名の形式だけ整える」方向へ流れたと指摘されることがある。要するに「新しいロール」が作られたのに、なぜ作られたかが置き去りになった、という構図である。
仕組み(技術的説明と“現場の小噺”)[編集]
SuperNewRolesでは、ロールを単なる肩書ではなく「責務の束(bundle)」として扱うことが多い。役割グラフでは、業務手順を、参照されるデータ区分や制約をとして定義し、整合性のある経路のみを有効ロール候補とする、と説明される[13]。
一方、実装の細部は組織ごとに異なる。たとえば大企業では、ロール生成のたびに「審査人のコメント」欄へ自動要約が付与される仕組みが採られたという。要約はログから抽出されるが、抽出ルールが曖昧だと「なぜこの権限が付いたか」が誤解される可能性がある、とされる[14]。
また、運用上は“ロールの反復”が問題になる。SuperNewRolesは改変の履歴を保持するとされるが、現場では更新のたびに古いロールの互換性ラベルが増殖し、結果としてロール検索が遅くなる場合があった。ある運用設計者は、検索時間が平均で0.18秒から0.41秒に伸びたと報告している[15]。この差については「増殖した互換性ラベルがキャッシュを汚した」可能性が指摘された。
社会的影響[編集]
SuperNewRolesは、単に権限管理の効率化にとどまらず、組織文化にも影響を与えたとされる。職位中心の発想から、責務やデータ接点中心の発想へ切り替えを促すため、会議では「誰の権限か」から「どの業務に必要か」へ質問の向きが変わることがある[16]。
この変化は、研修制度にも波及したと報告される。たとえば関連の研修では、従来は“担当部署”の理解が中心だったが、SuperNewRolesの導入後は“ロールの根拠ログの読み方”がカリキュラムに含まれるようになったという。受講者の理解度チェックは、正答率73%を目標とし、初回の平均は58%だったとされる[17]。
一方で、権限が細分化されるほど、意思決定が遅くなる懸念も生じた。特に複数部門の共同作業では、ロール同士の交差が増え、調整会議が“ロール翻訳会議”の様相を帯びたといわれる。こうした副作用は、SuperNewRolesの導入メリットを相殺したケースもあったとされる[18]。
批判と論争[編集]
SuperNewRolesには批判も多い。代表的には「説明不能性」である。ロール生成の根拠ログが接続されているにもかかわらず、ログの粒度が粗いと、監査人が“なぜそのロールが生えたのか”を追跡できなくなる場合があるとされる[19]。
また、命名規則に関する論争も起きた。GRAAの草案では、ロール名を「業務—データ—制約」の順で書くことが推奨された。しかし現場では人事評価の都合で職位風の語を混ぜる必要が生じ、“職位を隠した権限”として運用されたケースがあったと指摘される[20]。
さらに、最も奇妙な批判として「ロールが“気分”で増える」というものがある。もちろん自動生成はルール駆動であるはずだが、ある監査レポートは、月末に生成回数が平均で1.7倍になったという統計を示した(部署規模補正後でも1.3倍)[21]。原因は、月末の承認ワークフローが一時的にログ遅延を生み、結果として仮ロールが立ち上がる連鎖が発生したためと推定されたが、関係者の間では「なぜ月末だけ?」「偶然か?」と議論になったとされる。
脚注[編集]
関連項目[編集]
脚注
- ^ 橋本周平『監査可能な役割設計の実務』日本経営出版社, 2012.
- ^ Alicia R. McKendrick『Role Graphs for Compliance Auditing』Springer, 2014.
- ^ GRAA編『役割統一マニュアル(暫定)』汎用役割審査機構, 2009.
- ^ 渡辺精一郎『権限の闇市場を終わらせる手引き』監査工房, 2011.
- ^ 田中由理『ログ遅延がもたらす権限増殖の挙動』情報処理学会論文誌, Vol.56 第3号, 2013, pp. 412-429.
- ^ Sato, Minoru and Kwon, Jiae『Automated Role Proposal under Human Review Constraints』ACM Symposium on Enterprise Systems, Vol.9, No.2, 2015, pp. 77-95.
- ^ 【架空】K. L. Peterson『SuperNewRoles: A Fast Introduction』Wiley, 2010.
- ^ 【架空】鈴木眞琴『役割花火事件の解析報告』福岡通信技術研究会報, 第21巻第1号, 2010, pp. 1-18.
- ^ Nakamura, Ryohei『Role Naming Conventions and Their Failure Modes』IEEE Security & Society, Vol.3 No.4, 2016, pp. 201-219.
- ^ 海老名政人『制度化の裏側:ログ接続要件の運用差』日本行政監査学会誌, 第8巻第2号, 2018, pp. 55-73.
外部リンク
- GRAA 役割審査アーカイブ
- 役割統一マニュアル 解説ポータル
- 監査ログ解析チュートリアル(SuperNewRoles対応)
- Role Graphs 学習コミュニティ
- 月末承認遅延ミニ研究会