DBセキュリティ
チェック項目9:3ページ目に上記の記載がありました。時間制限を設けることって考えたことがなかったです。確かに夜中は作業をしないと思われますので、誰もログインできないようにすることは必要なことかもしれませんね。不審者は誰もいない頃合いを見計らって侵入してくるわけですから。アプリケーションのセキュリティと考えたときに、パスワードの漏洩やデータの改ざんやセキュリティホールといったところばかりに目がいってしまいますが、現実のセキュリティと照合しながら、可能な限り”守る”ということが必要なのでしょうね。
データベースにログインできる時間帯を制限しているか
可能な限りというのは、資産には重要度・優先度があるわけで、コストバランスなどを見ながら、検討すべきということです。時間制限の実装のために高いコストがかかるとした場合に、その他のセキュリティ事項を満たすことによって資産が求めるセキュアな状態を確保できるのであれば、あえて時間制限の実装をする必要はないということになります。(Oracleはログオントリガーがあるようですので、さほど手間ではなさそうですが。)
Comments