EBSのセキュリティリスクTop10で思うこと
前回の記事の元記事で、リスクTop10を挙げた方は「CPA, CIA, CSA」とのことで、セキュリティリスクもどっちかというと会計監査をベースにしたセキュリティリスク・・・の印象を受けました。システム的なセキュリティをベースにしたセキュリティリスクTop10だとまた違ったラインナップになるのでしょう。いくつか感想をあげてみます
10.Upgrade risk
標準メニューをそのまま使ってて、アップグレードで使える機能が増えて、あれ?この職責でコレできていいんだっけ?となることも予想されますので、メニューは独自で作ることをオススメします。完全同意のエントリです。
4.Password hacking
元記事のリンク先はこれかな・・・パスワードハック被害に遭わないよう、設定すべきことが資料の最後のほうに11点書かれてます。この11点全て対応している企業は少ない印象ですが、どうでしょうか。
1.Utilities: diagnostics
個人的には同意しかねるエントリがこれです。診断が使えるとDB構造が想像つく等そのほかもろもろの事情から、少なくとも社外に公開するものではないでしょう。でも、トラブル時に調査で必要なので、保守担当としては本番環境こそ使用できないと困る。このエントリを挙げた理由が書かれておらずわかりませんが、本番環境でこのプロファイルをオフにするかオンにするか管理者だけオンにするかはそれぞれの立場の方の意見によって決まるものと思います。
