Hello there, ('ω')ノ
ロジックエラーとは?
システムの設計上、本来こう動くべきなのに:
- 処理の順番がおかしい
- 条件分岐が抜けている
- 特定の操作で裏技的な動きができてしまう
そんな状態をロジックエラーと呼びます。
アクセス制御ミスとは?
- ログインしていないのに管理画面が見えてしまう
- 一般社員が管理者向け機能を使えてしまう
これがアクセス制御ミスです。
チェックリスト① ロジックエラー
✅ 1. 処理の順番通りにしか進めないか?
- 申請→承認→確定 という流れがある場合、 → いきなり確定ボタンが押せないか?
✅ 2. 入力内容が不正でも処理が進んでしまわないか?
- 費用申請金額が0円でも登録できる?
- 勤怠打刻で同じ時刻を2回登録できる?
✅ 3. 複数回操作で意図しない結果にならないか?
- 同じボタンを連打 → 二重登録になる?
チェックリスト② アクセス制御ミス
✅ 1. ログインしなくても見えてしまうページはないか?
- /admin
- /settings
- /config
URLを直接入力して確認します。
✅ 2. 一般社員でも管理画面のリンクが表示されていないか?
✅ 3. 管理者用機能がボタン操作だけで使えてしまわないか?
- 表示上見えなくても、URLを直接指定すれば動いてしまうケースがあります。
✅ 4. 特定の権限チェックが甘くないか?
- APIリクエストで「role=admin」をつけるだけで権限が上がらないか?
実務チェック例
社内経費システム:
- 一般社員でログイン → 管理者用URLを直接指定してみる
- 申請前に確定ボタンが押せてしまわないか試す
- 同じ経費申請を何度も送信 → 二重登録にならないか確認
チェックリストまとめ(まとめ版)
- [ ] 処理順序通りにしか操作できないか?
- [ ] 不正データでも処理が通ってしまわないか?
- [ ] 同時・連続操作でデータが壊れないか?
- [ ] ログインしなくても管理画面が見えてしまわないか?
- [ ] 権限なしで管理者機能が使えてしまわないか?
注意事項
- 本番環境でテストする場合は必ず許可を取ること
- システム担当者や開発チームと連携しながら進めること
まとめ
- ロジックエラーは「業務の流れ」そのものが崩れていないかを確認
- アクセス制御ミスは「誰でも操作できてしまう」リスクをチェック
- URL直接入力+条件変えながら確認が基本動作
Best regards, (^^ゞ
