案件開始時の技術確認
未確定項目には、決定者と確定期限を記載します。
1. 目的・対象・体制
Section titled “1. 目的・対象・体制”- サイト・システムの目的と主要な利用者行動を整理した
- 公開ページ、管理画面、API、CMS、外部サービスの対象範囲を決めた
- クライアント、制作会社、開発会社、保守会社の責任分界を整理した
- 技術・業務・セキュリティ・品質の意思決定者を決めた
- 開発、受入、公開、保守の担当者と連絡先を確認した
- 既存の社内基準、調達基準、法務・セキュリティ要件を確認した
2. 構成・契約
Section titled “2. 構成・契約”- 現行・新環境の構成図がある
- ドメイン、DNS、CDN、WAF、サーバー、CMS、API、DB、外部サービスを一覧化した
- 各サービスの契約者、所有者、管理者、費用負担者を確認した
- 開発・検証・本番環境とデータの違いを確認した
- クラウド・SaaSの利用プラン、上限、従量費を確認した
- 管理者権限、多要素認証、退場時の権限削除を決めた
- 契約終了・サービス変更時のデータと設定の引渡し方法を確認した
3. データ・API・CMS
Section titled “3. データ・API・CMS”- 扱う個人情報・機密情報・公開情報を一覧化した
- データの正本、保存先、保持期間、削除方法を確認した
- API仕様、認証、権限、件数、制限、エラー、検証環境を確認した
- API・外部サービス障害時の表示と業務対応を決めた
- CMS化範囲、コンテンツモデル、更新者、承認、公開を整理した
- CMSプレビュー、Webhook、ビルド、検索更新の流れを確認した
- 現行データの移行、差分、更新停止、品質確認を計画した
4. セキュリティ
Section titled “4. セキュリティ”- 守る資産、主な脅威、信頼境界を整理した
- 認証と認可を分け、利用者・ロール・操作・対象データを定義した
- APIキー、秘密鍵、パスワード等の保管・更新・失効方法を決めた
- 外部ライブラリ、プラグイン、GitHub Actions、外部タグを一覧化した
- ライブラリ・CMS・実行環境の更新担当と頻度を決めた
- ログ、アラート、保存期間、確認担当を決めた
- 設計レビュー、依存検査、脆弱性診断等の対象と時期を決めた
- インシデント時の連絡、停止、キー失効、ログ保全、復旧を決めた
5. テスト・品質
Section titled “5. テスト・品質”- 主要な利用者・業務フローを一覧化した
- 要件ごとの受入条件・確認方法を定義した
- 正常、0件、エラー、遅延、権限、重複等の状態を設計した
- 単体、結合、E2E、手動テストの役割を決めた
- 対応ブラウザ、OS、端末、画面幅、実機範囲を決めた
- 本番相当のページ数・データ量・アクセスで性能確認を計画した
- テスト環境、テストアカウント、個人情報を含まないデータを用意した
- 不具合の重大度・優先度・公開判断ルールを決めた
- クライアント受入の範囲、期間、登録方法、完了条件を決めた
6. アクセシビリティ
Section titled “6. アクセシビリティ”- 適用規格・版、目標レベル、対象ページ・機能を決めた
- 情報設計、原稿、デザイン、実装、テスト、運用の担当を決めた
- キーボード、拡大・リフロー、フォーム、動的UIの受入条件を決めた
- 画像・動画・PDF・第三者サービスの対応範囲を確認した
- 自動検査、手動確認、支援技術確認の範囲を決めた
- CMS編集者向けの入力制約・ガイド・研修を計画した
- 未達事項・対象外・代替手段・改善計画の扱いを決めた
7. 公開・運用
Section titled “7. 公開・運用”- ビルド、デプロイ、キャッシュ、DNS切替の公開手順がある
- 公開作業者、承認者、連絡網、実施可能時間を確認した
- バックアップと復元方法を確認し、必要に応じて復元試験を計画した
- 切戻し対象がソース、データ、CMS、キャッシュ、DNSへ及ぶか確認した
- 公開後のスモークテスト、監視、ログ、問い合わせ窓口を決めた
- 保守範囲、対応時間、外部事業者への問い合わせを確認した
- ライブラリ、権限、コンテンツ、アクセシビリティの定期確認を保守へ含めた