EBSのセキュリティリスクTop10
※本記事はThe top 10 security risks in Oracle E-Business Suiteの紹介です。
EBS自体のセキュリティリスクとして、The top 10 security risks in Oracle E-Business Suiteで紹介されていました。私なりの意訳なので、誤訳指摘ウェルカムですむしろお願いします。運用経験者として個人的には同意しかねるのもありますが、それは後日補足という形で記事にするよてい。
10.Upgrade risk
アップグレードで変更されるリスクを防ぐため、メニューはカスタムメニューで構成すること。AZNメニューは使わないこと。
9.Risk analysis
システム内部にアクセスするリスク分析を全体論的に見ること。EBS専門のセキュリティリスク分析専門会社を選ぶとよい。不正リスクも重要度の低い不正リスクも明らかにすること。
8.Relying on auditors
多くの監査では、重要でない不正リスクは織り込まず、またしばしばプロセスを全体論的に見ない。監査の前に、リスクに特化した専門会社を雇いリスクアセスメントを実施して論点を整理すること。
7.Security changes- Change management process
ミスを犯さないよう、すべてのセキュリティに関する変更は変更管理プロセスを通ること。メニュー、職責、ロール、要求グループ、機能、プロファイルオプションは変更管理プロセスを通ること。
6.SQL Forms
FormsのSQLも、updateのSQLと同じようにピア・レビューおよびコード凍結を含む変更管理プロセスを通るべき。SQLはトリガーやログ出力機能を用いて監査対象にするとよい。
5.High risk fraud forms
銀行、送付先としての住所、ロケーション、取引先は不正リスクが高い。このような内容の登録や変更の手続きを定義すること。
4.Password hacking
ハッカーは公開されているコードでシステムに入り込むことが出来る。対応方法はホワイトペーパーを参照のこと。
3.Override of workflow policy
ワークリストや休暇ルールのように、代理応答のプロセスがあることは重要。代理応答の可能な範囲を明確にし、監査・追跡可能にしておくこと。
2.Support personnel access
Sysadminを用いてリスクが高い機能や職責分担問題を確認し、エンドユーザと同様の措置をセキュリティ分析者にも本番環境にて適用すること。
1.Utilities: diagnostics
本番環境では、ユーティリティ:診断プロファイルオプションはアクセスできないようにすべき。
