t.pira
piras****@gmail*****
2007年 7月 31日 (火) 13:15:22 JST
ひらさかです。 > 内部統制用途にTOMOYOが利用できるのではないかという感じで発言しました。 確かに DB サーバに限らず、内部ネットワークにあるサーバで TOMOYO を使うとなると、 ただ守るというだけでなく、内部統制目的に使えないかと考えますよね。 自分も TOMOYO の使い方の例として内部統制目的に使えないかと考えていました。 matthew さんのお話を機にして、TOMOYO がどこまで内部統制で使えるのについて もう一度考えてみました。 まず内部統制についての本当に簡単な話から。 内部統制ではリスクと呼ばれる組織内の潜在的な問題(リスク)に対して、 コントロールという対処をいくつも実施して、この時の証拠である文書やログを 監査法人がチェックするということが基本です。(本当に簡単ですね) IT系の内部統制において TOMOYO の出番としては考えられるのは、 リスク:「アカウントが不正に利用される」 コントロール:「アクセスログを記録し不正アクセスが無いかどうかを確認する」 というリスクとコントロールがある時に、証跡としてのログを取っておくということですが、 これだけでは十分ではありません。(ここまでは TOMOYO Linux が今でもできること) ここからがポイントなのですが、単にログを残すだけではなく、 ・どのログをとるか (許可/拒否ログ) ・ログのどの部分をとるか (時間、プロセス、PID…) ・いつ (日次、週次、随時…) ・どれだけ (上記の「いつ」に基づいてサンプリング数など指定される) といったところまで指定・制御できなくてはなりません。 ここまでできたとしても、せいぜい「TOMOYO は内部統制用のログ採取につかえる」 という程度なのかなと思っています。 IT系の内部統制項目から TOMOYO で対応できそうなものをテンプレートとして抽出して、 基本的な情報を入力すると、必要な証跡を自動で残してくれるようになるとより良いですが、 ここまで来ると本格的に内部統制の知識と実際を知っていないと辛いものがあります。 -------------- next part -------------- HTMLの添付ファイルを保管しました...Download
TOMOYO
Fork