なぜ外注前にアクセスを決めるのか
「開発会社がどこまで触れるか」が曖昧だと、本番データの誤操作や情報持ち出しのリスクが残ります。システムができてから決めると、手戻りも大きくなります。
外注前に権限と本番アクセスの境界を決めておくと、見積の精度も上がり、導入後の不安も減ります。
曖昧
先に決める
社内と開発会社の役割分担
本番権限の最終承認とデータ分類の判断は社内が持ち、開発会社は検証環境での実装と承認後の本番反映に集中する——この分け方が基本です。
個人アカウントではなく作業用の役割アカウントを使い、いつ・誰が・何をしたかが残る仕組みを求めてください。
社内
- 本番権限の承認
- データ分類の最終判断
- 運用責任
開発会社
- 検証環境での実装
- 承認後の本番反映
- 作業ログの提出
確認してから見積へ
次の項目を社内で埋めてから見積を取ると、開発会社との会話がスムーズになります。環境分離、権限、ログ、アクセス範囲です。
より詳しいチェックリストは関連コラムにまとめています。RAG導入予定がある場合は、資料の境界も先に決めてください。
- 01
チェック項目を埋める
権限・本番・ログを整理
- 02
見積で共有
開発会社と同じ前提で話す
- 03
仕様に落とす
設計段階で権限を固める
よくある質問
開発会社に本番へのアクセスは必要ですか?
原則は検証環境で作業し、本番反映は承認付きにするのが安全です。本番への直接ログインが必要な場合も、作業用アカウントとログのルールを先に決めてください。
最低限、何を決めておけばよいですか?
環境の分離(本番・検証・開発)、役割ごとの権限、開発会社のアクセス範囲と作業ログ、の3点が出発点です。
詳しいチェックリストはありますか?
発注前のセキュリティ全般については、関連コラムでより詳しいチェックリストを公開しています。あわせてご覧ください。
