(Translate to English)
Thursday Jun 19, 2008
先日オーシャンズ 13 に登場した
Sun StorageTek SL8500 が,
今度はアン・ハサウェイと競演してるらしい (via: Mary Mary Quite Contrary).
実は Sun Identity Manager の職務分掌リポート
も, なにげにかなりセクシーだと思うんだけど...
『監査法人』
とかで使ってもらえないですかねえ...
(Translate to English)
Tuesday Jul 31, 2007
克哉さんに言われて,
ISACA 東京支部の 2007 年 7 月例会を聴講してきた.
お題は 「システム管理基準追補版」の背景と今後について
.
経済産業省が、3月30日に発表したシステム管理基準追補版の委員会・作業部会のメンバとして追補版の作成に関係した。この追補版の作成にあたっての委員としての苦労話や裏話についてお話します。CobiTとの関係とくに、CO for SOX V2を参考にしたこと、参考にしなかったこと(わざと変えたところ)。ISACA東京支部の調査研究委員会でとっちめられたことなど、追補版にかけなかったことをお話します。さらに、今後、経済省がどのようにシステム管理基準を進めていくのかなどについてもお話する予定です。
ISACA東京支部月例会案内
聞きながらメモをとってたんだけど,
あまりにヤバすぎるオモシロすぎるため,
さすがに blogs.sun.com で公開するのはやめときます (日和見).
かわりに社内某所に載せておくので,
よろしければどうぞ > 中の人
興味深かったのは, 本番環境でのデバッグに関して
「開発担当者が直接本番環境で作業するのは, 改変や不正のリスクがあるのでなにがなんでも禁止
(ご参考)」
ではなく,
「開発担当者が, 業務担当者などの立ち合いのもとで作業するならオッケー」
という考えかた.
たしかにデバッグという意味では, 開発担当者が作業するのが一番効率的なのは間違いない.
ただ一方で, 開発担当者と業務担当者の共謀を防ぐためのしくみとか,
作業を横で見ている業務担当者が, 「いま開発担当者が何をやっているか」
を理解するための能力の担保とか,
別の観点の検討がいろいろ必要になって,
場合によっては逆に全体的な効率は下がることもあるんじゃないだろうか.
まったくひねりのないオチだけど, 結局
「どういう統制を行なうかは個別の案件による」 ってことですね...
(Translate to English)
Monday Dec 11, 2006
ちょっと気になったのでメモ.
共用 ID の防止, パスワード・ポリシー, アクセス範囲の制限 (認可)
などの機能があるようだけど, そもそもの 「ID の生成・修正・削除」 や
「アクセス権限の付与・剥奪」 はどうやってるんだろか?
「更新分の CSV ファイルを手動でアップロード」 とか,
「ログインアカウント一覧画面から一人ずつ選択してアクセス権限を変更」 とか,
「しかもそれらすべての作業は ERP の運用管理者任せ」 とかではないよな, まさか.
なんかこれって,
「認証基盤」 の問題とすごく似てる.
こないだ
SDC のほうに書いた文章も,
「認証基盤」 を 「ERP」 に置きかえるだけでそのまま通用するし...
認証基盤 ERP システムが正しく利用者の認証・認可を行なうためには、
認証基盤 ERP システムに正しいアイデンティティ情報が格納されている必要があります。
結局、アイデンティティ管理が適切に行なわれていない限りは認証基盤 ERP システムが本来の役割を果たすことはできません。
(Translate to English)
Tuesday Nov 28, 2006
jp.sun.com のホーム・ページにも掲示されている通り,
来週末 (12 月 8 日 金曜日), 用賀にて
Sun ソフトウェアてんこもりのイベントを開催する.
イベントの全体はきっと徹さんや大渕さんが紹介すると思うので,
ここではアイデンティティ管理関連のセッションをピックアップ:
ぼくは今回ビジネス・ガバナンス・プロジェクトの帽子をかぶって,
Sun の内部統制ソリューション全般をご紹介する予定.
ということで,
実はこの日はほかにもいろいろイベントが重なってたりしますが,
こちらにもぜひご来場いただければありがたいです...
|
|
|
|
