  |
(1)運用責任者を増員し、複数の運用責任者による相互牽制を行う、(2)顧客情報にアクセスする際は2人の運用責任者の承認が必要なルールに変更、(3)他システムの運用責任者との相互監査を導入する――などである。
すごい ITシステムなのに全部、IT(コンピューター)に関係ない(人間ベースの)運用ルールでセキュリティーを引いている。
実際に、運用責任者の承認によるITシステムの複数パスワード化や相互監査の自動化などITを使わずに
人間が口頭で守るようなシステムなら、そりゃぁ、アドミン権限一発で情報抜き放題だと思うが
こういう体制上の人間の運用ルールではなく、 システムの電子権限がどうなっていたか突き止めないと何のセキュリティーにもならない。
上司の口頭での許可がなければ見てはいけないというルールは電子上では無意味だからな。
DBアドミンに昇格するために、複数のアカウントからの承認が必要とかでないと、全く無意味なんだが・・・
もし、これらのセキュリティーが本当に、いわゆる口頭のもので、電子上なってなかったら大問題だな。
21
