エンジニア達の「完全に理解した」Talk #77 イベントレポート

• URL: https://zenn.dev/easy_easy/articles/d534178cb3d59b
• 日付: 2026-06-26
• Tier: Tier 3
• 要旨: エンジニアコミュニティ「Easy Easy」の月次LTイベント第77回の記録で、2026年5月開催。リファクタリングを「調査・整地・剪定・再編・検証・収束」の6フェーズに分解し、前工程（調査〜剪定）での設計判断が成否を左右するというフレームワークが提示された。AI時代でもコンテキストウィンドウの限界や暗黙知の非観測性から、前工程は人間が担うべきだという指摘は具体的で説得力がある。SaaSの権限管理については「何ができるか」をPBAC（ポリシーベースアクセスコントロール）で管理し、「誰のリソースか」をReBAC（リレーションベースアクセスコントロール）で管理する2層設計が紹介され、無効なリソースへのアクセスに404を返してリソース存在を隠蔽するという実践的なポイントも共有された。

詳細

LT1: リファクタリングのフェーズフレームワーク

• 6フェーズ: 調査・整地・剪定・再編・検証・収束
• 前3フェーズ（調査〜剪定）の完成度が成否を決定する
• AI補助の限界: コンテキストウィンドウ超過時に全体像を維持できない、暗黙知・文化的文脈は観測不可
• 役割分担: 前工程（設計・判断）は人間、実行フェーズ（命名改善・モジュール分割）はAIが担う
• 変更単位を細かくする「細分化デプロイ」でリスクを分散

LT2: マルチテナントSaaSの権限管理設計

• やらかしパターン: ロール条件分岐をコードに直書き、権限用テーブルの増殖
• PBAC（ポリシーベースアクセスコントロール）: 「何ができるか」をポリシークラスに集約し、ロール×プランの組み合わせで評価
• ReBAC（リレーションベースアクセスコントロール）: 「誰のリソースか」でテナント間横断アクセスを防止
• セキュリティ実践: 権限のないリソースへのアクセスに403ではなく404を返してリソース存在を隠蔽
• 2層分離により機能追加・仕様変更に強い権限管理が実現