vicc blog

株式会社ヴィックの技術ブログです。

CDE入門 #4 「CDEでのアクセス権の制限」

皆さんごきげんよう。

シリーズものの第4回です。

前回まででCDEとは単なるストレージではなく共通の作業環境であること、ステータスが存在する、命名規則が(機械の力を借りながら)適用されるとよいことがあるという話をしてきました。

今回のテーマはアクセス権です。#2のステータスの話とも深いかかわりがあります。まだ読んでいない方は合わせて読んでいただければ幸いです。

アクセスにもいろいろある

多くのCDEソリューションではフォルダ、ファイル、パッケージ単位でユーザーや役割ごとにアクセス権の設定が可能です。

CDEとしてどのプラットフォームを採用するかにもよりますが、アクセス権にはいくつかのレベルが設定されています。

Autodesk Construction Cloudでは6段階です。 参考: Help

ACCのアクセス権
見られるけれどダウンロードができないというのが特徴的ですね。 守秘のために情報の拡散を防止する目的などで使えます。

参考にGoogle Drive (共有ドライブ)などでは4段階あります。

Google Driveのアクセス権

私個人として実務での利用経験がない、他のCDEソリューションも公開されている情報からまとめてみます。

CATENDA Hub

  • No-access
  • Write
  • Read
  • Full-access

Procore

  • None
  • Read Only
  • Standard
  • Admin

Procoreの場合はさらに細かなカスタマイズが可能なようです。

https://support.procore.com/references/user-permissions-matrix-web

テンプレートを管理するBIMマネジャーの能力次第で利便性とセキュリティの両立ができそうですが、同時に能力が問われる部分でもあります。

一番シンプルなのはTrmible Connectのようです。

  • No access
  • Read only access
  • Full access

これはフォルダに関してで、ToDoやProject Invitationはまた別の設定になっています。

ステータスごとのアクセス権

おさらいです。

ISO 19650では3+1のステータスが想定されていました。

  • 作業中
  • 共有
  • 公開
  • アーカイブ

作業中のフォルダは担当チーム以外は見えない設定にするべきとされています。

また、アーカイブも、うかつに過去の歴史の改ざんが起こらないよう、読み取り専用とするべきだという記述があります。

チーム体制にもよりますが、共有公開に関してはBIMマネジャーや部門ごとのBIMコーディネータに編集権限を設定することになります。

小規模なプロジェクトでは共有に関して全員に編集権限がつくかもしれません。

オーサリングを行う作業者に共有公開のステータスに読み取り権限を付けるかどうかはデータのリンク戦略が鍵になります。

作業中フォルダ内に他の部門が作成したデータを複製して使用する(consumed link)の場合には、作業中のみに編集権限があれば事足ります。

しかし、共有フォルダ参照する (shared link)の場合には作業者にも読み取り権限がないと参照できません。

このあたりの設定はプロジェクトの立ち上げ時にBIMマネジャーが知恵を絞る点です。

アカウント問題とプラットフォーム選定

誰にどのようなアクセス権を与えるかは、所掌区分だとか責任分担表、Role&Resposibilityなどと表現される形で登場人物を整理したうえで考えることになります。

RACIという形式がよくつかわれますね。

さて、プロジェクトの与件に合わせてどのような人にどのようなアクセスを与えるか決めたうえで、立ち上がる別の問題があります。

CDEのアカウントにかかるお金です。

サービスごとに課金体系が異なるので、機能に加えてコストがプラットフォーム選定に影響します。

特に関係者が多くなる施工フェーズでは、ライセンス単位での課金ではなくプロジェクト単位で課金されるサービスを選ぶというような傾向があります。

CDEの機能を活用した重ね合わせや調整作業を重視するのか、多くのアカウントで閲覧できることを重視するのかコストとバランスをみて考えなくてはなりません。

ステータスが公開に代わるタイミングでCDEのプラットフォームを乗り換えるという戦術をとることもあります。

「CDEは共通データ環境なんだから、ずーっと同じサービスを使わないとダメじゃないの?」という人もいるかもしれませんが、 ISO 19650でもCDEは様々なプラットフォームに分散することが可能だと明示されています(ISO 19650-1 12.1)。

適切なアクセス権が情報コンテナごとに設定されていれば、CDE=共通データ環境はあるわけで、それが一つのサービスに依存している必要はないということです。

この考え方、私は最近わかり始めましたが最初は意外でした。

これまでACCを中心に書いてきましたが、今回は手広くいろいろなCDEにも触れました。そろそろ、おなかいっぱいです。 というわけでこの辺で。

次回もお楽しみに。