« PCAOB Auditing Standard No.4 Reporting on Whether a Previously Reported Material Weakness Continues to Exist | Main | 総務省 ユビキタスネット社会の制度問題検討会 »

2006.02.20

Admin No More

 こんにちは、丸山満彦です。米国のRSAカンファレンスでマイクロソフトのマイク・ダンセジリオ氏が「必要がない限り管理者権限でアクセスしないように」等を呼びかけたようですね。
 財務報告に係る内部統制を考える上でも重要な概念ですね・・・

 
■ITMedia
・2006.02.17 No More「Adminでログイン」を呼びかけるMicrosoft

 この記事の中では、管理者権限を利用している際にのっとられてしまう危険があるので・・・って話ですが、昔からPrinciple of Least Privilegeといわれるほど原則的な話です。

 たとえば、経理用のアプリケーションや会計データを取扱うシステムについても同じですね。この話は、システム開発段階から関係してくるので改善が大変な場合が多いですよね。

 アプリケーションからデータベースへのアクセスが特定のIDに決められていて、そのIDが管理者権限でないとシステムが動かないような設計になっていると、アプリケーションシステムの作り直し、データベースの管理者権限の設定のしなおしになってしまいます。

 ということで、
=====
アプリケーション開発側には「可能な限り管理者権限を必要としないコーディングを」とウッズ氏は述べた。
=====
 というポイントは重要ですね。

 

|

« PCAOB Auditing Standard No.4 Reporting on Whether a Previously Reported Material Weakness Continues to Exist | Main | 総務省 ユビキタスネット社会の制度問題検討会 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/8754586

Listed below are links to weblogs that reference Admin No More:

» 内部統制2.0 解読その1 [湘南スローライフ]
今日からはじめる「内部統制2.0」シリーズ。 内部統制とデータベースセキュリティ対策を何とか実務的に結び付けたい。 そんな思いの中で気づいた点をまとめます。 ※2.0は「WEB2.0」からぱくった。 「素人の素人による素人のための内部統制解読」です。 玄人の方コメントください、よろしくお願いいたします。 ▼内部統制とは 企業がその業務を適正かつ効率的に遂行するために、 取締役会、経営者およびその他の構成員によって 社内で構築、整備、運用されている体制及びプロセス ... [Read More]

Tracked on 2006.02.21 at 01:07

« PCAOB Auditing Standard No.4 Reporting on Whether a Previously Reported Material Weakness Continues to Exist | Main | 総務省 ユビキタスネット社会の制度問題検討会 »