ブログ - データベースセキュリティ安全度セルフチェック
データベースセキュリティコンソーシアム(DBSC)という団体が提供しているセルフチェックサービスがあります.
データベースセキュリティ安全度セルフチェック
http://www.db-security.org/selfck/
上場を控えた某社のシステムをターゲットとして診断してみましたが,なかなか厳しい結果になっていました.

ただし,これは結局日本語の解釈というか,「〜を実施しているか」という問いに対して「はい」「いいえ」だけじゃなくて,「その必要がない」という基準もありますよね. そういう視点を入れて実施すれば,結構良い点になったりします.
システム監査的にはそれでOKなんですが,先端エンジニア的に言うと「穴だらけだし」みたいな判断になりますね.
ただ,セキュリティ対策は貯蓄と同じで,どこまでやっても満足できないので,ある指標を元に対策を行ったという事で,決着をつけるのが落としどころになるですよね.
データベースセキュリティ安全度セルフチェック
http://www.db-security.org/selfck/
上場を控えた某社のシステムをターゲットとして診断してみましたが,なかなか厳しい結果になっていました.

ただし,これは結局日本語の解釈というか,「〜を実施しているか」という問いに対して「はい」「いいえ」だけじゃなくて,「その必要がない」という基準もありますよね. そういう視点を入れて実施すれば,結構良い点になったりします.
システム監査的にはそれでOKなんですが,先端エンジニア的に言うと「穴だらけだし」みたいな判断になりますね.
ただ,セキュリティ対策は貯蓄と同じで,どこまでやっても満足できないので,ある指標を元に対策を行ったという事で,決着をつけるのが落としどころになるですよね.